Dvojfaktorová autentifikácia založená na SMS (2FA) je široko používaná metóda na zvýšenie bezpečnosti autentifikácie používateľov v počítačových systémoch. Zahŕňa použitie mobilného telefónu na získanie jednorazového hesla (OTP) prostredníctvom SMS, ktoré následne zadá používateľ na dokončenie procesu autentifikácie. Zatiaľ čo 2FA na báze SMS poskytuje ďalšiu úroveň zabezpečenia v porovnaní s tradičným overovaním používateľského mena a hesla, nie je bez obmedzení.
Jedným z hlavných obmedzení 2FA založeného na SMS je jeho zraniteľnosť voči útokom na výmenu SIM karty. Pri útoku na výmenu SIM kariet útočník presvedčí operátora mobilnej siete, aby preniesol telefónne číslo obete na SIM kartu pod kontrolou útočníka. Keď útočník získa kontrolu nad telefónnym číslom obete, môže zachytiť SMS obsahujúcu OTP a použiť ju na obídenie 2FA. Tento útok možno uľahčiť technikami sociálneho inžinierstva alebo využitím zraniteľností v procesoch overovania operátora mobilnej siete.
Ďalším obmedzením 2FA na báze SMS je možnosť zachytenia SMS správy. Zatiaľ čo mobilné siete vo všeobecnosti poskytujú šifrovanie pre hlasovú a dátovú komunikáciu, SMS správy sa často prenášajú v obyčajnom texte. Vďaka tomu sú zraniteľné voči odpočúvaniu útočníkmi, ktorí môžu odpočúvať komunikáciu medzi mobilnou sieťou a zariadením príjemcu. Po zachytení môže útočník použiť jednorazové heslo na získanie neoprávneného prístupu k účtu používateľa.
Okrem toho sa 2FA na báze SMS spolieha na bezpečnosť mobilného zariadenia používateľa. Ak dôjde k strate alebo krádeži zariadenia, útočník, ktorý má zariadenie v držbe, môže ľahko získať prístup k SMS správam obsahujúcim jednorazové heslo. Okrem toho, malvér alebo škodlivé aplikácie nainštalované v zariadení môžu zachytiť alebo manipulovať s SMS správami, čo ohrozuje bezpečnosť procesu 2FA.
2FA založená na SMS tiež predstavuje potenciálny jediný bod zlyhania. Ak dôjde v mobilnej sieti k výpadku služby alebo ak sa používateľ nachádza v oblasti so slabým pokrytím mobilnej siete, doručenie OTP sa môže oneskoriť alebo dokonca úplne zlyhať. To môže viesť k tomu, že používatelia nebudú mať prístup k svojim účtom, čo vedie k frustrácii a prípadne k strate produktivity.
Navyše, 2FA založená na SMS je náchylná na phishingové útoky. Útočníci môžu vytvárať presvedčivé falošné prihlasovacie stránky alebo mobilné aplikácie, ktoré používateľov vyzývajú, aby zadali svoje používateľské meno, heslo a jednorazové heslo prijaté prostredníctvom SMS. Ak sa používatelia stanú obeťou týchto pokusov o neoprávnené získavanie údajov, útočník môže zachytiť ich poverenia a jednorazové heslo, ktoré ich potom môže použiť na získanie neoprávneného prístupu k účtu používateľa.
Zatiaľ čo 2FA na báze SMS poskytuje ďalšiu úroveň zabezpečenia v porovnaní s tradičným overovaním používateľského mena a hesla, nie je bez obmedzení. Patrí medzi ne zraniteľnosť voči útokom na výmenu SIM kariet, zachytávanie SMS správ, spoliehanie sa na bezpečnosť mobilného zariadenia používateľa, potenciálne jediné miesto zlyhania a náchylnosť na phishingové útoky. Organizácie a používatelia by si mali byť vedomí týchto obmedzení a zvážiť alternatívne metódy autentifikácie, ako sú autentifikátory založené na aplikáciách alebo hardvérové tokeny, aby sa zmiernili riziká spojené s 2FA založenou na SMS.
Ďalšie nedávne otázky a odpovede týkajúce sa Overovanie:
- Aké sú potenciálne riziká spojené s ohrozením používateľských zariadení pri overovaní používateľov?
- Ako pomáha mechanizmus UTF predchádzať útokom typu man-in-the-middle pri overovaní používateľov?
- Aký je účel protokolu výzva-odpoveď pri overovaní používateľov?
- Ako kryptografia s verejným kľúčom zlepšuje autentifikáciu používateľov?
- Aké sú niektoré alternatívne metódy overovania hesiel a ako zvyšujú bezpečnosť?
- Ako je možné prelomiť heslá a aké opatrenia možno prijať na posilnenie autentifikácie na základe hesla?
- Aký je kompromis medzi bezpečnosťou a pohodlím pri overovaní používateľa?
- Aké technické problémy sú spojené s autentifikáciou používateľov?
- Ako overuje autentifikačný protokol využívajúci Yubikey a kryptografiu verejného kľúča pravosť správ?
- Aké sú výhody používania zariadení Universal 2nd Factor (U2F) na autentifikáciu používateľov?
Pozrite si ďalšie otázky a odpovede v časti Overenie