Двофакторна автентифікація справді знижує шанс злому акаунтів, але спосіб отримання коду має вирішальне значення. Експерти закликають відмовлятися від SMS як другого фактора, бо цей канал зв'язку історично не проєктували з урахуванням сучасної кібербезпеки.
Про те, чому не варто використовувати звичайні SMS для отримання кодів двохфакторної автентифікації, пише MakeUseOf.
Реклама Читайте також:
Чому не варто використовувати SMS для двохфакторної автентифікації
SMS-код часто обирають через зручність: не потрібно встановлювати застосунки, достатньо вказати номер телефону, а повідомлення приходить навіть на простий кнопковий телефон і без інтернету. Саме ця доступність і зробила SMS наймасовішим варіантом 2FA.
Проблема в тому, що SMS працює поверх застарілої телеком-інфраструктури. Йдеться про протоколи сигналізації SS7, які з'явилися задовго до нинішньої моделі загроз і спираються на довіру всередині мережі — без сучасних механізмів криптографічної перевірки джерела повідомлень. У такій моделі зловмисник, який отримав доступ до сигнальної мережі (зокрема через слабко захищені ланки у провайдерах), потенційно може перехоплювати або підміняти SMS із одноразовими кодами.
SMS не має end-to-end шифрування, яке стало нормою для месенджерів і частини сервісів обміну повідомленнями. Це означає, що перехоплені повідомлення можуть бути прочитані, а разом із вмістом часто стають доступними й технічні дані, прив'язані до доставки (метадані).
Другий великий ризик пов'язаний не з технологією, а з людським фактором: SIM-swapping. Йдеться про сценарій, коли зловмисники обманом або через фішинг добиваються перенесення номера жертви на SIM-картку, яку контролюють самі — і тоді отримують усі коди 2FA, що приходять на цей номер.
Є й практичний бік: доставка SMS інколи підводить у критичний момент — коди можуть приходити із затримками або не приходити зовсім, і це ускладнює вхід у сервіс, коли доступ потрібен терміново.
Як альтернативи SMS можна використовувати застосунки-автентифікатори з одноразовими кодами TOTP (вони генеруються локально та оновлюються через короткі інтервали), passkeys як ключ доступу, що зберігається на пристрої, а також апаратні ключі безпеки.
При цьому варто пам'ятати, що смартфон сьогодні зберігає набагато більше, ніж просто SMS-коди. У ньому можуть міститися документи, банківські сповіщення та інша конфіденційна інформація.
Схожа ситуація й із паролями, збереженими в браузері. Можливість входити в акаунти одним кліком здається ідеальним рішенням, особливо коли дані синхронізуються між телефоном, ноутбуком і планшетом. Проте зручність не завжди означає безпеку — і саме тут криється потенційна точка компрометації.