Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

Americký Národní institut pro standardy a technologie (NIST, National Institute for Standards and Technology) upozornil, že dvoufázové ověření přes SMS není bezpečné a do budoucna nedoporučí jeho používání. Institut neuvedl, v čem vidí problém, což může působit podivně, ale odborníci pravděpodobně nechtějí ještě více upozornit na slabiny systému.

Se svým komentářem nicméně přispěchali jiní bezpečnostní experti a uvedli hned několik bodů, ve kterých jsou SMS zranitelné.

  • Nejjednodušší zjištění zaslaného kódu? Přečtete jej i z notifikace na lockscreenu zamknutého telefonu.
Klepněte pro větší obrázek
Stačí zatáhnout za notifikaci a útočník uvidí i klíčový obsah, který je na konci zprávy. Tedy pokud je uživatel neopatrný a nechává si obsah notifikací na lockscreenu zobrazovat.
  • Ve smartphonu může být aktivní malware, který předá veškerý obsah textových zpráv útočníkovi.
  • K SMS se dá dostat i prostřednictvím fatální chyby „Signalizačního systému 7“, která je součástí mobilních sítí po celém světě a její odstranění je z krátkodobého hlediska prakticky nemožné. Se správným vybavením stačí znát telefonní číslo oběti a dostanete se nejen k jeho SMS, ale můžete odposlouchávat i hovory. Díky této metodě je paradoxně jednodušší dostat se k účtu zabezpečenému přes SMS – stačí využít služby pro obnovu zapomenutého hesla.

Čím SMS nahradit a proč jen tak nezmizí

Proč se zabezpečení přes SMS tak hojně používá? Je univerzální. Uživatel nemusí mít přístup k internetu, vlastně nemusí mít ani smartphone, textovka přijde i na starý tlačítkový mobil. Čím si NIST představuje, že bychom měli tuto metodu do budoucna nahradit? Biometrií, aplikacemi, které generují jednorázová hesla, nebo hardwarovými tokeny.

 

Co je dvoufázové ověření přes SMS

Bezpečnostní praktika doporučovaná i těmi největšími firmami současného internetu (Google, Facebook a další). Pokud máte toto zabezpečení aktivní, pro přihlášení k účtu nestačí obvyklá kombinace jména a hesla, ale systém ještě zasílá unikátní kód na telefonní číslo uživatele. Až po jeho správném vyplnění dojde k přihlášení ke službě, nebo třeba k provedení platby v případě internetového bankovnictví.

Témata článku: Mobilní aplikace, Google, Bezpečnost, Sociální sítě, SMS, Facebook, Dvoufázové ověření, Zabezpečení

32 komentářů

Nejnovější komentáře

  • Matesboy 7. 8. 2016 23:37:55
    Naprosto nechápu obavy z ověřování smskou.Asi tomu nerozumím.Já mám...
  • xXx.79 29. 7. 2016 6:38:16
    A proc nepouzivaji sifrovane SMS pres SIM Tolkit, do te doby nez se zada...
  • Jirka1or 28. 7. 2016 21:35:42
    Zkuste si heknout Hloupý Telefon - aplikaci SIM Tolkit a GSM...
Určitě si přečtěte