Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

Americký Národní institut pro standardy a technologie (NIST, National Institute for Standards and Technology) upozornil, že dvoufázové ověření přes SMS není bezpečné a do budoucna nedoporučí jeho používání. Institut neuvedl, v čem vidí problém, což může působit podivně, ale odborníci pravděpodobně nechtějí ještě více upozornit na slabiny systému.

Se svým komentářem nicméně přispěchali jiní bezpečnostní experti a uvedli hned několik bodů, ve kterých jsou SMS zranitelné.

  • Nejjednodušší zjištění zaslaného kódu? Přečtete jej i z notifikace na lockscreenu zamknutého telefonu.
Klepněte pro větší obrázek
Stačí zatáhnout za notifikaci a útočník uvidí i klíčový obsah, který je na konci zprávy. Tedy pokud je uživatel neopatrný a nechává si obsah notifikací na lockscreenu zobrazovat.
  • Ve smartphonu může být aktivní malware, který předá veškerý obsah textových zpráv útočníkovi.
  • K SMS se dá dostat i prostřednictvím fatální chyby „Signalizačního systému 7“, která je součástí mobilních sítí po celém světě a její odstranění je z krátkodobého hlediska prakticky nemožné. Se správným vybavením stačí znát telefonní číslo oběti a dostanete se nejen k jeho SMS, ale můžete odposlouchávat i hovory. Díky této metodě je paradoxně jednodušší dostat se k účtu zabezpečenému přes SMS – stačí využít služby pro obnovu zapomenutého hesla.

Čím SMS nahradit a proč jen tak nezmizí

Proč se zabezpečení přes SMS tak hojně používá? Je univerzální. Uživatel nemusí mít přístup k internetu, vlastně nemusí mít ani smartphone, textovka přijde i na starý tlačítkový mobil. Čím si NIST představuje, že bychom měli tuto metodu do budoucna nahradit? Biometrií, aplikacemi, které generují jednorázová hesla, nebo hardwarovými tokeny.

 

Co je dvoufázové ověření přes SMS

Bezpečnostní praktika doporučovaná i těmi největšími firmami současného internetu (Google, Facebook a další). Pokud máte toto zabezpečení aktivní, pro přihlášení k účtu nestačí obvyklá kombinace jména a hesla, ale systém ještě zasílá unikátní kód na telefonní číslo uživatele. Až po jeho správném vyplnění dojde k přihlášení ke službě, nebo třeba k provedení platby v případě internetového bankovnictví.

Témata článku: Google, Mobilní aplikace, Bezpečnost, Facebook, SMS, Sociální sítě, Zabezpečení, Dvoufázové ověření, FAC

32 komentářů

Nejnovější komentáře

  • Matesboy 7. 8. 2016 23:37:55
    Naprosto nechápu obavy z ověřování smskou.Asi tomu nerozumím.Já mám...
  • xXx.79 29. 7. 2016 6:38:16
    A proc nepouzivaji sifrovane SMS pres SIM Tolkit, do te doby nez se zada...
  • Jirka1or 28. 7. 2016 21:35:42
    Zkuste si heknout Hloupý Telefon - aplikaci SIM Tolkit a GSM...
Určitě si přečtěte

Svět si utahuje z iPhonu X. Podívejte se na nejpovedenější vtípky

Svět si utahuje z iPhonu X. Podívejte se na nejpovedenější vtípky

** Vzývají Steva Jobse, a pak přímo na pódiu animují hovínko ** Internetoví satirici to Applu zase jednou nedarovali ** Ať si o iPhonu X myslíte, co chcete, dnes na to půjdeme s humorem

Včera | Miksa Martin | 232

CyberCon 2017: Válka? Už probíhá, ale je kybernetická a hybridní

CyberCon 2017: Válka? Už probíhá, ale je kybernetická a hybridní

** V Brně se konal CyberCon ** Součástí dnešní obrany nemůže být pouze tradiční armáda ** Hybridní válka v kyberprostoru může napáchat stejné škody

23.  9.  2017 | Polesný David, Čížek Jakub

Jak dobít kredit někomu jinému

Jak dobít kredit někomu jinému

23.  9.  2017 | Kůžel Filip | 4


komerční sdělení

Komerční sdělení