Používate na dvojfaktorovú autentifikáciu SMS? Tu je dôvod, prečo by ste to mali zvážiť.
Používanie dvojfaktorovej autentifikácie alebo tiež 2FA je správna vec.
Počas pandémie koronavírusu sa objavuje čoraz viac podvodníkov, ktorí sa v tejto neľahkej dobe „živia“ podvodmi a obavami ľudí. Medzi ich podvody patria aj výmeny SIM kariet alebo phishingové podvody. Pishingový podvod je typ počítačového útoku, pri ktorom sa podvodník snaží pomocou návnady v elektronickej komunikácii vylákať a neoprávnene získať od používateľov osobné údaje ako sú heslá, používateľské mená a ďalšie podrobnosti napríklad o platobných kartách, aby ich mohol zneužiť na nekalé účely ako je vydieranie, krádež peňazí alebo identity. Z uvedeného dôvodu bola zavedená tzv. dvojfaktorová autentifikácia, ktorá zabezpečuje osobné údaje a online účty.
Najprv si povedzme, čo je to dvojfaktorová autentifikácia.
Dvojfaktorová autentifikácia (2FA) je známa tiež ako dvojstupňová verifikácia alebo viacfaktorová autentifikácia, ktorá dodáva vašim online účtom ďalšie zabezpečenie, napríklad pri účtoch do obchodov Amazon, Apple, Google ale aj do sociálnych sietí ako Facebook, Instagram, Twitter, alebo k rôznym aplikáciám, kde máte svoje osobné údaje. Pri prihlásení k účtu musíte zadať heslo - prvý overovací faktor - a potom kód, ktorý vám bol zaslaný prostredníctvom SMS alebo ako výzva prostredníctvom autentifikačnej aplikácie - druhý faktor. To znamená, že ak sa vám niekto (hacker) bude chcieť dostať k účtom, tak bude musieť ukradnúť nielen vaše heslo, ale aj váš telefón, aby sa dostal do vášho účtu.
Prečo by sme teda nemali ako autentifikačnú aplikáciu využívať textové správy prijímané ako SMS?
Jednoduchým faktom je, že príjem 2FA kódu (tj. druhého overovacieho kódu) prostredníctvom SMS je menej bezpečný ako použitie autentifikačnej aplikácie. Hackerom sa podarilo oklamať užívateľov „v mene operátorov“, aby si preniesli svoje telefónne číslo na nové zariadenie výmenou SIM karty. Hacker, tak môže ľahko spoznať vaše telefónne číslo, ako aj vaše ďalšie osobné údaje. Niektoré z týchto údajov z času na čas unikajú aj z bánk a veľkých spoločností. Keď hacker presmeruje vaše telefónne číslo k sebe, tak už nepotrebuje váš fyzický telefón, aby získal prístup k vašim kódom 2FA, ktoré vám prídu ako SMS správa. Potom sú tu tiež slabiny aj v samotnom mobilnom telekomunikačnom systéme. Pri útoku nazývanom SS7 môže hacker špehovať systém mobilných telefónov, počúvať hovory, zachytávať textové správy a zisťovať polohu vášho telefónu.
Čo teda použiť?
Lepším riešením ako prijať druhý kód prostredníctvom SMS správy je napríklad aplikácia na overenie totožnosti, napríklad Google Authenticator, Microsoft Authenticator alebo Authy. Výhodou je, že sa nemusíte spoliehať na svojho operátora. Kódy zostanú v aplikácii, ktorú ste si vy zosynchronizovali s vašim účtom a aj keď sa hackerovi podarí dostať k vašej SMS správe, tak mu to nepomôže. Kódy v týchto aplikáciách sa rýchlo menia - zvyčajne asi po 30 sekundách. Okrem toho, že aplikácia je na overenie bezpečnejšia ako SMS, je aj rýchlejšia, ako zdĺhavé čakania na SMS správu a manuálne zadávanie šesťmiestneho kódu. Stačí kliknúť na tlačidlo a overiť svoju totožnosť.
Potrebujeme vôbec dvojfaktorovú autentizáciu, ak sú SMS také zraniteľné?
Áno! Okrem vytvárania silných hesiel a používania rôznych hesiel pre každý z vašich účtov je nastavenie 2FA najlepším krokom, ktorý môžete urobiť pre zabezpečenie svojich online účtov, a to aj v prípade, ak zotrváte pri prijímaní 2FA kódov prostredníctvom SMS. Dvojstupňové overenie pomocou SMS je lepšie ako jednokrokové overenie, kedy by hackerovi stačilo získať alebo uhádnuť len vaše heslo, aby získal prístup k vašim údajom. Vtedy ste jednoducho ľahším terčom.