Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Mobilni telefoni, 15.03.2023, 09:00 AM

Dvofaktorska autentifikacija (2FA) postala je imperativ u današnjem digitalnom svetu, pošto su kriminalci naučili da kompromituju skoro svaku lozinku. Iako je 2FA zasnovana na SMS-u bolja nego da uopšte nema 2FA zaštite, aplikacije za autentifikaciju pružaju bolju zaštitu od hakovanja onlajn naloge.

Twitterova najava da će od 20. marta SMS dvofaktorsku autentifikaciju moći da koriste samo Twitter Blue pretplatnici izazvala je dosta kontroverzi i dovela do toga da su prodavnice aplikacija preplavljene lažnim 2FA aplikacijama.

Twitter je u februaru rekao da prevaranti zloupotrebljavaju SMS dvofaktorsku autentifikaciju. Sam izvršni direktor Ilon Musk je u to vreme rekao da 2FA bazirana na SMS-u nije samo nesigurna, već i da kompanija zbog nje ima gubitke.

Slabosti SMS 2FA

Zamena SIM kartice (SMS swapping) je jedan od najboljih primera kako prevaranti mogu pobediti 2FA i, na primer, isprazniti nečiji bankovni račun ili kriptonovčanik. 2018. godine jedan tinejdžer ukrao je skoro 24 miliona dolara u kripto valuti od investitora Majkla Terpina, osnivača i izvršnog direktora Transform Grupe, tako što je presreo 2FA kodove poslate na njegov telefonski broj.

Sajber-kriminalci će koristiti curenje podataka, javno dostupne podatke ili društveni inženjering da bi došli do vašeg telefonskog broja, a zatim mogu podmititi ili prevariti zaposlenog u kompaniji koja je vaš mobilni operater da dobiju duplikat SIM kartice sa vašim brojem. Ovo im omogućava da dobiju vaše SMS verifikacione kodove i provale u vaše različite onlajn naloge.

SMS phishing, ili smishing, je još jedan popularan metod koji prevaranti koriste da ukradu verifikacione kodove i dobiju pristup nečijem nalogu.

Ista tehnika takođe može da olakša iznudu, kao što je bio slučaj sa 20-godišnjim Denisom Suom koji je koristio ukradene podatke koje su hakeri postavili na internet da bi slao poruke ljudima u kojima im je pretio da će kompromitovati njihov identitet ukoliko ne prebace 2.000 dolara na njegov bankovni račun.

Takođe je važno znati da se SMS poruke prenose preko nešifrovanih kanala, što znači da ih može presresti i pročitati svako ko želi i ume da presretne poruku.

I naravno, SMS poruke može lako da pročita svako ko ima fizički pristup telefonu žrtve. Takođe, SMS 2FA ponekad može kasniti, dajući napadačima priliku da iskoriste svaku slabost.

Prednosti korišćenja namenske aplikacije za autentifikaciju

Aplikacije za autentifikaciju nisu samo brže i pouzdanije od SMS 2FA, one takođe primenjuju dodatni sloj zaštite, kao što su šifra, lozinka ili biometrija. Aplikacije za autentifikaciju rade lokalno, što znači da nema načina da napadač presretne vaše kodove, osim ako vaš uređaj nije zarazio malverom koji je dizajniran za krađu podataka.

Aplikacija za autentifikaciju pokazuje tajmer koji odbrojava vreme važenja za vaše kodove i generisaće nove kada vreme istekne, što otežava napadaču da presretne te kodove bez pristupa vašem telefonu.

Što je najvažnije, aplikacije za autentifikaciju ne pokazuju nijednu od slabosti SMS 2FA.

Međutim, lažne 2FA aplikacije mogu biti problem, pa koristite samo pouzdanu aplikaciju za autentifikaciju poput Googleove ili Microsoftove. Appleovi korisnici takođe mogu da se odluče za ugrađeni autentifikator iOS-a. Appleov alat možda nije toliko intuitivan kao samostalne aplikacije za autentifikaciju, ali je i dalje pouzdan i siguran.

Imajte na umu da višefaktorska autentifikacija ne štiti od malvera, pa razmislite o korišćenju namenskog bezbednosnog rešenja na svojim uređajima, uključujući i telefon.

Naslovna fotografija: Firmbee.com / Unsplash