Україна
Чому звичайні SMS небезпечні для двохфакторної автентифікації

Чому звичайні SMS небезпечні для двохфакторної автентифікації

Ua ru
Дата публікації: 19 лютого 2026 14:24
Не використовуйте звичайні SMS для двохфакторної автентифікації — чому це небезпечно
Звичайні SMS-повідомлення не варто використовувати для двохфакторної автентифікації. Фото: Unsplash. Колаж: Новини.LIVE

Двофакторна автентифікація справді знижує шанс злому акаунтів, але спосіб отримання коду має вирішальне значення. Експерти закликають відмовлятися від SMS як другого фактора, бо цей канал зв'язку історично не проєктували з урахуванням сучасної кібербезпеки.

Про те, чому не варто використовувати звичайні SMS для отримання кодів двохфакторної автентифікації, пише MakeUseOf.

Читайте також:

Чому не варто використовувати SMS для двохфакторної автентифікації

SMS-код часто обирають через зручність: не потрібно встановлювати застосунки, достатньо вказати номер телефону, а повідомлення приходить навіть на простий кнопковий телефон і без інтернету. Саме ця доступність і зробила SMS наймасовішим варіантом 2FA.

Проблема в тому, що SMS працює поверх застарілої телеком-інфраструктури. Йдеться про протоколи сигналізації SS7, які з'явилися задовго до нинішньої моделі загроз і спираються на довіру всередині мережі — без сучасних механізмів криптографічної перевірки джерела повідомлень. У такій моделі зловмисник, який отримав доступ до сигнальної мережі (зокрема через слабко захищені ланки у провайдерах), потенційно може перехоплювати або підміняти SMS із одноразовими кодами.

SMS не має end-to-end шифрування, яке стало нормою для месенджерів і частини сервісів обміну повідомленнями. Це означає, що перехоплені повідомлення можуть бути прочитані, а разом із вмістом часто стають доступними й технічні дані, прив'язані до доставки (метадані).

Другий великий ризик пов'язаний не з технологією, а з людським фактором: SIM-swapping. Йдеться про сценарій, коли зловмисники обманом або через фішинг добиваються перенесення номера жертви на SIM-картку, яку контролюють самі — і тоді отримують усі коди 2FA, що приходять на цей номер.

Є й практичний бік: доставка SMS інколи підводить у критичний момент — коди можуть приходити із затримками або не приходити зовсім, і це ускладнює вхід у сервіс, коли доступ потрібен терміново.

Як альтернативи SMS можна використовувати застосунки-автентифікатори з одноразовими кодами TOTP (вони генеруються локально та оновлюються через короткі інтервали), passkeys як ключ доступу, що зберігається на пристрої, а також апаратні ключі безпеки.

При цьому варто пам'ятати, що смартфон сьогодні зберігає набагато більше, ніж просто SMS-коди. У ньому можуть міститися документи, банківські сповіщення та інша конфіденційна інформація.

Схожа ситуація й із паролями, збереженими в браузері. Можливість входити в акаунти одним кліком здається ідеальним рішенням, особливо коли дані синхронізуються між телефоном, ноутбуком і планшетом. Проте зручність не завжди означає безпеку — і саме тут криється потенційна точка компрометації.

персональні дані смартфон повідомлення безпека пароль двофакторна автентифікація
Володимир Мололкін - редактор
Автор:
Володимир Мололкін
