Чому звичайні SMS небезпечні для двохфакторної автентифікації
Двофакторна автентифікація справді знижує шанс злому акаунтів, але спосіб отримання коду має вирішальне значення. Експерти закликають відмовлятися від SMS як другого фактора, бо цей канал зв'язку історично не проєктували з урахуванням сучасної кібербезпеки.
Про те, чому не варто використовувати звичайні SMS для отримання кодів двохфакторної автентифікації, пише MakeUseOf.
Чому не варто використовувати SMS для двохфакторної автентифікації
SMS-код часто обирають через зручність: не потрібно встановлювати застосунки, достатньо вказати номер телефону, а повідомлення приходить навіть на простий кнопковий телефон і без інтернету. Саме ця доступність і зробила SMS наймасовішим варіантом 2FA.
Проблема в тому, що SMS працює поверх застарілої телеком-інфраструктури. Йдеться про протоколи сигналізації SS7, які з'явилися задовго до нинішньої моделі загроз і спираються на довіру всередині мережі — без сучасних механізмів криптографічної перевірки джерела повідомлень. У такій моделі зловмисник, який отримав доступ до сигнальної мережі (зокрема через слабко захищені ланки у провайдерах), потенційно може перехоплювати або підміняти SMS із одноразовими кодами.
SMS не має end-to-end шифрування, яке стало нормою для месенджерів і частини сервісів обміну повідомленнями. Це означає, що перехоплені повідомлення можуть бути прочитані, а разом із вмістом часто стають доступними й технічні дані, прив'язані до доставки (метадані).
Другий великий ризик пов'язаний не з технологією, а з людським фактором: SIM-swapping. Йдеться про сценарій, коли зловмисники обманом або через фішинг добиваються перенесення номера жертви на SIM-картку, яку контролюють самі — і тоді отримують усі коди 2FA, що приходять на цей номер.
Є й практичний бік: доставка SMS інколи підводить у критичний момент — коди можуть приходити із затримками або не приходити зовсім, і це ускладнює вхід у сервіс, коли доступ потрібен терміново.
Як альтернативи SMS можна використовувати застосунки-автентифікатори з одноразовими кодами TOTP (вони генеруються локально та оновлюються через короткі інтервали), passkeys як ключ доступу, що зберігається на пристрої, а також апаратні ключі безпеки.
При цьому варто пам'ятати, що смартфон сьогодні зберігає набагато більше, ніж просто SMS-коди. У ньому можуть міститися документи, банківські сповіщення та інша конфіденційна інформація.
Схожа ситуація й із паролями, збереженими в браузері. Можливість входити в акаунти одним кліком здається ідеальним рішенням, особливо коли дані синхронізуються між телефоном, ноутбуком і планшетом. Проте зручність не завжди означає безпеку — і саме тут криється потенційна точка компрометації.
