Trudno sobie wyobrazić życie bez dwuetapowej weryfikacji. Robimy to niemal wszyscy, czy to w banku, czy to logując się do serwisów społecznościowych. Narodowy Instytut Standardów i Technologii, rządowa agencja USA twierdzi jednak, że powinniśmy się obawiać o bezpieczeństwo takich metod weryfikacji.
NIST zwraca uwagę na to, że numery telefonu są ściśle związane z kartami SIM za pośrednictwem bazy danych dostawcy usług telefonicznych. Jeśli haker jest w stanie przekonać usługodawcę, że to on jest właścicielem numeru i zgubił swój telefon - wtedy stary numer "przejdzie" na nową kartę, która od teraz będzie w posiadaniu oszusta, a tym samym uzyska on dostęp do wszystkich naszych smsowych kodów. Zdaniem NIST taka metoda weryfikacji jest także niebezpieczna, gdyż hakerzy potencjalnie mogliby użyć sieci VOIP i przekierowywać smsy na ich urządzenia, a ich konkluzja jest taka, że sam fakt otrzymania SMSa nie jest równoznaczna z posiadaniem danego urządzenia.
Schemat pokazujący jak działa dongle typu U2F
Amerykańska agencja rządowa nie rysuje jednak przyszłości dwuetapowej weryfikacji w kompletnie czarnych barwach. Wg niej nadal istnieje kilka efektywnych narzędzi tego typu autentykacji:
- Tzw. tokeny, cyklicznie generujące kody - czyli urządzenia wielkości pendrive'a , z małym ekranikiem, które co jakiś czas wyświetlają kilkuznakowy kod.
- Aplikacje w stylu Google Authenticator, które generują unikatowe kody (w podobny sposób do keyfobów), które w regularnych odstępach czasu są zastępowane nowymi.
- Dongle stworzone na podstawie standardu U2F - uwiarygodnienie dostępu do strony internetowej odbywa się po uprzednim zeskanowaniu odcisków palców.
- Systemy używające powiadomień typu push(np. Google w systemie Android), którymi potwierdzamy nasze logowanie - z racji tego, że telefon jest identyfikowany poprzez kartę SIM, tylko zestaw unikatowych kluczy produktu, nie da się tych informacji przekierować gdzie indziej.
Pokaż / Dodaj komentarze do: Rządowa agencja USA uważa, że autoryzacja SMS-ami nie jest bezpieczna