Ivan Mančić
Dvofaktorska autentifikacija (2FA) je zamišljena kao dodatni sloj zaštite koji otežava pristup uređajima i nalozima neovlašćenim korisnicima. Ipak, realnost pokazuje da ni ovaj sistem nije nepogrešiv, naročito kada se koristi najčešći, ali i najslabiji metod dostave: SMS.
Iako većina korisnika i dalje prima jednokratne verifikacione kodove putem SMS poruka, stručnjaci već godinama upozoravaju da je ovaj kanal ranjiv. Problem ne leži samo u samoj tehnologiji, već i u kompanijama koje posreduju u slanju ovih poruka.
Milion poruka kroz sumnjiv kanal
Kako otkriva Bloomberg, došli su u posed baze sa oko milion SMS poruka poslatih u junu 2023. godine koje su sadržale 2FA kodove, zajedno sa podacima o putu poruke od pošiljaoca do korisnika. Sve su prošle kroz švajcarsku firmu Fink Telecom Services, čije je poslovanje već ranije bilo predmet sumnje u vezi sa nadzorom i privatnošću.
Pošiljaoci ovih poruka uključuju neke od najvećih tehnoloških imena: Amazon, Google, Meta, Snapchat, Tinder, Signal, WhatsApp… Bloomberg je uz pomoć nezavisnih stručnjaka potvrdio autentičnost poruka i putanja prenosa, što dodatno učvršćuje zabrinutost u vezi sa ovim slučajem.
Direktor kompanije, Andreas Fink, izjavio je da su pravne obaveze sprečavale njegovu firmu da “zaviri” u sadržaj poruka koje prenose, i da Fink Telecom više nije uključen u aktivnosti nadzora. Ipak, činjenica da su ovako poverljive informacije prošle kroz mrežu firme s problematičnom reputacijom izaziva opravdanu uzbunu.
Zamke SMS verifikacije i bolje alternative
Ovo nije prvi put da se otkrivaju slabosti u SMS 2FA sistemima. Samo mesec dana ranije, Valve je priznao da su hakeri pristupili brojevima telefona i SMS 2FA podacima većine korisnika Steam platforme.
Zbog toga stručnjaci sve češće savetuju korisnicima da se oslanjaju na sigurnije alternative, kao što su:
- Aplikacije za autentifikaciju (npr. Google Authenticator, Authy), koje generišu kodove lokalno, bez ikakvog uvida trećih strana.
- Biometrijska verifikacija, kao što su otisak prsta ili prepoznavanje lica.
- Hardverski 2FA ključevi, koji nude još viši nivo zaštite jer zahtevaju fizički pristup uređaju.
Vreme je za promenu navika
Dok su korisnici uvereni da im 2FA štiti privatnost, sve više dokaza pokazuje da metode bazirane na SMS porukama predstavljaju slabu kariku u lancu bezbednosti. U doba kada su podaci najvrednija valuta, oslanjanje na sigurne, lokalne ili hardverske metode autentifikacije više nije luksuz, već nužnost, zaključuje TechSpot.
Nema komentara 😞
Trenutno nema komentara vezanih za ovu vest. Priključi se diskusiji na Benchmark forumu i budi prvi koje će ostaviti komentar na ovaj članak!
Pridruži se diskusiji