SMS pagrįstas dviejų faktorių autentifikavimas (2FA) yra plačiai naudojamas metodas, skirtas padidinti vartotojo autentifikavimo saugumą kompiuterių sistemose. Tai apima mobiliojo telefono naudojimą, norint gauti vienkartinį slaptažodį (OTP) SMS žinute, kurį vartotojas įveda, kad užbaigtų autentifikavimo procesą. Nors SMS pagrindu sukurta 2FA suteikia papildomą saugumo lygį, palyginti su tradiciniu vartotojo vardo ir slaptažodžio autentifikavimu, jis nėra be apribojimų.
Vienas iš pagrindinių SMS pagrįstos 2FA apribojimų yra jo pažeidžiamumas dėl SIM keitimo atakų. Vykdydamas SIM keitimo ataką, užpuolikas įtikina mobiliojo ryšio tinklo operatorių perkelti aukos telefono numerį į užpuoliko valdomą SIM kortelę. Kai užpuolikas gali valdyti aukos telefono numerį, jis gali perimti SMS su OTP ir jį naudoti apeiti 2FA. Šią ataką galima palengvinti naudojant socialinės inžinerijos metodus arba išnaudojant mobiliojo tinklo operatoriaus patvirtinimo procesų pažeidžiamumą.
Kitas SMS pagrindu veikiančio 2FA apribojimas yra galimybė perimti SMS žinutę. Nors korinio ryšio tinklai paprastai užtikrina balso ir duomenų perdavimo šifravimą, SMS žinutės dažnai perduodamos paprastu tekstu. Tai daro juos pažeidžiamus, kad galėtų perimti užpuolikai, kurie gali pasiklausyti ryšio tarp mobiliojo ryšio tinklo ir gavėjo įrenginio. Sulaikytas vienkartinis užpuolikas gali būti naudojamas, kad gautų neteisėtą prieigą prie vartotojo paskyros.
Be to, SMS žinutėmis pagrįsta 2FA priklauso nuo vartotojo mobiliojo įrenginio saugumo. Jei įrenginys pametamas arba pavogtas, įrenginį turintis užpuolikas gali lengvai pasiekti SMS žinutes, kuriose yra OTP. Be to, įrenginyje įdiegtos kenkėjiškos programos arba kenkėjiškos programos gali perimti SMS žinutes arba jas manipuliuoti, taip pakenkdamos 2FA proceso saugumui.
SMS žinutėmis pagrįsta 2FA taip pat suteikia galimą vienintelį gedimo tašką. Jei mobiliojo ryšio tinkle nutrūksta paslauga arba vartotojas yra vietovėje, kurioje prasta korinio ryšio aprėptis, OTP pristatymas gali vėluoti arba net visiškai nepavykti. Dėl to naudotojai gali negalėti pasiekti savo paskyrų, o tai gali sukelti nusivylimą ir prarasti produktyvumą.
Be to, SMS žinutėmis pagrįsta 2FA yra jautri sukčiavimo atakoms. Užpuolikai gali sukurti įtikinamus netikrus prisijungimo puslapius ar programas mobiliesiems, kurios ragina vartotojus įvesti savo vartotojo vardą, slaptažodį ir SMS žinute gautą vienkartinį kodą. Jei naudotojai tampa šių sukčiavimo bandymų aukomis, užpuolikas gali užfiksuoti jų kredencialus ir vienkartinį slaptažodį, kuris gali juos panaudoti, kad gautų neteisėtą prieigą prie vartotojo paskyros.
Nors SMS pagrindu sukurta 2FA suteikia papildomą saugumo lygį, palyginti su tradiciniu vartotojo vardo ir slaptažodžio autentifikavimu, jis nėra be apribojimų. Tai apima pažeidžiamumą dėl SIM keitimo atakų, SMS žinučių perėmimą, pasitikėjimą vartotojo mobiliojo įrenginio saugumu, galimą vienintelį gedimo tašką ir jautrumą sukčiavimo atakoms. Organizacijos ir vartotojai turėtų žinoti apie šiuos apribojimus ir apsvarstyti alternatyvius autentifikavimo metodus, pvz., programomis pagrįstus autentifikavimo priemones arba aparatinės įrangos prieigos raktus, kad sumažintų riziką, susijusią su SMS žinutėmis pagrįstu 2FA.
Kiti naujausi klausimai ir atsakymai apie Atpažinimas:
- Kokia galima rizika, susijusi su pažeistais vartotojo įrenginiais, naudojant vartotojo autentifikavimą?
- Kaip UTF mechanizmas padeda apsisaugoti nuo „man-in-the-middle“ atakų atliekant vartotojo autentifikavimą?
- Koks iššūkio-atsakymo protokolo tikslas vartotojo autentifikavimui?
- Kaip viešojo rakto kriptografija pagerina vartotojo autentifikavimą?
- Kokie yra alternatyvūs slaptažodžių autentifikavimo metodai ir kaip jie padidina saugumą?
- Kaip galima pažeisti slaptažodžius ir kokių priemonių galima imtis norint sustiprinti slaptažodžiu pagrįstą autentifikavimą?
- Koks yra vartotojo autentifikavimo saugumo ir patogumo kompromisas?
- Kokie techniniai iššūkiai yra susiję su vartotojo autentifikavimu?
- Kaip autentifikavimo protokolas, naudojant Yubikey ir viešojo rakto kriptografiją, patikrina pranešimų autentiškumą?
- Kokie yra universalaus 2-ojo faktoriaus (U2F) įrenginių naudojimo vartotojo autentifikavimui pranašumai?
Peržiūrėkite daugiau klausimų ir atsakymų skiltyje Autentifikavimas