Dvojfaktorové overenie (2FA) patrí medzi najbežnejšie bezpečnostné opatrenia, ktoré majú chrániť naše online účty pred neoprávneným prístupom. No nie všetky formy 2FA sú rovnako spoľahlivé. Najmä overovanie pomocou SMS správ má vážnu slabinu, o ktorej sa v poslednej dobe hovorí čoraz viac.
Zatiaľ čo zasielanie jednorazového kódu cez SMS sa môže zdať bezpečné, pravdou je, že tieto správy často prechádzajú cez externých sprostredkovateľov. A práve tu sa začínajú objavovať vážne riziká.
Ako upozornila agentúra Bloomberg, jeden z informátorov z odvetvia odhalil obrovský balík približne milióna SMS správ, ktoré obsahovali 2FA kódy odoslané v júni 2023. Tieto správy prešli cez švajčiarsku spoločnosť Fink Telecom Services, ktorá ich síce len technicky sprostredkovala, no stále mohla mať prístup k údajom o odosielateľovi, príjemcovi aj samotnému obsahu správ.
Na zozname odosielateľov figurovali technologickí giganti ako Amazon, Google, Meta, Signal, WhatsApp, Snapchat či Tinder. Aj keď spoločnosť Fink tvrdí, že do obsahu správ nenazerá a už sa oblasti „sledujúcich služieb“ nevenuje, incident opäť otvára otázku: Je SMS stále vhodný spôsob na overovanie totožnosti?
Odborníci odporúčajú presun k bezpečnejším alternatívam, ako sú:
- autentifikačné aplikácie (napr. Google Authenticator, Microsoft Authenticator, Authy),
- biometrické overenie (odtlačky prstov, rozpoznanie tváre),
- prípadne hardvérové bezpečnostné kľúče (napr. YubiKey).
Tieto metódy generujú kódy lokálne, bez nutnosti sprostredkovateľa, čím významne znižujú riziko odpočúvania alebo manipulácie.
