Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

Americký Národní institut pro standardy a technologie (NIST, National Institute for Standards and Technology) upozornil, že dvoufázové ověření přes SMS není bezpečné a do budoucna nedoporučí jeho používání. Institut neuvedl, v čem vidí problém, což může působit podivně, ale odborníci pravděpodobně nechtějí ještě více upozornit na slabiny systému.

Se svým komentářem nicméně přispěchali jiní bezpečnostní experti a uvedli hned několik bodů, ve kterých jsou SMS zranitelné.

  • Nejjednodušší zjištění zaslaného kódu? Přečtete jej i z notifikace na lockscreenu zamknutého telefonu.
Klepněte pro větší obrázek
Stačí zatáhnout za notifikaci a útočník uvidí i klíčový obsah, který je na konci zprávy. Tedy pokud je uživatel neopatrný a nechává si obsah notifikací na lockscreenu zobrazovat.
  • Ve smartphonu může být aktivní malware, který předá veškerý obsah textových zpráv útočníkovi.
  • K SMS se dá dostat i prostřednictvím fatální chyby „Signalizačního systému 7“, která je součástí mobilních sítí po celém světě a její odstranění je z krátkodobého hlediska prakticky nemožné. Se správným vybavením stačí znát telefonní číslo oběti a dostanete se nejen k jeho SMS, ale můžete odposlouchávat i hovory. Díky této metodě je paradoxně jednodušší dostat se k účtu zabezpečenému přes SMS – stačí využít služby pro obnovu zapomenutého hesla.

Čím SMS nahradit a proč jen tak nezmizí

Proč se zabezpečení přes SMS tak hojně používá? Je univerzální. Uživatel nemusí mít přístup k internetu, vlastně nemusí mít ani smartphone, textovka přijde i na starý tlačítkový mobil. Čím si NIST představuje, že bychom měli tuto metodu do budoucna nahradit? Biometrií, aplikacemi, které generují jednorázová hesla, nebo hardwarovými tokeny.

 

Co je dvoufázové ověření přes SMS

Bezpečnostní praktika doporučovaná i těmi největšími firmami současného internetu (Google, Facebook a další). Pokud máte toto zabezpečení aktivní, pro přihlášení k účtu nestačí obvyklá kombinace jména a hesla, ale systém ještě zasílá unikátní kód na telefonní číslo uživatele. Až po jeho správném vyplnění dojde k přihlášení ke službě, nebo třeba k provedení platby v případě internetového bankovnictví.

Diskuze (32) Další článek: Huawei začal prodávat model Y6 II. Nenápadná novinka má co nabídnout

Témata článku: Google, Mobilní aplikace, Google, Bezpečnost, SMS, Facebook, Sociální sítě, Zabezpečení, Dvoufázové ověření, Bezpečnostní expert, Pře, FAC, Token, Ban, Národní Institut, Největší firma, Signalizační systém, Nen, Google +, Unikátní kód, Barre



Není jen na hraní. Virtuální a rozšířená realita slouží pro dobrou věc

Není jen na hraní. Virtuální a rozšířená realita slouží pro dobrou věc

Po nepříliš velkém úspěchu v herním světě by se mohlo zdát, že už virtuální realita není v kurzu. Opak je však pravdou – nachází uplatnění ve školství, u zaměstnavatelů, ve zdravotnictví či v armádě.

Antonín Trčálek
Rozšířená realitaVirtuální realita
Vybrali jsme nejlepší telefony, které si v říjnu 2021 můžete koupit

Vybrali jsme nejlepší telefony, které si v říjnu 2021 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska
TelefonySmartphonyNákup a ceny
Ode dneška se vydávají nové občanky včetně NFC a otisků prstů
Lukáš Václavík
eObčankaČeskoeGovernment
Recenze mobilu Samsung Galaxy A52s. Bestseller dostal ještě výkonnější čipset

Recenze mobilu Samsung Galaxy A52s. Bestseller dostal ještě výkonnější čipset

** Otestovali jsme oživenou stálici střední třídy ** Galaxy A52s podědil to nejlepší po Galaxy A52, navrch přidává výrazně výkonnější čipset ** Střední třída má nový bestseller, který se dočká tří velkých updatů Androidu. A to je stále rarita

Martin Chroust
GalaxyRecenze
Revolut Bank míří do Česka. Co to znamená pro stávající uživatele?
Lukáš Václavík
FintechRevolutPlacení mobilem
Americký tryskový dron Coyote vyřídíl hejno dronů protivníka

Americký tryskový dron Coyote vyřídíl hejno dronů protivníka

** Americká armáda poprvé úspěšně otestovala likvidaci hejna dronů vzdušným prostředkem, který nezahrnoval kinetický útok ** Proti hejnu 10 dronů byly použity malé tryskové drony Coyote Block 3 společnosti Raytheon ** Ty byly vybaveny systémem pro elektronický boj nebo nějakou energetickou zbraní

Stanislav Mihulka
ArmádaUSADrony