Autentificarea în doi pași: Aplicație sau SMS?

Autentificarea în doi pași (2FA) a devenit ceva imperativ în lumea digitală de azi, în care infractorii au învățat cum să compromită aproape orice parolă. Deși autentificarea în doi pași prin SMS este mai bună decât niciun fel de autentificare în doi pași, aplicațiile de autentificare au avantajul că oferă măsuri de protecție mai solide împotriva hackerilor care încearcă să-ți compromită conturile online.

Schimbarea abordării privind autentificarea în doi pași prin SMS de către Twitter a generat un val de controverse și a creat ocazia ca magazinele de aplicații să fie inundate cu aplicații de autentificare în doi pași care ascund fraude.

În februarie, Twitter anunța că procesul de autentificare în doi pași pe baza numărului de telefon era abuzat de șarlatani. Însuși CEO-ul companiei, Elon Musk, a declarat în acel moment că autentificarea în doi pași prin SMS nu era doar o măsură nesigură, ci și o pierdere de bani.

Indiferent de ce parte a problemei te-ai afla, adevărul este că autentificarea în doi pași prin SMS prezintă câteva vulnerabilități pe care infractorii le exploatează.

Punctele slabe ale autentificării în doi pași prin SMS

Înșelăciunea denumită SIM swapping este unul dintre cele mai bune exemple ale modului în care un hacker poate trece de 2FA și, eventual, goli contul bancar sau portofelul cripto al unei persoane. În 2018, investitorului în criptomonede Michael Terpin, fondator și CEO al Transform Group, i s-au furat aproape 24 de milioane de dolari de către un adolescent care a interceptat codurile 2FA trimise pe numărul acestuia.

Hackerii vor utiliza scurgerile de date, evidențele publice sau ingineria socială pentru a obține numărul tău de telefon, apoi vor mitui sau vor păcăli un angajat al operatorului tău să porteze numărul tău pe o cartelă SIM duplicat pe care aceștia o controlează. Acest lucru le permite să primească prin SMS codurile tale de verificare și să-ți acceseze conturile online.

Atacurile de phishing prin SMS sau smishing sunt o altă metodă populară pe care o utilizează infractorii pentru a fura coduri de verificare și a obține acces la contul unei persoane.

Tehnica poate facilita și șantajul, așa cum s-a întâmplat în cazul lui Dennis Su, în vârstă de 20 de ani, care utiliza date personale furate pe care hackerii le postau online pentru a trimite mesaje text către oameni amenințându-i că le va compromite identitatea dacă nu transferă suma de 2.000 de dolari în contul lui bancar.

De asemenea, este important de știut că mesajele SMS sunt transmise prin canale necriptate, ceea ce înseamnă că pot fi interceptate și citite de oricine are un motiv să intercepteze mesajul.

Mesajele SMS pot fi citite cu ușurință și de persoanele cu acces fizic la telefonul victimei. Mai mult, nu există nicio cale de a preveni sau controla locația către care este trimis SMS-ul, iar autentificarea în doi pași prin SMS poate uneori să aibă întârzieri sau să fie prea indulgentă cu timpul de expirare al codului, oferindu-le infractorilor o ocazie ideală pentru a exploata orice slăbiciune.

Avantajele utilizării unei aplicații de autentificare dedicate

Aplicațiile de autentificare nu sunt doar mai rapide și mai fiabile decât autentificarea în doi pași prin SMS, ci și aplică un nivel suplimentar de securitate, precum un cod de autorizare, o parolă sau autentificare biometrică (precum amprenta).

Aplicațiile de autentificare operează local, ceea ce înseamnă că un hacker nu-ți poate intercepta codurile, decât dacă dispozitivul tău este infectat cu un malware care fură date, însă acesta este un alt subiect de discuție.

O aplicație de autentificare va afișa un cronometru cu numărătoare inversă pentru coduri și va genera un cod nou atunci când timpul expiră, îngreunând interceptarea codurilor pentru orice persoană care nu are acces la telefonul tău.

La fel de important este și faptul că aplicațiile de autentificare nu prezintă niciuna dintre vulnerabilitățile procesului de autentificare în doi pași prin SMS.

Așa cum am precizat mai sus, aplicațiile 2FA care ascund fraude pot fi o problemă, așa că utilizează doar aplicații de autentificare de încredere precum cele de la Google sau Microsoft. Utilizatorii Apple pot opta pentru autentificatorul integrat al iOS. Deși instrumentul Apple nu este la fel de intuitiv precum aplicațiile propriu-zise de autentificare, este însă fiabil și sigur.

Reține că autentificarea în doi pași nu te protejează împotriva malware-ului, așa că ai în vedere instalarea unei soluții de securitate dedicate pentru dispozitivele tale personale, inclusiv pentru telefon.