Bezpečnostní experti varujú pred rizikom využívania mobilnej SMS a hlasovej multifaktorovej autentifikácie. Avšak aj túto formu považujú za účinnejšiu ako žiadnu.
Aktivovanie multifaktorovej autentifikácie (MFA) sa vo všeobecnosti považuje na nevyhnutný postup k zabezpečeniu vlastných užívateľských účtov. Nie všetky jej typy sú však rovnako efektívne.
Expert Alex Weinert, riaditeľ bezpečnosti osobných údajov spoločnosti Microsoft, varuje pred neadekvátnosťou zabezpečenia pomocou užívania SMS a hlasovej MFA.
Ide o mechanizmy, ktoré sú založené na verejne komutovaných telefónnych sieťach a myslím, že zo všetkých MFA metód sú najmenej bezpečné.
Závislosť na plynulosti mobilnej siete
Za hlavné nedostatky mobilnej textovej a hlasovej MFA Weinert považuje obmedzený rozsah týchto správ a z toho vyplývajúce nedostatočné šifrovanie, ktoré je možné veľmi ľahko prelomiť. Signály vysielané sieťou môže zachytiť ktokoľvek s prístupom k prepínacej sieti alebo v rádiovom dosahu zariadenia.
Weinert za ďalší problém považuje výkon týchto systémov, ovplyvniteľný často nespoľahlivými službami mobilných operátorov.
Negatívne môžu na službu vplývať takisto rýchlo sa meniace regulácie, ktoré sa snažia riešiť spamové kampane zasielané mobilnou textovou formou. Vo svojej podstate narušujú celkovú plynulosť dodávok a spôsobujú časté výpadky služieb.
Ako výrazný nedostatok pre komerčné využitie vníma citlivosť MFA na techniky tzv. sociálneho inžinierstva. Pomocou nich sú kriminálnici schopní infiltrovať sa do oddelení spoločnosti a predstierať dôveryhodnosť.
Jeden stupeň overenia nestačí
Útoky na užívateľské účty pomocou prelomenia hesla sú medzi kybernetickými zločinmi pomerne populárne. Ich efektivita vzrastá práve z dôvodu nedôsledného prístupu samotných užívateľov, ktorí často využívajú slabé alebo totožné heslo na viacerých platformách.
MFA či dvojkrokové overovanie vzniklo práve za účelom väčšej ochrany užívateľov, než je tomu v prípade štandardnej ochrany pomocou jedného hesla.
Overenie sa realizuje pomocou troch metód, charakteristických odlišnými skupinami faktorov – vedomostných (PIN alebo heslo), vlastníckych (zariadenie ako napr. čítačka kariet alebo smartfón) a inherentných, využívajúcich špecifické atribúty viazané na užívateľa (odtlačky prstov, rozpoznanie hlasu).
Dvojstupňové overovanie využíva vždy práve dve z týchto metód, najčastejšie metódu pracujúcu s vedomostnými a vlastníckymi faktormi, a to v duchu hesla využiť „niečo, čo vieš a niečo, čo máš“.
Podľa bezpečnostného analytika Jakea Morrea zo spoločnosti ESET sú hackeri o slabinách SMS a hlasovej autentifikácie veľmi dobre informovaní.
Morre napriek tomu priznáva, že aj táto forma ochrany je lepšia ako žiadna:
Overovacie aplikácie by mali byť jedni z prvých, ktoré si do svojho zariadenia nainštalujete a budete užívať pre všetky účty.
Za ešte účinnejšiu ochranu pred sofistikovanými technikami sociálneho inžinierstva Morre považuje hardverové tokeny.
Jana Tuhrinová