<<< Melyik felhőt válasszam?Google fiók biztonsági beállításai >>>

SMS, mint második faktor?2020-10-05

A közelmúltban olyan esetek jelentek meg a hírekben, ahol csalók úgy fosztották ki áldozataik bankszámláját, hogy megkerülték a bank által alkalmazott SMS-alapú kétfaktoros autentikációt.

A kétfaktoros autentikáció manapság alapnak számít, minden internetes bejelentkezés esetén célszerű bekapcsolni. Ilyenkor a jelszó mellett egy másik módon is azonosítjuk magunkat belépéskor. Háromféle módon azonosíthatjuk magunkat:

1) tudás alapon (pl. jelszó segítségével), ilyenkor megkérdeznek tőlünk valamit, amit csak mi tudhatunk;

2) tulajdon alapon (pl. mobiltelefon, kulcs, chipkártya, egyszeri jelszót generáló token), ilyenkor egy tárgyat keres a rendszer, ami csak minálunk lehet;

3) biometriai alapon (pl. ujjlenyomat, hangminta, arcfelismerés), ilyenkor a valamely biológiai jellemzőnket mérik meg, és az alapján döntik el, mi vagyunk-e azok;

Jó megoldásnak tartják, ha e három közül legalább kettőt használ egy rendszer.

SMS esetén a jelszó melletti másik faktor a mobiltelefonunk. Úgy dönti el a rendszer, hogy én akarok-e belépni, hogy SMS-ben küld egy egyszeri kódot az én telefonszámomra. Az tudja beírni a kódot, akinél ott van az én mobiltelefonom (vagy SIM kártyám).

Az SMS-t mindig is "gyenge" második faktornak tartották. A 2018-as Reddit hack során a támadó látványosan megkerülte az SMS alapú második faktort. Habár az SMS, mint technológia sem biztonsági szerepet kellene, hogy betöltsön, vegyük észre, hogy kifejezetten low-tech támadások is működnek. Elegendő, ha a csaló bemegy a mobilszolgáltatóhoz, és új SIM kártyát kér az ügyfél nevében. Ha meg tudja győzni a mobilszolgáltató dolgozóját, meg tudja kerülni az SMS alapú második faktort, mert onnantól ő kapja meg a neki szóló SMS-eket. Ha mégsem sikerül meggyőzni a szolgáltató munkatársát, az valószínűleg nem rendőrt hív, csak megkéri az illetőt, hogy hozzon ilyen és ilyen igazolványt, a csaló pedig elmegy egy másik irodába, és ott kér kártyacserét. A mobilszolgáltatók folyamatait nem arra tervezték, hogy sokmilliós vagyonokat védjenek. Az SMS, mint második faktor praktikus ugyan, de kerülendő.

A mobiltelefonon futó autentikátor alkalmazást tartják ma a legjobb megoldásnak. Egyes cégeknek saját autentikátora van (pl. Steam), de még jobb, ha egy oldal standard megoldást használ, amely bármilyen szabványos autentikátorral együtt működik. Ilyen pl. a Google Authenticator, amely a TOTP szabvány (RFC6238) szerint működik, és nagyon sok oldallal használható (pl. Gmail, Facebook, Linkedin, stb, stb).

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.