SMS-põhine kahefaktoriline autentimine (2FA) on laialdaselt kasutatav meetod kasutaja autentimise turvalisuse suurendamiseks arvutisüsteemides. See hõlmab mobiiltelefoni kasutamist SMS-i teel ühekordse parooli (OTP) saamiseks, mille kasutaja seejärel autentimisprotsessi lõpuleviimiseks sisestab. Kuigi SMS-põhine 2FA pakub traditsioonilise kasutajanime ja parooli autentimisega võrreldes täiendavat turvakihti, pole see piiranguteta.
SMS-põhise 2FA üks peamisi piiranguid on selle haavatavus SIM-i vahetamise rünnakute suhtes. SIM-kaardi vahetamise ründes veenab ründaja mobiilsideoperaatorit kandma ohvri telefoninumbri ründaja kontrolli all olevale SIM-kaardile. Kui ründaja kontrollib ohvri telefoninumbrit, saab ta pealt kuulata OTP-d sisaldava SMS-i ja kasutada seda 2FA-st mööda hiilimiseks. Seda rünnet saab hõlbustada sotsiaalse manipuleerimise tehnikate või mobiilsideoperaatori kontrollimisprotsesside turvaaukude ärakasutamise kaudu.
Teine SMS-põhise 2FA piirang on SMS-sõnumi pealtkuulamise võimalus. Kui tavaliselt pakuvad mobiilsidevõrgud kõne- ja andmeside krüptimist, siis SMS-sõnumid edastatakse sageli lihttekstina. See jätab nad haavatavaks pealtkuulamise eest ründajate poolt, kes saavad pealt kuulata mobiilsidevõrgu ja saaja seadme vahelist sidet. Pärast pealtkuulamist saab ründaja kasutada OTP-d, et saada volitamata juurdepääs kasutaja kontole.
Lisaks tugineb SMS-põhine 2FA kasutaja mobiilseadme turvalisusele. Seadme kaotsimineku või varguse korral pääseb seadet omav ründaja hõlpsasti juurde OTP-d sisaldavatele SMS-sõnumitele. Lisaks võivad seadmesse installitud pahavara või pahatahtlikud rakendused SMS-sõnumeid pealt kuulata või nendega manipuleerida, seades ohtu 2FA protsessi turvalisuse.
SMS-põhine 2FA toob kaasa ka potentsiaalse ühe tõrkepunkti. Kui mobiilsidevõrgus esineb teenusekatkestus või kui kasutaja asub halva mobiilsidevõrgu levialaga piirkonnas, võib OTP edastamine viibida või isegi ebaõnnestuda. See võib põhjustada selle, et kasutajad ei pääse oma kontodele juurde, mis võib põhjustada pettumust ja potentsiaalselt tootlikkuse vähenemist.
Lisaks on SMS-põhine 2FA vastuvõtlik andmepüügirünnakutele. Ründajad saavad luua veenvaid võltsitud sisselogimislehti või mobiilirakendusi, mis paluvad kasutajatel sisestada oma kasutajanime, parooli ja SMS-i teel saadud OTP. Kui kasutajad langevad nende andmepüügikatsete ohvriks, saab ründaja nende volikirjad ja OTP-d kinni püüda ning seejärel kasutada neid kasutaja kontole volitamata juurdepääsu saamiseks.
Kuigi SMS-põhine 2FA pakub traditsioonilise kasutajanime ja parooli autentimisega võrreldes täiendavat turvakihti, pole see piiranguteta. Nende hulka kuuluvad haavatavus SIM-i vahetamise rünnakute suhtes, SMS-sõnumite pealtkuulamine, kasutaja mobiilseadme turvalisusele tuginemine, võimalikud üksikud tõrkepunktid ja vastuvõtlikkus andmepüügirünnakutele. Organisatsioonid ja kasutajad peaksid olema nendest piirangutest teadlikud ja kaaluma alternatiivseid autentimismeetodeid, nagu rakendusepõhised autentijad või riistvaramärgid, et leevendada SMS-põhise 2FA-ga seotud riske.
Muud hiljutised küsimused ja vastused selle kohta Autentimine:
- Millised on potentsiaalsed riskid, mis on seotud ohustatud kasutajaseadmetega kasutaja autentimisel?
- Kuidas aitab UTF-mehhanism vältida kasutaja autentimisel vahejuhtumite rünnakuid?
- Mis on väljakutse-vastuse protokolli eesmärk kasutaja autentimisel?
- Kuidas parandab avaliku võtme krüptograafia kasutaja autentimist?
- Millised on paroolidele alternatiivsed autentimismeetodid ja kuidas need turvalisust suurendavad?
- Kuidas saab paroole ohtu seada ja milliseid meetmeid paroolipõhise autentimise tugevdamiseks võtta?
- Milline on kompromiss kasutaja autentimise turvalisuse ja mugavuse vahel?
- Millised on kasutaja autentimisega seotud tehnilised väljakutsed?
- Kuidas Yubikey ja avaliku võtme krüptograafiat kasutav autentimisprotokoll kontrollib sõnumite autentsust?
- Millised on universaalse 2. faktori (U2F) seadmete kasutamise eelised kasutaja autentimiseks?
Vaadake rohkem küsimusi ja vastuseid jaotises Autentimine