SMS základě 2FA je nebezpečné

Q: Jaké jsou nejsilnější typy 2FA?

Nejsilnější druhé faktory jsou ty, které jsou odolné vůči phishingu a nelze je snadno zachytit. Patří sem FIDO2/WebAuthn bezpečnostní klíče (např. YubiKey, Titan Security Key), autentizační aplikace na bázi TOTP (Google Authenticator, Authy) a přístupové klíče. 2FA na základě SMS a e-mailu jsou slabší a měly by se, pokud je to možné, vyhnout.

Q: Proč je 2FA na základě SMS považováno za nebezpečné?

2FA na základě SMS je zranitelné vůči útokům na SIM swap, zneužití SS7 a phishingu. Útočníci mohou unést vaše telefonní číslo a zachytit ověřovací kódy, což z něj činí nedůvěryhodnou formu zabezpečení. Místo toho použijte bezpečnější možnost, jako je hardwareový klíč nebo TOTP autentizační aplikace.

Q: Co se stane, když ztratím svůj druhý faktor (např. telefon, YubiKey)?

Pokud ztratíte přístup ke svému druhému faktoru, možnosti obnovy zahrnují použití záložních kódů poskytnutých službou, použití záložního autentizačního zařízení nebo kontaktování podpory kvůli obnovení účtu. Doporučuje se nastavit více metod autentizace, aby se předešlo uzamčení.

Q: Mohou hackeři obejít 2FA?

I když 2FA výrazně zlepšuje zabezpečení, některé metody mohou být obcházeny phishingem, útoky typu man-in-the-middle a SIM swapem. Aby se tomu zabránilo, použijte autentizaci odolnou vůči phishingu, jako jsou hardwareové bezpečnostní klíče, přístupové klíče nebo autentizaci navázanou na zařízení.

Proč se Psono vyhýbá 2FA na základě SMS a soustředí se na silnější metody autentizace

Pokud jde o zabezpečení vašich hesel a citlivých dat, ne všechny metody dvoufaktorového ověřování (2FA) jsou stejné. Mnoho služeb stále nabízí 2FA na základě SMS, ale bezpečnostně uvědomělé platformy jako Psono se tomu zcela vyhýbají ve prospěch silnějších možností, jako jsou WebAuthn, YubiKey a TOTP (časově omezené jednorázové heslo).

Toto není jen preference—je to nezbytnost pro robustní zabezpečení. 2FA na základě SMS mají významné zranitelnosti a skutečné útoky prokázaly, že je to snadný cíl pro hackery. V tomto blogovém příspěvku rozebereme, proč je SMS 2FA slabé, a zdůrazníme útoky v reálném světě, které ukazují jeho nedostatky.

🔒 Slabost SMS 2FA

Ověřování na základě SMS je zranitelné vůči několika metodám útoku, včetně:

SIM swap – Útočníci obelstí mobilního operátora, aby převedl telefonní číslo oběti na novou SIM kartu, čímž přesměrují všechny SMS kódy.
SS7 útoky – Využití chyb v globálním protokolu Signaling System No. 7 (SS7) k dálkovému zachycení SMS zpráv.
Phishing & sociální inženýrství – K oklamání uživatelů, aby odhalili kódy na základě SMS prostřednictvím falešných přihlašovacích stránek.

Tyto rizika dělají z 2FA na základě SMS jednu z nejslabších forem autentizačního zabezpečení.

🛡️ Proč Psono používá silnější 2FA

Psono klade důraz na bezpečnost a podporuje pouze robustní 2FA metody, jako jsou:

WebAuthn (FIDO2) – Používá kryptografii na základě veřejného klíče a biometrii nebo hardwarové bezpečnostní klíče (například YubiKey).
YubiKey a jiné bezpečnostní klíče – Fyzické tokeny, které vyžadují přímý přístup pro ověření.
TOTP (Google Authenticator, Authy, atd.) – Jednorázová hesla generovaná na zařízení namísto přenosu přes SMS.

Tyto metody jsou výrazně bezpečnější, protože jsou odolné vůči phishingu, nespolehají se na mobilní operátory a eliminují riziko vzdáleného převzetí.

📢 Útoky v reálném světě na SMS 2FA

Pro ilustraci důvodů, proč Psono odmítá implementovat autentizaci na základě SMS, zde jsou útoky v reálném světě, které využily jejích slabin:

1. Čína cílí na americké telekomunikace (SS7 zneužití a další)

V únoru 2024 vydala FBI a CISA společné varování ohledně čínsko-státem sponzorovaných útoků na komerční telekomunikační sítě. Tyto útoky zneužily zranitelnosti v SS7—protokol pro směrování SMS zpráv. Útočníci byli schopni zachytávat ověřovací zprávy, což ukazuje, jak mohou být SMS 2FA kompromitována na systémové úrovni.

2. Útok na SIM swap na CEO Twitteru (X) Jacka Dorseyho (2019)

V roce 2019 byl v té době CEO Twitteru Jack Dorsey hacknut prostřednictvím útoku na SIM swap. Hackeři přiměli jeho mobilního operátora, aby převedl jeho telefonní číslo na jejich SIM kartu, což jim umožnilo zachytit 2FA SMS kódy a získat kontrolu nad jeho Twitter účtem.

3. Coinbase SIM swap útoky (2021) – Krádeže za tisíce dolarů

V roce 2021 Coinbase oznámil, že přes 6 000 zákazníků přišlo o finanční prostředky kvůli masivnímu útoku na základě SIM swapu. Hackeři zresetovali hesla obětí pomocí zachycených SMS kódů, získali plnou kontrolu nad účty a ukradli kryptoměny.

4. Únik dat Redditu v roce 2018 – SMS 2FA selhalo

V roce 2018, Reddit zažil únik dat, kde hackeři získali přístup k účtům zaměstnanců navzdory povolené 2FA na základě SMS. Útočníci použili zachycené SMS kódy k obcházení autentizace, čímž odhalili citlivá uživatelská data.

🚀 Budoucnost 2FA: Překročte rámec SMS

Pokud stále používáte 2FA na základě SMS, je čas přejít na silnější alternativy, jako jsou WebAuthn, YubiKey nebo autentizace na základě TOTP. Psono se svou oddaností bezpečnosti znamená, že nebude nabízet kompromis v podobě autentizace na základě SMS.

Chcete zůstat v bezpečí? Používejte hardwarové bezpečnostní klíče, TOTP aplikace nebo biometrickou autentizaci—nikdy se nespoléhejte pouze na autentizaci na základě SMS.

Zabezpečte si účty správně—odložte SMS 2FA!

Časté dotazy k dvoufaktorové autentizaci (2FA)

Co je dvoufaktorová autentizace (2FA) a proč je důležitá?

Dvoufaktorová autentizace (2FA) je další vrstva zabezpečení, která vyžaduje dvě formy ověření před poskytnutím přístupu k účtu. Namísto pouhého použití hesla potřebujete také druhý faktor, jako je:

Jednorázový kód z autentizační aplikace (TOTP)
Hardwareový bezpečnostní klíč (např. YubiKey, Titan Security Key)
Biometrická autentizace (otisk prstu, rozpoznání obličeje)

Výrazně snižuje riziko neoprávněného přístupu, i když útočník získá vaše heslo.

Jaké jsou nejsilnější typy 2FA?

Nejsilnější druhé faktory jsou ty, které jsou odolné vůči phishingu a nelze je snadno zachytit. Patří sem:

✅ FIDO2/WebAuthn bezpečnostní klíče (např. YubiKey, Titan Security Key)
✅ TOTP základě autentizační aplikace (Google Authenticator, Authy, Aegis)
✅ Přístupové klíče (bezheslová autentizace pomocí biometrie nebo hardwareových bezpečnostních klíčů)

Slabší metody (kterým se vyhnout):

❌ 2FA na základě SMS – Náchylné na útoky na základě SIM swap a zneužití SS7
❌ 2FA na základě e-mailu – Může být kompromitováno, pokud je váš e-mail hacknut

Proč je 2FA na základě SMS považováno za nebezpečné?

2FA na základě SMS je zranitelné vůči několika metodám útoku, jako jsou:

Útoky na SIM swap – Hackeři obelstí vašeho mobilního operátora, aby převedl vaše číslo na jejich SIM, čímž jim umožní přijímat vaše kódy 2FA.
SS7 zneužití – Útočníci zachytávají SMS zprávy díky zranitelnostem v telekomunikační infrastruktuře.
Útoky typu phishing – Falešné webové stránky obelstí uživatele, aby zadali své SMS kódy, což útočníkům umožní přihlásit se.

🔹 Lepší alternativy: Používejte hardwareové bezpečnostní klíče nebo TOTP aplikace místo 2FA na základě SMS.

Co se stane, když ztratím svůj druhý faktor (např. telefon, YubiKey)?

Pokud ztratíte přístup ke svému druhému faktoru, můžete obnovit svůj účet následujícím způsobem:

Použitím záložních kódů – Mnoho služeb poskytuje jednorázové záložní kódy při nastavení 2FA. Uložte je bezpečně.
Použitím záložního zařízení – Některé autentizační aplikace umožňují více zařízením ukládat TOTP kódy.
Kontaktování podpory – Některé služby nabízejí obnovení účtu, ale to může být pomalé a vyžaduje důkaz totožnosti.
Použitím druhého hardwareového klíče – Pokud je to vaše služba podporuje, zaregistrujte více bezpečnostních klíčů (primární + záložní).

🔹 Profesionální tip: Vždy nastavte více metod autentizace pro případ, že jedna selže.

Mohou hackeři obejít 2FA?

I když 2FA výrazně zlepšuje zabezpečení, některé metody mohou být obcházeny pokročilými útoky:

🚨 Běžné metody útoku:

Útoky typu phishing – Falešné přihlašovací stránky obelstí uživatele, aby zadali jak své heslo, tak k 2FA kód.
Man-in-the-Middle (MitM) útoky – Zachytávající autentizační tokeny přes nezabezpečené sítě.
SIM swapping – Přesměrování SMS kódů na telefon útočníka.

✅ Jak tomu předejít:

Používejte autentizaci odolnou vůči phishingu (WebAuthn, přístupové klíče, bezpečnostní klíče).
Zapněte autentizaci navázanou na zařízení (takže tokeny nelze zneužít vzdáleně).
Buďte opatrní ohledně podezřelých přihlašovacích stránek – Vždy ověřujte URL před zadáním přihlašovacích údajů.

napsáno Sascha Pfeiffer dne February 12, 2025

Hledáte něco více?

Podívejte se na naše nejnovější články zde!