Az SMS-alapú kétfaktoros hitelesítés nem biztonságos

Q: Mi a kétfaktoros hitelesítés (2FA), és miért fontos?

A kétfaktoros hitelesítés (2FA) egy extra biztonsági réteg, amely kétféle azonosítást kíván meg, mielőtt hozzáférést kapnánk a fiókhoz. Egy egyszerű jelszó helyett szükség van második tényezőre is, például egy egyszer használatos kódra hitelesítő alkalmazásból, fizikai biztonsági kulcsra vagy biometrikus azonosításra. Jelentősen csökkenti a jogosulatlan hozzáférés kockázatát, még akkor is, ha a támadó megszerezte a jelszavadat.

Q: Melyek a legerősebb 2FA típusok?

A legerősebb második tényezők azok, amelyek ellenállnak az adathalászatnak és nem lehet könnyen elfogni őket. Ilyenek a FIDO2/WebAuthn biztonsági kulcsok (pl. YubiKey, Titan Security Key), a TOTP-alapú hitelesítő alkalmazások (Google Authenticator, Authy), valamint a Passkey-k. Az SMS-alapú és email-alapú kétfaktoros hitelesítés gyengébb, ezért ha lehet, kerüld!

Q: Miért nem biztonságos az SMS-alapú 2FA?

Az SMS-alapú 2FA sebezhető SIM-cserés támadásokkal, SS7 kihasználással és adathalászattal szemben. A támadók el tudják lopni a telefonszámod, elfogva a hitelesítési kódokat, ezért megbízhatatlan biztonsági módszer. Ehelyett használj hardverkulcsot vagy TOTP hitelesítő alkalmazást.

Q: Mi történik, ha elvesztem a második tényezőt (pl. telefon, Yubikey)?

Ha elveszted a második tényezőhöz való hozzáférést, lehetőségeid: használhatod a szolgáltató által biztosított biztonsági (backup) kódokat, egy tartalék hitelesítő eszközt, vagy felveheted a kapcsolatot az ügyfélszolgálattal. Ajánlott több hitelesítési módszert is beállítani, hogy elkerüld a kizárást.

Q: A hackerek át tudják verni a kétfaktoros hitelesítést?

Bár a 2FA sokkal biztonságosabbá teszi a fiókjaidat, bizonyos módszereket meg lehet kerülni adathalászattal, közbeékelt támadással vagy SIM-cserével. Ezért mindig phishing-ellenálló módszereket érdemes választani, mint a hardverkulcsok, passkey-k vagy eszközhöz kötött hitelesítés.

Miért kerüli a Psono az SMS-alapú 2FA-t, és miért fókuszál erősebb hitelesítési módszerekre

Ha jelszavaid és érzékeny adataid védelméről van szó, nem minden kétfaktoros hitelesítési (2FA) módszer egyformán biztonságos. Számos szolgáltatás még mindig kínál SMS-alapú 2FA-t, azonban a biztonságra fókuszáló platformok, mint a Psono, teljesen elkerülik ezt, és inkább erősebb opciókat támogatnak, mint a WebAuthn, YubiKey és az időalapú egyszeri jelszavak (TOTP).

Ez nem csupán választás kérdése—szükségszerű a valódi biztonság érdekében. Az SMS-alapú 2FA-nak jelentős sebezhetőségei vannak, és a valós támadások bizonyították, hogy könnyű célpontot jelentenek a hackerek számára. Ebben a blogcikkben bemutatjuk, miért gyenge az SMS 2FA, és valós támadási példákkal érzékeltetjük a hiányosságait.

🔒 Az SMS-alapú 2FA gyengeségei

Az SMS-alapú hitelesítés több támadási módszerrel szemben is sebezhető, például:

SIM-cserés csalás – Támadók megtévesztik a mobilszolgáltatót, hogy az áldozat telefonszámát egy új SIM-kártyára helyezzék át, így elfoghatják az SMS kódokat.
SS7 támadások – A globális Signaling System No. 7 (SS7) protokoll hibáit kihasználva távolról is el lehet fogni az SMS üzeneteket.
Adathalászat & social engineering – Felhasználók megtévesztése, hogy átadják SMS-alapú kódjaikat hamis bejelentkező oldalak segítségével.

Ezek a kockázatok teszik az SMS-alapú 2FA-t az egyik leggyengébb hitelesítési módszerré.

🛡️ Miért csak erősebb 2FA-t támogat a Psono

A Psono prioritása a biztonság, csak a valóban erős kétfaktoros hitelesítési módszereket támogatjuk, mint:

WebAuthn (FIDO2) – Nyilvános kulcsú kriptográfiára, biometrikus azonosításra vagy fizikai biztonsági kulcsokra (pl. YubiKey) épül.
YubiKey & más biztonsági kulcsok – Olyan fizikai eszközök, amelyek tényleges jelenlétet igényelnek a hitelesítéshez.
TOTP (Google Authenticator, Authy, stb.) – Az egyszeri jelszavakat a felhasználó eszköze generálja, nem SMS-en keresztül küldik meg.

Ezek a módszerek lényegesen biztonságosabbak, mivel ellenállnak az adathalászatnak, függetlenek a mobilszolgáltatóktól, és kiküszöbölik a távoli fiókátvétel kockázatát.

📢 Valós támadások az SMS-alapú 2FA ellen

Hogy érzékeltessük, miért utasítja el a Psono az SMS-alapú hitelesítést, íme valós példák a módszer gyengeségére:

1. Kína támadása az amerikai távközlési szektor ellen (SS7 sebezhetőségek és egyebek)

2024 februárjában a FBI és a CISA közös figyelmeztetést adott ki, hogy kínai államilag támogatott hackerek kereskedelmi távközlési hálózatokat céloztak meg az Egyesült Államokban. Ezek a támadások SS7 protokoll sebezhetőségeit használták ki—ez a protokoll felelős az SMS-ek irányításáért. A támadók elfogták a hitelesítő üzeneteket, ami rávilágít: az SMS 2FA rendszerszinten is kompromittálható.

2. Jack Dorsey, a Twitter (X) vezérigazgatójának SIM-cserés feltörése (2019)

2019-ben a Twitter akkori vezérigazgatója, Jack Dorsey fiókját SIM-cserés támadással vették át. A hackerek elérték, hogy mobilszolgáltatója az ő SIM-kártyájukra irányítsa át a telefonszámot, így elfogták a 2FA SMS-kódokat, és átvették a Twitter fiók felett az irányítást.

3. Coinbase SIM-cserés támadások (2021) – Több ezer dollár ellopva

2021-ben a Coinbase nyilvánosságra hozta, hogy több mint 6000 ügyfelüket megkárosították egy nagyszabású SIM-cserés támadásban. A hackerek SMS-ben átvett kódokat felhasználva állították vissza az áldozatok jelszavát, és teljes hozzáférést szereztek a fiókokhoz, valamint ellopták a kriptovalutáikat.

4. Reddit adatlopási incidens (2018) – Az SMS 2FA átverhető

2018-ban a Redditet adatlopás érte, ahol a hackerek alkalmazotti fiókokhoz fértek hozzá annak ellenére, hogy az SMS-alapú kétfaktoros hitelesítés engedélyezve volt. Az elkövetők elfogott SMS kódokkal megkerülték a hitelesítést, így érzékeny felhasználói adatokat szereztek.

🚀 A 2FA jövője: Menj túl az SMS-en

Ha még mindig SMS-alapú kétfaktoros azonosítást használsz, itt az ideje váltani egy sokkal biztonságosabb alternatívára, mint a WebAuthn, YubiKey vagy TOTP-alapú hitelesítés. A Psono elkötelezett a biztonság mellett, ezért nem köt kompromisszumot: nálunk nincs SMS-alapú hitelesítés.

Szeretnéd, hogy fiókjaid biztonságban legyenek? Használj hardveres biztonsági kulcsot, TOTP alkalmazást vagy biometrikus hitelesítést—soha ne hagyatkozz kizárólag az SMS-re!

Védd fiókjaid helyesen – felejtsd el az SMS 2FA-t!

Gyakran Ismételt Kérdések a kétfaktoros hitelesítésről (2FA)

Mi a kétfaktoros hitelesítés (2FA), és miért fontos?

A kétfaktoros hitelesítés (2FA) egy extra biztonsági réteg, amelyhez kétféle azonosítás kell a fiókhoz való hozzáféréshez. Nem elég csak a jelszó, szükség van egy második tényezőre is, például:

Egyszer használatos kódra egy hitelesítő alkalmazásból (TOTP)
Fizikai biztonsági kulcsra (pl. YubiKey, Titan Security Key)
Biometrikus azonosításra (ujjlenyomat, arcfelismerés)

Ez nagyban csökkenti a jogosulatlan hozzáférés kockázatát, még akkor is, ha valaki megszerzi a jelszavadat.

Melyek a legerősebb 2FA típusok?

A legbiztonságosabb második tényezők azok, amelyek ellenállnak az adathalászatnak és nem lehet őket könnyen elfogni. Ezek közé tartoznak:

✅ FIDO2/WebAuthn biztonsági kulcsok (pl. YubiKey, Titan Security Key)
✅ TOTP-alapú hitelesítő alkalmazások (Google Authenticator, Authy, Aegis)
✅ Passkey-k (jelszómentes hitelesítés biometria vagy hardverkulcs segítségével)

Gyengébb (kerülendő) megoldások:

❌ SMS-alapú 2FA – SIM-cserés és SS7 támadásoknak kiszolgáltatva
❌ Email-alapú 2FA – Ha feltörik az emailed, 2FA is veszélyben

Miért nem biztonságos az SMS-alapú 2FA?

Az SMS-alapú 2FA többféle támadásnak ki van téve, mint például:

SIM-cserés támadások – A hackerek elérik, hogy szolgáltatód az ő SIM-jükre irányítsa a számodat, így megkapják a 2FA kódot.
SS7 kihasználás – Át tudják venni az SMS forgalmat a távközlési infrastruktúra hibáit felhasználva.
Adathalász támadások – Hamis oldalakra csalják a felhasználót, hogy kiadja az SMS-kódot, amivel bejelentkeznek.

🔹 Jobb alternatíva: Használj hardveres biztonsági kulcsot vagy TOTP alkalmazást SMS-alapú 2FA helyett!

Mi történik, ha elvesztem a második tényezőt (pl. telefont, YubiKey-t)?

Ha elveszíted a második tényezőt, az alábbi módokon tudod visszaállítani a fiókodat:

Használd a biztonsági (backup) kódokat – Sok szolgáltató ad egyszeri biztonsági kódokat a 2FA beállításkor. Tárold ezeket biztonságos helyen!
Pót-eszköz használata – Néhány hitelesítő alkalmazás lehetőséget ad több készülék használatára.
Ügyfélszolgálat felkeresése – Egyes szolgáltatók segítenek a fiók helyreállításában, de ehhez igazolnod kell magad.
Több biztonsági kulcs regisztrálása – Ha támogatott, állíts be legalább két kulcsot (fő + tartalék).

🔹 Tipp: Minél több hitelesítési módszert állítsz be, annál kisebb a kizáródás esélye.

A hackerek át tudják verni a kétfaktoros hitelesítést?

Bár a 2FA jelentősen javítja a biztonságot, egyes módszerek megkerülhetők fejlett támadásokkal:

🚨 Gyakori támadási módszerek:

Adathalászat – Hamis bejelentkező oldalak kicsalják a jelszót és a 2FA kódot.
Közbeékelt (MitM) támadások – Sérülékeny hálózatokon el tudják lopni a hitelesítési információkat.
SIM-cserés támadások – Az SMS-kódot a saját telefonjukra irányítják át.

✅ Így védekezz:

Használj adathalászatnak ellenálló hitelesítést (WebAuthn, passkey, hardverkulcs).
Engedélyezd az eszközhöz kötött hitelesítést (így a tokenek nem használhatók újra távolról).
Légy óvatos a gyanús bejelentkező oldalakkal – Mindig ellenőrizd a webcímeket, mielőtt adatokat adsz meg.

írta Sascha Pfeiffer ekkor: February 12, 2025

További információra van szüksége?

Nézze meg legújabb cikkeinket itt!