Uwierzytelnianie dwuetapowe oparte na SMS jest niebezpieczne

Q: Jakie są najsilniejsze typy 2FA?

Najpewniejsze drugie czynniki to te, które są odporne na phishing i nie można ich łatwo przechwycić. Należą do nich klucze bezpieczeństwa FIDO2/WebAuthn (np. YubiKey, Klucz Bezpieczeństwa Titan), aplikacje uwierzytelniające oparte na TOTP (Google Authenticator, Authy) i klucze dostępu. 2FA oparte na SMS i 2FA oparte na e-mail są słabsze i powinny być unikane, jeśli to możliwe.

Q: Dlaczego 2FA oparte na SMS jest uważane za niebezpieczne?

2FA oparte na SMS jest podatne na ataki typu SIM swap, eksploatacje SS7 i phishing. Atakujący mogą przejąć twój numer telefonu i przechwycić kody uwierzytelniające, czyniąc go niewiarygodną formą bezpieczeństwa. Zamiast tego użyj bardziej bezpiecznej opcji, takiej jak klucz sprzętowy lub aplikacja uwierzytelniająca TOTP.

Q: Co się stanie, jeśli utracę swój drugi czynnik (np. telefon, YubiKey)?

Jeśli utracisz dostęp do swojego drugiego czynnika, opcje odzyskiwania obejmują użycie kodów zapasowych dostarczonych przez usługę, użycie zapasowego urządzenia uwierzytelniającego lub kontakt z pomocą techniczną w celu odzyskania konta. Zaleca się skonfigurowanie wielu metod uwierzytelniania, aby zapobiec zablokowaniu dostępu.

Dlaczego Psono unika uwierzytelniania dwuetapowego opartego na SMS i koncentruje się na silniejszych metodach uwierzytelniania

Jeśli chodzi o zabezpieczenie swoich haseł i danych wrażliwych, nie wszystkie metody uwierzytelniania dwuetapowego (2FA) są sobie równe. Wiele usług wciąż oferuje 2FA oparte na SMS, ale platformy świadome bezpieczeństwa, takie jak Psono, całkowicie go unikają na rzecz silniejszych opcji jak WebAuthn, YubiKey i TOTP (Time-Based One-Time Passwords).

To nie jest tylko preferencja—jest to konieczność dla solidnego bezpieczeństwa. 2FA oparte na SMS ma znaczące wady, a ataki w prawdziwym świecie udowodniły, że jest łatwym celem dla hakerów. W tym wpisie na blogu wyjaśnimy, dlaczego 2FA oparte na SMS jest słabe i wyróżnimy ataki w prawdziwym świecie, które pokazują jego wady.

🔒 Słabości uwierzytelniania opartego na SMS

Uwierzytelnianie oparte na SMS jest podatne na wiele metod ataków, w tym:

Oszuści SIM – Atakujący oszukują operatorów komórkowych, aby przenieśli numer telefonu ofiary na nową kartę SIM, przechwytując wszystkie kody SMS.
Ataki SS7 – Wykorzystanie słabości w globalnym protokole Signaling System No. 7 (SS7) do zdalnego przechwytywania wiadomości SMS.
Phishing i inżynieria społeczna – Oszukiwanie użytkowników w celu ujawnienia kodów opartych na SMS za pomocą fałszywych stron logowania.

Te ryzyka sprawiają, że 2FA oparte na SMS jest jednym z najsłabszych form uwierzytelniania.

🛡️ Dlaczego Psono używa silniejszych metod 2FA

Psono priorytetowo traktuje bezpieczeństwo i obsługuje tylko solidne metody 2FA, w tym:

WebAuthn (FIDO2) – Korzysta z kryptografii kluczy publicznych i biometrii lub kluczy bezpieczeństwa sprzętowego (np. YubiKey).
YubiKey i inne klucze bezpieczeństwa – Fizyczne tokeny, które wymagają bezpośredniego dostępu do uwierzytelnienia.
TOTP (Google Authenticator, Authy, itp.) – Jednorazowe hasła generowane na urządzeniu, a nie przesyłane przez SMS.

Te metody znacznie zwiększają bezpieczeństwo, ponieważ są odporne na phishing, nie polegają na operatorach komórkowych i eliminują ryzyko zdalnego przejęcia.

📢 Ataki w rzeczywistym świecie na 2FA oparte na SMS

Aby zilustrować, dlaczego Psono nie wdraża uwierzytelniania opartego na SMS, oto ataki w rzeczywistym świecie, które wykorzystały jego słabości:

1. Ataki Chin na telekomunikację USA (eksploatacje SS7 i inne)

W lutym 2024 r. FBI i CISA wydały wspólne ostrzeżenie o chińskich hakerach sponsorowanych przez państwo, którzy atakują sieci telekomunikacyjne komercyjne. Ataki te wykorzystywały słabości w SS7—protokół używany do routingu wiadomości SMS. Atakujący byli w stanie przechwycić wiadomości uwierzytelniające, demonstrując jak SMS 2FA może być skompromitowane na poziomie systemowym.

2. Atak SIM Swap na CEO Twittera (X) Jacka Dorsey'a (2019)

W 2019 r. CEO Twittera, Jack Dorsey, miał przejęte konto dzięki atakowi SIM swap. Hakerzy przekonali jego operatora komórkowego do przeniesienia jego numeru telefonu na ich kartę SIM, co pozwoliło im przechwycić kody SMS 2FA i przejąć kontrolę nad jego kontem na Twitterze.

3. Ataki SIM Swap na Coinbase (2021) – skradziono tysiące dolarów

W 2021 r. Coinbase ujawniło, że ponad 6000 klientów straciło środki z powodu masowego ataku SIM swap. Hakerzy zresetowali hasła ofiar, wykorzystując przechwycone kody SMS, zyskali pełną kontrolę nad kontami i ukradli kryptowaluty.

4. Wyciek danych Reddit w 2018 – 2FA oparte na SMS zawiodło

W 2018 r. Reddit doznał wycieku danych, w którym hakerzy uzyskali dostęp do kont pracowników pomimo włączonego 2FA opartego na SMS. Atakujący użyli przechwyconych kodów SMS do obejścia uwierzytelniania, narażając wrażliwe dane użytkowników.

🚀 Przyszłość 2FA: Wykraczaj poza SMS

Jeżeli wciąż używasz 2FA opartego na SMS, czas przejść na silniejszą alternatywę jak WebAuthn, YubiKey lub uwierzytelnianie oparte na TOTP. Zaangażowanie Psono w kwestie bezpieczeństwa oznacza, że nie będzie ono kompromitować oferując uwierzytelnianie oparte na SMS.

Chcesz pozostać bezpieczny? Używaj kluczy bezpieczeństwa sprzętowego, aplikacji TOTP lub uwierzytelniania biometrycznego—nigdy nie polegaj tylko na uwierzytelnianiu opartym na SMS.

Zabezpiecz swoje konta właściwą drogą—odrzuć SMS 2FA!

Najczęściej zadawane pytania dotyczące uwierzytelniania dwuetapowego (2FA)

Czym jest uwierzytelnianie dwuetapowe (2FA) i dlaczego jest ważne?

Uwierzytelnianie dwuetapowe (2FA) to dodatkowa warstwa bezpieczeństwa, która wymaga dwóch form uwierzytelniania przed uzyskaniem dostępu do konta. Zamiast używać tylko hasła, potrzebujesz także drugiego czynnika, takiego jak:

Jednorazowy kod z aplikacji uwierzytelniającej (TOTP)
Klucz bezpieczeństwa sprzętowego (np. YubiKey, Klucz Bezpieczeństwa Titan)
Uwierzytelnianie biometryczne (odcisk palca, rozpoznawanie twarzy)

Znacznie zmniejsza ryzyko nieautoryzowanego dostępu, nawet jeśli atakujący zdobędzie twoje hasło.

Jakie są najsilniejsze typy 2FA?

Najpewniejsze drugie czynniki to te, które są odporne na phishing i nie można ich łatwo przechwycić. Należą do nich:

✅ Klucze bezpieczeństwa FIDO2/WebAuthn (np. YubiKey, Klucz Bezpieczeństwa Titan)
✅ Aplikacje uwierzytelniające oparte na TOTP (Google Authenticator, Authy, Aegis)
✅ Klucze dostępu (uwierzytelnianie bez hasła, używając biometrów lub kluczy bezpieczeństwa)

Słabsze metody (do unikania):

❌ 2FA oparte na SMS – Podatne na ataki SIM swap i eksploatacje SS7
❌ 2FA oparte na e-mail – Może być skompromitowane, jeśli twój e-mail zostanie zhakowany

Dlaczego 2FA oparte na SMS jest uważane za niebezpieczne?

2FA oparte na SMS jest podatne na wiele metod ataków, takich jak:

Ataki SIM Swap – Hakerzy oszukują twojego operatora komórkowego, aby przenieść twój numer na ich kartę SIM, umożliwiając im odbieranie twoich kodów 2FA.
Eksploatacje SS7 – Atakujący przechwytują wiadomości SMS, wykorzystując słabości w infrastrukturze telekomunikacyjnej.
Ataki phishingowe – Fałszywe strony internetowe oszukują użytkowników, aby wprowadzili swoje kody SMS, pozwalając atakującym się zalogować.

🔹 Lepsze alternatywy: Używaj kluczy bezpieczeństwa sprzętowego lub aplikacji TOTP zamiast SMS 2FA.

Co się stanie, jeśli utracę swój drugi czynnik (np. telefon, YubiKey)?

Jeśli utracisz dostęp do swojego drugiego czynnika, możesz odzyskać konto poprzez:

Użycie kodów zapasowych – Wiele usług oferuje jednorazowe kody zapasowe przy konfigurowaniu 2FA. Przechowuj je bezpiecznie.
Użycie zapasowego urządzenia – Niektóre aplikacje uwierzytelniające pozwalają na przechowywanie kodów TOTP na wielu urządzeniach.
Kontakt z pomocą techniczną – Niektóre usługi oferują odzyskiwanie konta, jednak może to być powolne i wymaga potwierdzenia tożsamości.
Użycie drugiego klucza sprzętowego – Jeśli twoja usługa to obsługuje, zarejestruj wiele kluczy bezpieczeństwa (główny + zapasowy).

🔹 Porada: Zawsze konfiguruj wiele metod uwierzytelniania, aby zapobiec blokadzie dostępu.

Czy hakerzy mogą obejść 2FA?

Chociaż 2FA znacząco poprawia bezpieczeństwo, niektóre metody mogą być obejście za pomocą zaawansowanych ataków:

🚨 Powszechne metody ataku:

Ataki phishingowe – Fałszywe strony logowania oszukują użytkowników, aby wprowadzili zarówno swoje hasło, jak i kod 2FA.
Man-in-the-Middle (MitM) – Przechwytywanie tokenów uwierzytelniania przez niezabezpieczone sieci.
SIM swap – Przekierowanie kodów SMS na telefon atakującego.

✅ Jak temu zapobiec:

Użyj uwierzytelniania odpornego na phishing (WebAuthn, klucze dostępu, klucze bezpieczeństwa).
Włącz uwierzytelnianie związane z urządzeniem (tak, aby tokenów nie można było ponownie wykorzystać zdalnie).
Bądź ostrożny wobec podejrzanych stron logowania – Zawsze weryfikuj URL przed wprowadzaniem danych logowania.

napisane przez Sascha Pfeiffer dnia February 12, 2025

Szukasz więcej?

Sprawdź nasze najnowsze artykuły tutaj!