Prečo sa SMS 2FA považuje za nebezpečné?

SMS 2FA je zraniteľné voči útokom ako sú SIM swap, zneužitie SS7 a phishing. Útočník vám môže ukradnúť telefónne číslo a zachytiť autentifikačné kódy – preto tento spôsob nie je spoľahlivý. Radšej použite bezpečnostný kľúč alebo TOTP aplikáciu.

Čo robiť, ak prídem o druhý faktor (napr. telefón, YubiKey)?

Ak stratíte prístup k druhému faktoru, môžete účet obnoviť cez záložné kódy, záložné autentifikačné zariadenie alebo kontaktovaním podpory. Odporúčame nastaviť viacero metód overenia, aby ste predišli uzamknutiu účtu.

SMS založené 2FA je nebezpečné

Q: Čo je dvojfaktorová autentifikácia (2FA) a prečo je dôležitá?

Dvojfaktorová autentifikácia (2FA) je dodatočná vrstva ochrany, ktorá vyžaduje dve formy overenia pred prístupom k účtu. Okrem hesla musíte zadať aj druhý faktor, napríklad jednorazový kód z aplikácie, hardvérový bezpečnostný kľúč alebo biometrické overenie. Výrazne znižuje riziko neautorizovaného prístupu aj v prípade úniku hesla.

Q: Aké sú najsilnejšie typy 2FA?

Najbezpečnejšie druhé faktory sú tie, ktoré sú odolné voči phishingu a nemožno ich ľahko zachytiť. Patrí medzi ne bezpečnostný kľúč FIDO2/WebAuthn (napr. YubiKey, Titan Security Key), autentifikačné aplikácie založené na TOTP (Google Authenticator, Authy) a Passkeys. SMS a email 2FA sú oveľa slabšie a treba sa im vyhýbať.

Q: Môžu hackeri obísť 2FA?

Aj keď 2FA výrazne zvyšuje bezpečnosť, niektoré metódy možno obísť cez phishing, man-in-the-middle útoky či SIM swap. Preto používajte odolné druhy autentifikácie, napríklad hardvérové kľúče, passkeys alebo autentifikáciu viazanú na zariadenie.

Prečo Psono odmieta SMS overovanie a uprednostňuje silnejšie autentifikačné metódy

Pokiaľ ide o zabezpečenie hesiel a citlivých údajov, nie všetky metódy dvojfaktorovej autentifikácie (2FA) sú rovnako bezpečné. Mnoho služieb stále ponúka SMS založené 2FA, no bezpečnostne uvedomelé platformy ako Psono sa mu vyhýbajú a namiesto toho využívajú silnejšie možnosti ako WebAuthn, YubiKey a TOTP (časovo obmedzené jednorazové heslá).

Nejde len o preferenciu—je to nutnosť pre skutočne silnú bezpečnosť. SMS 2FA má zásadné zraniteľnosti a skutočné útoky už dokázali, že je ľahkým cieľom pre hackerov. V tomto článku vysvetlíme, prečo je SMS 2FA slabé a ukážeme príklady útokov, ktoré odhaľujú jeho slabiny.

🔒 Slabiny SMS založeného 2FA

SMS autentifikácia je zraniteľná voči viacerým typom útokov, napríklad:

Výmena SIM karty – Útočníci oklamú mobilného operátora, aby preniesol číslo obete na novú SIM a zachytia tak všetky SMS kódy.
SS7 útoky – Zneužitie zraniteľností v globálnom protokole Signaling System No. 7 (SS7) na diaľkové zachytávanie SMS správ.
Phishing & sociálne inžinierstvo – Oklamanie používateľa, aby zadal SMS kód na falošnej prihlasovacej stránke.

Tieto riziká robia zo SMS založeného 2FA najslabšiu formu autentifikácie.

🛡️ Prečo Psono používa silnejšie 2FA

Psono kladie dôraz na bezpečnosť a podporuje iba spoľahlivé metódy dvojfaktorovej autentifikácie, vrátane:

WebAuthn (FIDO2) – Využíva kryptografiu s verejným kľúčom a biometrické alebo hardvérové bezpečnostné kľúče (napr. YubiKey).
YubiKey & iné bezpečnostné kľúče – Fyzické tokeny vyžadujúce priame pripojenie na overenie.
TOTP (Google Authenticator, Authy, atď.) – Jednorazové heslá generované na zariadení, nie prenášané cez SMS.

Tieto metódy sú výrazne bezpečnejšie, pretože sú odolné voči phishingu, nespoliehajú sa na mobilných operátorov a eliminujú riziko vzdialeného prevzatia účtu.

📢 Skutočné útoky na SMS 2FA

Aby sme ukázali, prečo Psono odmieta implementovať SMS overenie, tu sú skutočné prípady útokov zneužívajúcich jeho slabiny:

1. Cielenie Číny na americké telekomunikácie (SS7 útoky a ďalšie)

Vo februári 2024 vydali FBI a CISA spoločné varovanie o čínskych štátom sponzorovaných útokoch proti komerčným telekomunikačným sieťam. Tieto útoky zneužívali zraniteľnosti v SS7—protokole na smerovanie SMS správ. Útočníci tak zachytávali autentifikačné správy, čím demonštrovali, že SMS 2FA môže byť prelomené na systémovej úrovni.

2. SIM swap útok na šéfa Twitteru (X), Jacka Dorseyho (2019)

V roku 2019 bol vtedajší šéf Twitteru Jack Dorsey obeťou útoku cez výmenu SIM karty. Hackeri presvedčili jeho operátora, aby preniesol jeho číslo na inú SIM kartu, a mohli tak zachytávať 2FA SMS kódy a získať prístup k jeho účtu na Twitteri.

3. Coinbase SIM swap útoky (2021) – Ukradnuté tisíce dolárov

V roku 2021 Coinbase odhalil, že viac ako 6 000 zákazníkov prišlo o finančné prostriedky vďaka masívnemu útoku cez výmenu SIM karty. Hackeri resetovali heslá obetí cez zachytené SMS kódy a prevzali úplnú kontrolu nad účtami, pričom ukradli kryptomeny.

4. Únik dát Redditu v roku 2018 – Zlyhanie SMS 2FA

V roku 2018 došlo na Reddit k úniku dát, kde útočníci získali prístup k zamestnaneckým účtom napriek aktívnemu SMS založenému 2FA. Hackeri zachytili SMS kódy a obišli autentifikáciu, čím odhalili citlivé používateľské dáta.

🚀 Budúcnosť 2FA: Prekročte SMS

Ak ešte stále používate SMS 2FA, je najvyšší čas prejsť na silnejšiu alternatívu, akou je WebAuthn, YubiKey alebo TOTP autentifikácia. Záväzok Psona k bezpečnosti znamená, že nikdy nebude ponúkať SMS autentifikáciu aj za cenu kompromisu.

Chcete zostať v bezpečí? Používajte hardvérové bezpečnostné kľúče, TOTP aplikácie alebo biometrickú autentifikáciu—nikdy sa nespoliehajte iba na SMS overenie.

Zabezpečte svoje účty správne—zbavte sa SMS 2FA!

Často kladené otázky o dvojfaktorovej autentifikácii (2FA)

Čo je dvojfaktorová autentifikácia (2FA) a prečo je dôležitá?

Dvojfaktorová autentifikácia (2FA) je dodatočná vrstva bezpečnosti, ktorá vyžaduje dve formy overenia pred prístupom k účtu. Okrem bežného hesla potrebujete ešte jeden faktor, napríklad:

Jednorazový kód z autentifikačnej aplikácie (TOTP)
Hardvérový bezpečnostný kľúč (napr. YubiKey, Titan Security Key)
Biometrické overenie (odtlačok prsta, rozpoznávanie tváre)

Výrazne znižuje riziko neautorizovaného prístupu aj v prípade úniku hesla.

Aké sú najsilnejšie typy 2FA?

Najbezpečnejšie druhé faktory sú tie, ktoré sú odolné voči phishingu a nedajú sa ľahko zachytiť. Patria sem:

✅ Bezpečnostné kľúče FIDO2/WebAuthn (napr. YubiKey, Titan Security Key)
✅ TOTP autentifikačné aplikácie (Google Authenticator, Authy, Aegis)
✅ Passkeys (bezheslová autentifikácia cez biometriku alebo bezpečnostný kľúč)

Slabšie metódy (treba sa im vyhnúť):

❌ SMS založené 2FA – zraniteľné voči útokom cez výmenu SIM a SS7 exploity
❌ Emailové 2FA – nebezpečné, ak je váš email kompromitovaný

Prečo je SMS 2FA nebezpečné?

SMS 2FA je zraniteľné voči viacerým útokom, napríklad:

SIM swap útoky – Útočníci oklamú operátora a získajú vaše číslo, pričom im chodia aj vaše 2FA kódy.
SS7 exploity – Hackeri zachytia SMS cez zraniteľnosti v telekomunikačnej infraštruktúre.
Phishing útoky – Falošné stránky vylákajú od používateľa SMS kód a útočník sa prihlási zaňho.

🔹 Lepšie alternatívy: Používajte hardvérové bezpečnostné kľúče alebo TOTP aplikácie namiesto SMS 2FA.

Čo robiť, ak stratím druhý faktor (napr. telefón, YubiKey)?

Ak stratíte prístup k druhému faktoru, účet môžete obnoviť:

Cez záložné kódy – Mnohé služby ponúkajú jednorazové záložné kódy pri nastavovaní 2FA. Uložte si ich bezpečne.
Cez záložné zariadenie – Niektoré autentifikačné aplikácie umožňujú viacero zariadení na ukladanie TOTP kódov.
Kontaktovaním podpory – Niektoré služby ponúkajú obnovu účtu, no proces môže byť zdĺhavý a vyžaduje overenie totožnosti.
Použitím druhého bezpečnostného kľúča – Ak služba podporuje viac kľúčov, zaregistrujte si primárny aj záložný.

🔹 Tip: Vždy nastavte viacero autentifikačných metód pre prípad výpadku jednej z nich.

Môžu hackeri obísť 2FA?

Aj keď 2FA výrazne zvyšuje bezpečnosť, niektoré metódy je možné obísť pokročilými útokmi:

🚨 Bežné typy útokov:

Phishing útoky – Falošné prihlasovacie stránky získajú vaše heslo aj 2FA kód.
Man-in-the-Middle (MitM) útoky – Zachytávanie autentifikačných tokenov na nezabezpečených sieťach.
SIM swap – Presmerovanie SMS kódov na telefón útočníka.

✅ Ako tomu predísť:

Používajte odolné autentifikačné prostriedky (WebAuthn, passkeys, bezpečnostné kľúče).
Aktivujte autentifikáciu viazanú na zariadenie (aby sa tokeny nedali zneužiť na diaľku).
Pozor na podozrivé prihlasovacie stránky – vždy overte URL pred zadaním prihlasovacích údajov.

napísal Sascha Pfeiffer dňa February 12, 2025

Hľadáte viac?

Pozrite si naše najnovšie články tu!