Чому SMS-двухфакторка вважається небезпечною?

SMS-2FA вразлива до SIM-свопінгу, експлойтів SS7 і фішингу. Зловмисники можуть викрасти номер телефону й перехопити коди підтвердження, що робить цей метод ненадійним. Краще використовувати апаратний ключ або додаток-автентифікатор TOTP.

Що робити, якщо я втратив другий фактор (наприклад, телефон або YubiKey)?

Якщо ви втратили доступ до другого фактора, можна відновити акаунт за допомогою резервних кодів, резервного пристрою для автентифікації чи звернувшись у підтримку. Рекомендується налаштувати кілька способів авторизації, щоб уникнути блокування.

Чому SMS-автентифікація 2FA є небезпечною

Q: Що таке двофакторна автентифікація (2FA) і чому вона важлива?

Двофакторна автентифікація (2FA) — це додатковий рівень захисту, що вимагає два фактори підтвердження особи для доступу до акаунта. Окрім пароля, необхідно ввести другий фактор, наприклад, одноразовий код з автентифікатора, апаратний ключ безпеки чи використати біометрію. Це значно зменшує ризик несанкціонованого доступу навіть у разі викрадення пароля.

Q: Які найбільш надійні типи 2FA?

Найнадійнішими є фактори, стійкі до фішингу й не перехоплювані. Сюди входять ключі безпеки FIDO2/WebAuthn (наприклад YubiKey, Titan Security Key), TOTP-автентифікатори (Google Authenticator, Authy) та паролі Passkeys. SMS-2FA й підтвердження електронною поштою є слабкими і їх по можливості варто уникати.

Q: Чи можуть хакери обійти 2FA?

Хоча 2FA значно підвищує безпеку, деякі методи можна обійти через фішинг, атаки 'людина посередині' й SIM-свопінг. Для протидії використовуйте стійкі до фішингу апаратні ключі, passkeys або автентифікацію, прив’язану до пристрою.

Чому Psono уникає SMS-автентифікації та фокусується на більш надійних методах підтвердження

Коли справа стосується захисту ваших паролів та чутливих даних, не всі методи двофакторної автентифікації (2FA) однаково безпечні. Багато сервісів все ще пропонують SMS-автентифікацію, але такі платформи як Psono, які дбають про безпеку, взагалі від неї відмовилися на користь більш сильних рішень: WebAuthn, YubiKey та TOTP (timed one-time passwords).

Це не просто питання вподобань — це необхідність для надійного захисту. У SMS-автентифікації є суттєві вразливості, а реальні атаки довели, що це легка ціль для зловмисників. У цьому блозі ми пояснюємо, чому SMS-2FA є слабкою ланкою та наведемо реальні приклади атак, що демонструють її недоліки.

🔒 Слабкі сторони SMS-автентифікації

SMS-автентифікація вразлива до багатьох видів атак, зокрема:

Сім-свопінг (SIM Swapping) – Зловмисники обманюють мобільного оператора, щоб той переніс номер жертви на іншу SIM-карту та перехоплюють усі SMS-коди.
Атаки на SS7 – Використання недоліків протоколу глобальної сигнальної системи No. 7 (SS7) для віддаленого перехоплення SMS.
Фішинг і соціальна інженерія – Обман користувачів через фальшиві сторінки входу з метою отримання SMS-кодів.

Ці ризики роблять SMS-2FA одним із найслабших методів автентифікації.

🛡️ Чому Psono використовує більш надійні 2FA

Psono ставить у пріоритет безпеку й підтримує лише стійкі методи двофакторної автентифікації:

WebAuthn (FIDO2) – Використання криптографії з відкритим ключем та біометрії або апаратних ключів безпеки (наприклад, YubiKey).
YubiKey та інші апаратні ключі – Фізичні токени, для аутентифікації яких потрібен прямий доступ.
TOTP (Google Authenticator, Authy тощо) – Одноразові паролі генеруються на пристрої, а не надсилаються SMS.

Ці методи значно надійніші, оскільки стійкі до фішингу, не залежать від операторів мобільного зв’язку та усувають ризик віддаленого викрадення.

📢 Реальні атаки на SMS-2FA

Щоб показати, чому Psono не впроваджує SMS-автентифікацію, наведемо реальні приклади атак на SMS-2FA:

1. Кібератаки Китаю на мережі телекомунікацій США (SS7 та інше)

У лютому 2024 року ФБР та CISA спільно попередили про цілеспрямовані атаки китайських хакерів на комерційні телекомунікації. Ці атаки експлуатували вразливості в SS7 — протоколі, що використовується для маршрутизації SMS-інформації. Зловмисники змогли перехопити повідомлення з кодами підтвердження, що ще раз показує: SMS-2FA можна скомпрометувати на системному рівні.

2. Взлом Twitter (X) CEO Джека Дорсі через сім-свопінг (2019)

У 2019-му CEO Twitter на той час, Джек Дорсі, став жертвою атаки на SIM-своп. Хакери переконали операторa перенести його номер на свою SIM-карту, завдяки чому перехопили SMS-коди двофакторної автентифікації та отримали доступ до Twitter-акаунта.

3. SIM-своп атаки на Coinbase (2021) – втрата тисяч доларів

У 2021 році Coinbase повідомила, що понад 6 000 клієнтів втратили кошти у результаті масової атаки через сім-свопінг. Хакери скидали паролі жертв, використовуючи перехоплені SMS-коди, повністю перехоплювали акаунти й викрадали криптовалюту.

4. Злам Reddit у 2018 – провал SMS-2FA

У 2018 році Reddit зазнав витоку даних, коли зловмисники отримали доступ до акаунтів співробітників попри активну SMS-автентифікацію. Хакери перехопили SMS-коди, щоб обійти захист, внаслідок чого було розкрито чутливі дані користувачів.

🚀 Майбутнє 2FA: відмовляємося від SMS

Якщо ви досі користуєтесь SMS-автентифікацією, час перейти на більш надійний метод, такий як WebAuthn, YubiKey чи автентифікатор на основі TOTP. Компанія Psono завжди ставить безпеку на перше місце і ніколи не пропонує SMS-2FA.

Бажаєте захистити себе? Використовуйте апаратні ключі безпеки, додатки TOTP або біометричну аутентифікацію — ніколи не покладайтеся лише на SMS-2FA.

Захистіть свої акаунти правильно — відмовтеся від SMS-2FA!

Часті питання про двофакторну автентифікацію (2FA)

Що таке двофакторна автентифікація (2FA) і чому вона важлива?

Двофакторна автентифікація (2FA) — це ще один рівень захисту, що вимагає два фактори ідентифікації для доступу до акаунта. Окрім пароля, вас попросять ввести:

Одноразовий код з додатка автентифікації (TOTP)
Апаратний ключ безпеки (наприклад, YubiKey, Titan Security Key)
Біометричну автентифікацію (відбиток пальця, розпізнавання обличчя)

Це значно знижує ризик несанкціонованого доступу навіть у разі втрати пароля.

Які найбільш надійні типи 2FA?

Найбезпечніші другі фактори — це ті, що не вразливі до фішингу й не можуть бути перехоплені. Серед них:

✅ FIDO2/WebAuthn ключі безпеки (наприклад, YubiKey, Titan Security Key)
✅ TOTP-автентифікатори (Google Authenticator, Authy, Aegis)
✅ Passkeys (автентифікація без пароля з використанням біометрії або апаратного ключа)

Слабкі методи (варто уникати):

❌ SMS-2FA – Вразливий до SIM-свапу та атак на SS7
❌ 2FA через email – Небезпечний, якщо зламано поштову скриньку

Чому SMS-2FA — це небезпечно?

SMS-2FA вразливий до багатьох атак, зокрема:

SIM-свопінг – Хакери вмовляють оператора перенести ваш номер, щоб отримувати ваші 2FA-коди.
Атаки на SS7 – Зловмисники перехоплюють SMS через недоліки у мережевих протоколах.
Фішинг – Фальшиві сайти виманюють у користувача SMS-коди для входу замість нього.

🔹 Краще рішення: Використовуйте апаратні ключі безпеки або TOTP-додатки замість SMS-2FA.

Що робити, якщо я втрачу другий фактор (наприклад, телефон або YubiKey)?

Якщо ви втратили доступ до другого фактора, ви можете відновити акаунт через:

Резервні коди — багато сервісів видають одноразові резервні коди при налаштуванні 2FA. Зберігайте їх у безпеці.
Резервний пристрій — деякі додатки-автентифікатори дозволяють додати кілька пристроїв для зберігання TOTP-кодів.
Звернення у підтримку — окремі сервіси допомагають відновити акаунт після перевірки особи, але це може зайняти час.
Запасний апаратний ключ — якщо сервіс дозволяє, зареєструйте основний і резервний ключі.

🔹 Порада: Завжди налаштовуйте кілька факторів захисту на випадок втрати одного з них.

Чи можуть хакери обійти 2FA?

Хоча 2FA значно підвищує рівень захисту, деякі методи можна обійти за допомогою складних атак:

🚨 Поширені способи обходу:

Фішинг — Фальшиві сайти просять ввести і пароль, і 2FA-код.
Атаки 'людина посередині' — Перехоплення токенів аутентифікації в незахищених мережах.
SIM-своп — Перенаправлення SMS-кодів на пристрій зловмисника.

✅ Як захиститися:

Використовуйте стійку до фішингу автентифікацію (WebAuthn, passkeys, апаратні ключі).
Включайте автентифікацію, прив’язану до пристрою (щоб токени не можна було використати дистанційно).
Остерігайтеся підозрілих сторінок входу — завжди перевіряйте URL перед введенням облікових даних.

написано Sascha Pfeiffer February 12, 2025

Шукаєте більше?

Ознайомтесь з нашими найновішими статтями тут!