Двухфактарная аўтэнтыфікацыя на аснове SMS (2FA) з'яўляецца шырока выкарыстоўваным метадам павышэння бяспекі аўтэнтыфікацыі карыстальнікаў у камп'ютэрных сістэмах. Гэта прадугледжвае выкарыстанне мабільнага тэлефона для атрымання аднаразовага пароля (OTP) праз SMS, які затым уводзіцца карыстальнікам для завяршэння працэсу аўтэнтыфікацыі. У той час як 2FA на аснове SMS забяспечвае дадатковы ўзровень бяспекі ў параўнанні з традыцыйнай аўтэнтыфікацыяй імя карыстальніка і пароля, ён не пазбаўлены сваіх абмежаванняў.
Адным з асноўных абмежаванняў 2FA на аснове SMS з'яўляецца яго ўразлівасць да нападаў замены SIM-карты. У атацы замены SIM-карты зламыснік пераконвае аператара мабільнай сеткі перанесці нумар тэлефона ахвяры на SIM-карту пад кантролем зламысніка. Як толькі зламыснік атрымае кантроль над нумарам тэлефона ахвяры, ён можа перахапіць SMS, які змяшчае OTP, і выкарыстоўваць яго для абыходу 2FA. Гэтая атака можа быць ажыццёўлена з дапамогай метадаў сацыяльнай інжынерыі або шляхам выкарыстання ўразлівасцяў у працэсах праверкі аператара мабільнай сеткі.
Яшчэ адным абмежаваннем 2FA на аснове SMS з'яўляецца магчымасць перахопу SMS-паведамленняў. У той час як сотавыя сеткі звычайна забяспечваюць шыфраванне галасавой сувязі і перадачы дадзеных, SMS-паведамленні часта перадаюцца ў адкрытым тэксце. Гэта робіць іх уразлівымі для перахопу зламыснікамі, якія могуць падслухоўваць сувязь паміж мабільнай сеткай і прыладай атрымальніка. Пасля перахопу OTP можа быць выкарыстаны зламыснікам для атрымання несанкцыянаванага доступу да ўліковага запісу карыстальніка.
Акрамя таго, 2FA на аснове SMS абапіраецца на бяспеку мабільнай прылады карыстальніка. У выпадку страты або крадзяжу прылады зламыснік можа лёгка атрымаць доступ да SMS-паведамленняў, якія змяшчаюць OTP. Акрамя таго, шкоднасныя праграмы або шкоднасныя прыкладанні, усталяваныя на прыладзе, могуць перахопліваць або маніпуляваць SMS-паведамленнямі, ставячы пад пагрозу бяспеку працэсу 2FA.
2FA на аснове SMS таксама ўводзіць патэнцыйную адзіную кропку адмовы. Калі мабільная сетка сутыкаецца з збоем у абслугоўванні або калі карыстальнік знаходзіцца ў зоне з дрэнным пакрыццём сотавай сувязі, дастаўка OTP можа быць адкладзена ці нават цалкам адмовіцца. Гэта можа прывесці да таго, што карыстальнікі не змогуць атрымаць доступ да сваіх уліковых запісаў, што прывядзе да расчаравання і патэнцыйнай страты прадукцыйнасці.
Больш за тое, 2FA на аснове SMS успрымальны да фішынгавых атак. Зламыснікі могуць ствараць пераканаўчыя падробленыя старонкі ўваходу або мабільныя праграмы, якія прапануюць карыстальнікам увесці імя карыстальніка, пароль і аднаразовы пароль, атрыманы праз SMS. Калі карыстальнікі становяцца ахвярамі гэтых спробаў фішынгу, іх уліковыя дадзеныя і аднаразовы пароль могуць быць захоплены зламыснікам, які потым можа выкарыстоўваць іх для атрымання несанкцыянаванага доступу да ўліковага запісу карыстальніка.
У той час як 2FA на аснове SMS забяспечвае дадатковы ўзровень бяспекі ў параўнанні з традыцыйнай аўтэнтыфікацыяй імя карыстальніка і пароля, ён не пазбаўлены сваіх абмежаванняў. Яны ўключаюць уразлівасць да нападаў замены SIM-карты, перахоп SMS-паведамленняў, залежнасць ад бяспекі мабільнай прылады карыстальніка, патэнцыйную адзіную кропку адмовы і ўразлівасць да фішынгавых атак. Арганізацыі і карыстальнікі павінны ведаць аб гэтых абмежаваннях і разгледзець альтэрнатыўныя метады аўтэнтыфікацыі, такія як аўтэнтыфікатары на аснове прыкладанняў або апаратныя токены, каб знізіць рызыкі, звязаныя з 2FA на аснове SMS.
Іншыя апошнія пытанні і адказы адносна Ідэнтыфікацыя:
- Якія патэнцыйныя рызыкі звязаны са скампраметаванымі карыстальніцкімі прыладамі пры аўтэнтыфікацыі карыстальнікаў?
- Як механізм UTF дапамагае прадухіліць атакі чалавека пасярэдзіне пры аўтэнтыфікацыі карыстальнікаў?
- Якая мэта пратаколу выклік-адказ у аўтэнтыфікацыі карыстальнікаў?
- Як крыптаграфія з адкрытым ключом паляпшае аўтэнтыфікацыю карыстальнікаў?
- Якія існуюць альтэрнатыўныя метады аўтэнтыфікацыі паролям і як яны павышаюць бяспеку?
- Як паролі могуць быць узламаныя і якія меры можна прыняць для ўзмацнення аўтэнтыфікацыі на аснове пароля?
- Які кампраміс паміж бяспекай і зручнасцю ў аўтэнтыфікацыі карыстальнікаў?
- Якія тэхнічныя праблемы звязаны з аўтэнтыфікацыяй карыстальнікаў?
- Як пратакол аўтэнтыфікацыі з выкарыстаннем Yubikey і крыптаграфіі з адкрытым ключом правярае сапраўднасць паведамленняў?
- Якія перавагі выкарыстання прылад Universal 2nd Factor (U2F) для аўтэнтыфікацыі карыстальнікаў?
Больш пытанняў і адказаў глядзіце ў раздзеле "Аўтэнтыфікацыя".