Dlaczego SMS 2FA już nie wystarcza
Kody SMS mogą zostać skradzione. Poznaj lepsze metody uwierzytelniania dwuskładnikowego, które naprawdę chronią twoje konta.
Powrót do bloga
Włączyłeś uwierzytelnianie dwuskładnikowe. Świetnie! Ale jeśli używasz kodów SMS, nie jesteś tak bezpieczny, jak myślisz.
Kody SMS: Problem
Kiedy logujesz się gdzieś i dostajesz kod SMS-em, ten kod podróżuje przez sieć twojego operatora. A ta sieć może zostać oszukana.
SIM swapping: w skrócie, to sytuacja, gdy atakujący przekonuje twoją firmę telekomunikacyjną do przeniesienia twojego numeru na jego telefon. Dzwoni do obsługi klienta, podszywając się pod ciebie, i mówi, że zgubił telefon. Gdy twój numer jest na jego karcie SIM, otrzymuje wszystkie twoje SMS-y — w tym te kody bezpieczeństwa.
To nie jest oderwana od rzeczywistości historia z filmu o hakerach. Oszustwa SIM swap masowo rosną i wciąż przybierają na sile. Dzięki nowej technologii eSIM atakujący mogą teraz ukraść twój numer w mniej niż pięć minut.
Jak to się dzieje
- Badają cię — Twoje imię, data urodzenia, adres z mediów społecznościowych lub wycieków danych
- Dzwonią do twojego operatora — Podszywając się pod ciebie, mówiąc o zgubionym telefonie
- Twój telefon umiera — Twój numer przenosi się na ich urządzenie
- Resetują twoje hasła — Używając kodów SMS, które teraz przychodzą do nich
Niektórzy atakujący nie muszą nawet do nikogo dzwonić: Wykorzystują stare protokoły telekomunikacyjne zwane SS7, aby przekierować twoje wiadomości bezpośrednio.
Czy jakiekolwiek 2FA pomaga?
Tak! Microsoft odkrył, że konta z jakąkolwiek formą MFA mają 99,9% mniejsze prawdopodobieństwo włamania. Problem w tym, że SMS jest najsłabszą formą MFA. Jest lepszy niż nic, ale istnieją znacznie silniejsze opcje.
Lepsze opcje
Aplikacje uwierzytelniające (Dobre)
Zamiast otrzymywać kody SMS-em, aplikacja generuje kody bezpośrednio na twoim telefonie. Kody nigdy nie podróżują przez żadną sieć — są generowane bezpośrednio na twoim urządzeniu.
Dlaczego osobna aplikacja? Większość menedżerów haseł oferuje też kody 2FA. Wygodne. Ale jeśli ktoś dostanie się do twojego menedżera haseł, dostaje zarówno hasła, jak i kody 2FA. Koniec gry. Trzymanie ich osobno oznacza, że atakujący musi skompromitować dwie aplikacje, żeby się dostać. Nie wkładaj wszystkich jajek do jednego koszyka.
Polecane aplikacje:
- Aegis — Darmowy, open source, tylko Android. Wysoki poziom personalizacji, szyfrowane kopie zapasowe.
- Ente Auth — Darmowy, open source, działa wszędzie włącznie z desktopem i webem.
Sprzętowe klucze bezpieczeństwa (Lepsze)
Małe urządzenie USB, które podłączasz przy logowaniu. Żadnych kodów do wpisywania — wystarczy dotknąć klucza.
Popularne opcje to YubiKey i Google Titan Key. Działają z większością głównych serwisów: Google, Microsoft, GitHub i wieloma innymi.
Klucz używa kryptografii, która sprawdza, czy jesteś na prawdziwej stronie. Jeśli kliknąłeś w link phishingowy, nie zadziała na fałszywych stronach.
Passkeys (Najlepsze)
Najnowsza opcja. Twój telefon lub komputer generuje unikalny klucz kryptograficzny dla każdej strony. Nic do zapamiętania, nic do wpisywania.
Passkeys są zaimplementowane w iOS, Android, Windows i macOS. Coraz więcej stron je wspiera — Google, Apple, Microsoft, PayPal i inne.
Jak klucze sprzętowe, automatycznie sprawdza, czy strona jest prawdziwa. Sprawia, że phishing jest prawie niemożliwy.
Jak zabezpieczyć swoje konta
- Zadzwoń do operatora i poproś o blokadę przenoszenia lub blokadę SIM
- Skonfiguruj aplikację uwierzytelniającą (Aegis lub Ente Auth)
- Przenieś wszystkie konta zależne od SMS do aplikacji, zaczynając od email i bankowości
- Przechowuj kody zapasowe w bezpiecznym miejscu, ale nie na telefonie
- Zdobądź sprzętowy klucz bezpieczeństwa dla najważniejszych kont
- Włącz passkeys wszędzie, gdzie są oferowane
Backup?
Jest jedna obawa związana z aplikacjami uwierzytelniającymi: co jeśli zgubisz telefon?
- Aegis pozwala eksportować szyfrowane kopie zapasowe
- Ente Auth synchronizuje między urządzeniami
- Większość serwisów dostarcza kody zapasowe przy konfiguracji 2FA — przechowuj je w bezpiecznym miejscu
Klucze sprzętowe? Kup dwa, jeden trzymaj jako backup.
Podsumowanie
Dekadę temu kody SMS były w porządku. Dziś są słabym punktem, który atakujący potrafią wykorzystać.
Przejście na aplikację uwierzytelniającą zajmuje może 30 minut i czyni cię dramatycznie bezpieczniejszym. Klucze sprzętowe i passkeys idą jeszcze dalej.