Autentificarea în doi pași prin SMS este nesigură, declară un whistleblower din domeniul securității informatice

Autentificarea în doi pași prin SMS a fost introdusă ca o metodă de securitate suplimentară împotriva atacurilor de tip phishing, fiind considerată sigură, rapidă și mult mai ușor de utilizat față de token-urile hardware. Este utilizată la scară largă de către toate companiile din big tech, iar în ultimii ani a devenit metoda preferată de autentificare chiar și pentru serviciile bancare. Doar că, din câte susține un whistleblower din domeniul securității informatice, autentificarea prin intermediul codurilor primite prin SMS nu este nici pe departe sigură, fiind predispusă atacurilor. Mai exact, acesta declară că majoritatea companiilor își externalizează sistemele de autentificare în doi pași către un operator elvețian denumit Fink Telecom Services, suspectat că ar avea standarde de securitate îndoielnice. Iar pentru a-și dovedi punctul de vedere, whistleblower-ul a pus la dispoziția Bloomberg peste un milion de mesaje cu coduri de autentificare trimise de-a lungul anului 2023, sugerând că serviciul poate fi exploatat cu ușurință, fie prin vulnerabilități la nivelul infrastructurii, fie prin intermediul angajaților.

Whistleblower-ul recomandă renunțarea de îndată la autentificarea doi pași prin SMS, în mod special pentru serviciile online esențiale și înlocuirea acesteia cu aplicații dedicate care stochează cheia privată local sau token-uri hardware, considerate cele mai sigure. Și în caz că vă întrebați, informațiile sunt cât se poate de legitime, fiind confirmate de Bloomberg din mai multe surse. În plus, chiar luna trecută, Valve s-a confruntat cu un leak al codurilor de autentificare în doi pași prin SMS utilizate pe Steam, dovedind că cineva chiar încearcă să exploateze aceste vulnerabilități.