Ето защо не трябва да използвате SMS за двуфакторна автентикация

Стоян Ненов Последна промяна на 20 февруари 2026 в 21:13 2437 0

Ето защо не трябва да използвате SMS за двуфакторна автентикация

Снимка Firmbee.com/Unsplash

Ето защо не трябва да използвате SMS за двуфакторна автентикация

Години наред експертите по сигурността призовават потребителите да активират двуфакторно удостоверяване (2FA), за да защитят дигиталния си живот. Съветът беше прост: вторият слой защита значително затруднява хакерите да проникнат в акаунтите ви. Повечето от нас естествено се насочиха към най-удобния наличен метод – SMS съобщения. Той е познат, не изисква допълнителни приложения и работи на всеки телефон.

Тъй като кибератаките стават все по-сложни, тази функция се превърна в очевидна уязвимост, съобщава MakeUseOf. Време да се откажем изцяло от SMS-базираното удостоверяване.

Основният проблем с SMS е, че никога не е бил проектиран с мисъл за сигурността. Той разчита на телекомуникационен протокол, наречен SS7 (Сигнална система № 7), който датира от 70-те години на миналия век. Този протокол не използва модерно криптиране, което означава, че SMS съобщенията се предават през мрежите като обикновен текст. За решителен хакер прихващането на тези „ясни“ съобщения е много по-лесно, отколкото мнозина осъзнават.

Един от най-големите рискове при SMS удостоверяването е т.нар. SIM swapping. При тази измама, нападателите подвеждат мобилния оператор да прехвърли телефонния номер към SIM карта, която контролират. След като това се случи, всички текстови съобщения, включително кодовете за 2FA, отиват директно към устройството на нападателя. Тази техника е използвана за компрометиране на имейл акаунти, социални медии, банкови платформи и дори портфейли с криптовалута.

Освен рисковете за сигурността, SMS е известен с ненадеждността си. Всички сме изпитвали чувството на неудовлетвореност от чакането на код за потвърждение, който никога не пристига, независимо дали поради лош сигнал или претоварване на мрежата. Тази ненадеждност често изкушава потребителите да деактивират 2FA напълно, което е най-лошият възможен резултат.

Освен това, използването на SMS създава „фалшиво чувство за сигурност“. Потребителите се чувстват защитени, защото са добавили втора стъпка, но всъщност разчитат на технология, която не се е развила, за да отговори на заплахите на настоящето време.

Добрата новина е, че значително по-сигурни алтернативи вече са широко достъпни и безплатни за използване:

Приложения за удостоверяване: Приложения като Google Authenticator, Microsoft Authenticator или Authy генерират локално на вашето устройство еднократни пароли (TOTP), базирани на време. Тъй като кодът не се изпраща по въздух, той не може да бъде прихванат от експлойти или пренасочен чрез смяна на SIM карта.

Хардуерни ключове за сигурност: За тези, които боравят с чувствителни данни или акаунти с висока стойност, физическите ключове като YubiKey предлагат златния стандарт за защита. Те изискват физическото устройство да бъде включено в компютъра ви или чрез NFC, което прави дистанционното хакване практически невъзможно.

Passkey: Най-новият индустриален стандарт. Passkeys използват биометричните данни на вашето устройство (FaceID или пръстови отпечатъци), за да ви влязат в системата, премахвайки изцяло нуждата от кодове и осигурявайки вградена защита срещу фишинг.

За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !