Microsoft odsvetuje uporabo smsov in klicev kot večstopenjsko avtentikacijo. Naše banke in država pa nič.
O večstopenjski avtentikaciji (MFA) smo že pisali in konsenz stroke ostaja nespremenjen: to je eden najučinkovitejših načinov za zaščito uporabniških računov pred vdori in zlorabo osebnih podatkov. A ni vsaka MFA enako dobra. Vemo, da je uporaba mobilnih omrežij (smsi in klici) manj primerna verzija MFA, sedaj pa je Microsoft neposredno odsvetoval njihovo uporabo.
Razlogi so znani. Mobilna omrežja imajo precej ranljivosti, ki omogočajo prestrezanje sporočil, preusmerjanje klicev ali kar krajo številk (SIM swapping). Protokol SS7, ki poganja mobilna omrežja širom sveta, je pregovorno luknjičav.
To ne pomeni, da je MFA zanič. Alex Weinert, ki v Microsoftu vodi enoto za rešitve za varovanje osebnih podatkov, pojasnjuje, da uporaba MFA prepreči 99,9 odstotka avtomatiziranih napadov na osebne identitete. A vendarle odsvetuje MFA, kjer drugi ključ dobimo prek smsa ali s telefonskim klicem. Namesto tega priporoča aplikacije (Google Authenticator, Microsoft Authenticator itd.) ali strojne rešitve, denimo USB-naprave s šifrirnimi ključi.
Slovenske banke pa medtem še vedno zelo rade uporabljajo smse. Abanka je letos celo uvedla omejitev, da so primarna gesla obvezno šestmestna zgolj s ciframi (kar je absolutno ne-varno), spremlja pa jih MFA – prek smsov. Tudi druge banke podpirajo prijavo s sms, denimo Sberbank.
Še več, celo SI-PASS za avtentikacijo pri poslovanju z državo omogoča navezavo mobilne številke in njeno uporabo kot izključnega identifikatorja (smsPASS).
