SMS zprávy používají různé finanční instituce a další společnosti jako součást tzv. dvoufaktorového ověření. Uživatel tak například k provedení platby prostřednictvím internetového bankovnictví musí zadat ještě krátký kód, který mu přijde prostřednictvím SMS zprávy na mobil.

Doposud byl takovýto způsob ověření, ke kterému je zapotřebí mobilní telefon majitele, brán jako zcela bezpečný. NIST však před ním varoval. Studie úřadu totiž ukázala, že SMS zprávy mohou být nebezpečné.

Rizik je několik

„Dvoufaktorovou autentizaci s druhým faktorem zasílaným pomocí SMS nelze považovat za bezpečnou,“ komentoval výsledky studie Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.

Rizik je prý hned několik. „Je to jednak kvůli riziku zneužití telefonu ponechaného bez dozoru (nebo ukradeného, pozn. red.), jednak kvůli bezpečnostním problémům v samotném návrhu signalizačního protokolu SS7, používaného v mobilních sítích,“ poznamenal Bašta.

Dalším důvodem může být fakt, že počítačoví piráti již dokážou SMS zprávy obelstít. Stačí jim, aby propašovali škodlivý kód na chytrý telefon své oběti. Pak jsou schopni došlé zprávy zjednodušeně odposlouchávat.

V případě, že získají i přístup k internetovému bankovnictví, nic jim již nebrání v tom, aby mohli sami provádět transakce. Tedy jinými slovy, aby mohli zcela vybílit účet.

Budoucnost je prý v biometrii

„Jako náhradu tohoto druhu ověření NIST doporučuje biometrii,“ doplnil Bašta. Ověřovat platby na internetu, ale například i jednotlivé webové služby, by se tak měly například prostřednictvím otisků prstů.

Podobné technologie se dnes již běžně využívají k odemykání chytrých telefonů, počítačových tabletů a samozřejmě i klasických počítačů.

NIST nyní bude nabádat jednotlivé společnosti, aby používali v praxi pokročilejší mechanizmy zabezpečení. A to nejen u amerických společností, ale logicky také u těch mezinárodních.

Je tedy vcelku možné, že se v dohledné době skutečně přestanou SMS zprávy jako prostředek dvoufaktorového ověření používat.