Jedním z nejpohodlnějších způsobů, jak se mobilní uživatelé přihlašují do aplikací – a metoda, na kterou mnoho společností spoléhá při udělování přístupu – je jednorázové heslo neboli OTP, které je často sdíleno prostřednictvím textové zprávy. Mezi odborníky na kybernetickou bezpečnost však roste shoda, že jednorázová hesla, stejně jako tradiční hesla, by měla být postupně zrušena, ačkoli odborníci tvrdí, že je pochybné, že se tak stane v dohledné době.
Spotřebitelé jsou vyzýváni, aby věnovali pozornost různým typům jednorázových hesel a relativním bezpečnostním rizikům ve srovnání s výhodami, které každé z nich poskytuje. Zkušenosti ukazují, že vždy existuje několik způsobů, jak autentizaci obejít, ale některé metody jsou podle Ant Allana, viceprezidenta analytika společnosti Gartner Research, silnější než jiné. „Neexistují žádné spolehlivé metody ověřování,“ řekl Alan.
Zde je to, co spotřebitelé potřebují vědět o jednorázových heslech (OTP) a online zabezpečení:
Karty OTP jsou náchylné k online podvodům
Jednorázová hesla (OTP) zasílaná prostřednictvím textu nebo SMS jsou zranitelnější vůči útokům podvodníků prostřednictvím různých prostředků, jako jsou phishingové útoky, spoofing a podvodné zabezpečení ve společnosti Javelin Strategy & Research, řekla Tracy C. Kitten, ředitelka oddělení podvodů a zabezpečení na SIM kartě Javelin Strategy & Research a zachytávání zpráv, i když máte svůj telefon u sebe.
Problém je umocněn skutečností, že když dojde k ukradení mobilního účtu nebo webové stránky, nemusíte si to hned uvědomit. „Můžete například požádat banku, aby poslala textovou zprávu a poté ji poslala zpět, aniž byste si uvědomili, že ji obdržel někdo jiný,“ říká Keaten „Může trvat 45 minut, než si uvědomíte, že je něco špatně, a navíc ukaž, že je příliš pozdě.“
Použijte aplikaci pro ověřování od Googlu a Microsoftu
Nejlepší možností, i když ne stříbrnou kulkou, je stáhnout si ověřovací aplikaci, jako je Google Authenticator nebo Microsoft Authenticator, do mobilního zařízení, říkají bezpečnostní experti. Autentizační aplikace jsou stále zranitelné vůči některým typům útoků „nepřítel uprostřed“, ale stále jsou bezpečnější než SMS, řekl Allan.
Pomocí ověřovací aplikace uživatelé obdrží jedinečný kód pokaždé, když se přihlásí, a platnost kódu vyprší, obvykle po 30 až 60 sekundách. Na telefonní číslo se nic neposílá. Autentizační aplikace je na vašem mobilním zařízení, takže pokud je telefon chráněn heslem a povolíte rozpoznávání obličeje, výrazně to snižuje riziko, že někdo bude mít přístup k těmto kódům, řekl Kitten.
Stále existují potenciální zranitelnosti, které závisí na nutnosti zadat kód, říká Cédric Thevenet, viceprezident a vedoucí prodeje a kybernetických řešení ve společnosti Capgemini Americas. Řekněme například, že někdo obdrží e-mail, který vypadá, že je od společnosti nebo poskytovatele, se kterým běžně jedná, ale ve skutečnosti jde o dobře maskovaný pokus o phishing. Díky umělé inteligenci se tyto typy phishingových e-mailů staly obtížnějšími odhalit, uvedl Thevenet.
Pokud nepozorný uživatel klikne na odkaz, může se dostat na web, který vypadá legitimně, ale není. Osoba zadá své uživatelské jméno a heslo na webovou stránku hackera v domnění, že se jedná o webovou stránku poskytovatele služeb, a když je požádána o ověřovací kód, zadá jej také. Nyní, jak vysvětlil Thevenet, má hacker přístup k účtu osoby.
Zvažte placení mobilních aplikací pro lepší ochranu
Existuje bezpečnější možnost ověřování, která funguje ve spojení s mobilními aplikacemi v telefonu uživatele. Když se uživatelé přihlásí na webovou stránku své banky nebo jiného poskytovatele služeb, obdrží v příslušné aplikaci na svém telefonu oznámení s žádostí o ověření identity pomocí tohoto oznámení.
Tato metoda ověření je nezávislá na zařízení, ze kterého se přihlašujete, a je lepší než SMS nebo jednorázová hesla pro autentizaci, ale existují útoky, které mohou fungovat i proti této metodě, řekl Alan. Hacker se může opakovaně pokoušet přihlásit k něčímu účtu pomocí odcizeného hesla a uživatel obdrží na svůj telefon více zpráv pro ověření. Pokud daná osoba nedává dobrý pozor, nebo chce jen přestat otravovat, může kliknout pro ověření a dát tak hackerovi přístup k účtu.
Pokud je to možné, vyberte hardwarový bezpečnostní klíč
Lepší možností je použít fyzický bezpečnostní klíč jako Yubico. Jeden klíč lze použít s více aplikacemi a službami. Z hlediska zabezpečení je to lepší než SMS nebo autentizační aplikace, řekl Alan. Ale je tu investice. Klíč může stát 20 až 60 dolarů i více a lidé si musí dávat pozor, aby ho neztratili.
To také není praktické ve všech situacích. Internetový prodejce neposkytne klíč každému ze svých zákazníků z důvodu nákladů a praktičnosti, řekl Thevenet.
Odstraňte hesla z rovnice pomocí přístupových klíčů pro více zařízení
Přestože používání přístupových klíčů pro více zařízení, které nahrazují potřebu hesel, nemusí nutně nahradit jednorázové heslo, útočníkovi ztěžuje pronikání do vašich účtů. Přístupové klíče se skládají ze „soukromého klíče“ uloženého v počítači nebo telefonu uživatele a šifrování veřejného klíče, podle FIDO Alliance, otevřeného konsorcia zaměřeného na snížení celosvětové závislosti na heslech.
Kromě toho, že přístupové klíče eliminují některé nepříjemnosti spojené s hesly, chrání uživatele před phishingovými útoky, protože fungují pouze na webech a aplikacích, ve kterých jsou registrováni. Existují určité obavy o bezpečnost, ale přinejmenším to „odstraňuje hesla z rovnice, takže je pro útočníka v první řadě těžší začít,“ řekl Allan.
Z regulačního hlediska se přístupové klíče nemusí kvalifikovat jako vícefaktorové ověřování, ale mohou být bezpečnější než použití hesla a SMS, řekl Allan.
Očekávejte, že jednorázová hesla SMS (OTP) se budou stále používat a existuje riziko
Uživatelé mají k dispozici širokou škálu možností pro správu online přihlášení s větším zaměřením na bezpečnost, včetně správců hesel, ale všechny zahrnují rizika a do určité míry jsou spotřebitelé omezeni na metody ověřování nabízené různými poskytovateli.
Výkonný ředitel Protiviti Dusty Anderson, který ve společnosti vede praxi digitální identity, říká, že jeden z jejích klientů utrácí desítky tisíc dolarů měsíčně za zasílání jednorázových hesel prostřednictvím SMS. Navzdory obavám o bezpečnost si zákazník stojí za svým, protože se bojí způsobit problémy, zejména u zákazníků, kteří neznají technologii a mohou se zdráhat použít jiný typ autentizačního nástroje.
Z jiných důvodů Thevenet uvedl, že dočasná hesla pravděpodobně zůstanou v dohledné době v nějaké formě k dispozici. Thevenet dodal, že nejoblíbenější možnosti jsou levné a snadno použitelné a navzdory některým rizikům jsou tyto metody stále lepší než pouhé heslo. „Je zaslání dočasného hesla prostřednictvím SMS vůbec nejlepším řešením Ne. Je to lepší než pouhé heslo?“
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“
