אימות זהות בהודעות SMS? ההאקרים לא מתרשמים

מה שווה האימות הדו-שלבי מבוסס ה-SMS? צילום: שאטרסטוק

על פי דיווח של הפייננשל טיימס, ממשלת ארה"ב הזהירה את ספקית הסלולר T-Mobile, שחוותה ניסיון פריצה שלפי הערכת גורמי סייבר ממשלתיים, נועדה להשיג גישה לפרטי כרטיסי SIM. הודעות ה-SMS אינן מוצפנות, מה שמאפשר קריאה שלהן לאחר שיורטו, ומקל על תוקפים מתקדמים. שליחת הודעות SMS אינה טכניקת האימות הדו-שלבי היחידה בשוק, אם כי זו השיטה הנפוצה ביותר. בין היתר, ישנן שכבות אימות אחרות כסריקת טביעת אצבע או קוד מתחלף שמופק מאפליקציה מוצפנת. ואולם, שיטות אלה בטוחות בהרבה מהשימוש בהודעת טקסט פשוטה.

לאחרונה החלו כמה חברות טכנולוגיה להקשיח את האבטחה בשירותיהן. למשל, גוגל מציעה לעיתונאים, אנשי עסקים ואקטיביסטים להוסיף שכבת אימות נוספת שתקשה על פריצה למכשירים שלהם. ואולם, נראה שהפורצים אינם מתעניינים בעיתונאים ואקטיביסטים; לפי RSA רוב הקורבנות שזוהו היו בעלי ארנקי ביטקוין.

על אף היכולת לעקוף את אימות הזהות מבוסס ה-SMS, עדיין מומלץ להפעיל תכונה זו, שכן לא כל האקר יודע כיצד לנצל את הפרצות הרלוונטיות לעקיפת ההגנה. השימוש באימות כפול הוא עדיין הדרך הטובה ביותר להתמודד עם שורה ארוכה של ניסיונות פריצה.