Experti KYBcastu míní, že výpadek Facebooku světu ukázal, jak děravé je ověření skrz SMS zprávy
10. 4. 2024
Velkou část populace trápí nedostatečné zabezpečení účtu na sociálních sítích či jinde v digitálních zařízeních. Vyhráno přesto nemají ani ti, kteří si dvoufaktorovou ochranu nastaví – často totiž používají děravou metodu pomocí ověřování přes SMS kód. IT experti z podcastu KYBcast – Pavel Matějíček a Václav Maněna – v novém díle svého podcastu vysvětlují, proč tomu tak je.
Přestože dvoufázové ověřování v podobě přijetí SMS s náhodně vygenerovaným kódem patří mezi nejrozšířenější, je zároveň děravé. I tak pro něj mají IT odborníci z podcastu KYBcast pochopení. „Jeden klučina ve škole mi říkal, že má špatnou zkušenost s ověřováním přes aplikaci. Zapnul si to, ale potom se mu rozbil mobil a on nebyl schopný daný program nahodit, protože neměl zálohu dvoufaktoru,“ popisuje středoškolský učitel Václav Maněna.
Doplňuje, že další z dětí mu vyprávělo právě o SMS kódech. „Když dítě ztratí mobil, tak rodiče zavolají operátorovi, nechají vystavit novou simku se stejným číslem, na kterou pak kód přijde. Neříkám, že je to ta nejlepší varianta, ale vždy bychom měli volit pro danou osobu to nejlepší, což pro děti SMS kód asi je,“ míní dál Maněna.
Facebook nám ukázal šedé zóny
Podle něj může jít i o oblíbenou metodu ochrany například u seniorů, kteří mají tlačítkové telefony. Pavel Matějíček by lidem doporučil používat například Authenticator od Microsoftu nebo Googlu. „Obojí jsou velké firmy, mají své minusy i plusy, ale ty převažují,“ říká. Varuje ale, že dané aplikace dělají zálohy, a tak je potřeba být například u Microsoftu přihlášený na soukromém One Drivu. „Jinak musíte volat administrátorovi ve firmě a řešit to s nimi,“ vysvětluje.
Když před několika týdny postihl velký výpadek americkou společnost Meta, která vlastní a provozuje mimo jiné Facebook nebo Instagram, ani jedna z aplikací nefungovala. A problém s přihlášením do aplikace měli zejména ti uživatelé, kteří k přihlášení používají dvoufázové ověření přes SMS kódy. „Neví se, proč lidem SMS zprávy nechodily, případně chodily s výrazným zpožděním, takže už platnost kódů dávno vypršela,“ krčí rameny Matějíček.
Podle něj uživatelé s jiným typem potvrzení byli víceméně v pohodě. Zdůrazňuje, že SMS kód je obecně zranitelnější, a to hned z několika důvodů. Jedním z nich může být minimálně i skrytý vir v telefonu, který odesílá všechna data a také informace, jež se na telefonu objeví.
„Taky se mi občas stane, že kód nepřijde vůbec nebo dorazí s výrazným zpožděním, takže už není platný a nově vygenerovaný kód zase ne a ne přijít. Je to takové, řekl bych, až nepraktické, nepříjemné. Ale chápu, že pro někoho to může být nejjednodušší způsob,“ chápe důvody používání Maněna.
Dvoufázové ověření používáme i u banky
Nejde ale pouze o přihlašování na sociální sítě, oba odborníci vzpomněli i nejrozšířenější úkon v rámci dvoufázového ověřování. Tím jsou například bankovní operace v prohlížeči nebo aplikaci. Banky chtějí autorizační SMS kód, případně se dnes již uchylují k biometrickému ověřování. To spočívá v kontrole otisku prstu nebo naskenování obličeje přes mobilní telefon.
Závěrem také doporučili, aby lidé používali těžká hesla a měli je uložená v různých aplikacích. „Používám teď Proton Pass, protože používám nějaké věci od nich a oni teď přišli se správcem hesel. Dokonce k tomu nepotřebujete ani telefon, často se mi stane, že ho někde nechám položený, ale tady si vše dokážete díky synchronizaci zařídit přes prohlížeč,“ těší Matějíčka.
Co dalšího ve druhém díle třetí série zaznělo? To zjistíte už nyní na YouTube účtu Národního pedagogického institutu ČR v sekci podcasty, případně v podcastových aplikacích.
Připravil: Tomáš Matoušek