isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
ADVERTORIAL

Двуфакторен — и защо SMS кодовете са слабото звено

25 юни 2026 г. · 3 минути четене · Коментари

Тази статия съдържа партньорски връзки. Ако купувате чрез тях, може да спечелим комисионна — без допълнителни разходи за вас.

Двуфакторното удостоверяване е едно от най-ефективните подобрения на сигурността, които можете да направите. Но не всички двуфакторни са еднакви - и най-често срещаната версия, тази, която повечето услуги използват по подразбиране, има специфична, добре документирана уязвимост, за която повечето хора не знаят.

Двуфакторното удостоверяване работи, като изисква нещо, което знаете (вашата парола) и нещо, което имате (обикновено код). Дори ако някой открадне паролата ви, той не може да влезе без втория фактор. Наистина е добро. Въпросът е какво означава "нещо, което имаш".

Проблемът с SMS кодовете

SMS кодовете се изпращат на вашия телефонен номер. Вашият телефонен номер се контролира от вашия оператор. И операторите могат да бъдат манипулирани - понякога чрез социално инженерство, понякога чрез директно подкупване на служители - да прехвърлят вашия номер към SIM карта, която атакуващият контролира. Това се нарича размяна на SIM.

След като вашият номер бъде прехвърлен, всеки SMS код, изпратен до „вашия“ телефон, отива към устройството на нападателя. Вашата парола плюс всички базирани на SMS двуфакторни вече са техни. Цели с висока стойност - хора със значителна криптовалута, ръководители, журналисти - редовно биват компрометирани по този начин.

Двуфакторни методи — относителна сила
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Приложение за удостоверяване (TOTP)
Good
Real-time phishing (if attacker acts fast)
Хардуерен ключ (парола)
Strong
Физическа кражба на ключ

Какво да използвате вместо това

Приложение за удостоверяване генерира базирани на времето кодове на вашето устройство. Те не се предават по телефонната мрежа — нито една SIM карта не може да ги прихване. Приложения като Google Authenticator или Authy работят по този начин. NordPass също включва вграден удостоверител, което означава, че вашите 2FA кодове и пароли живеят в едно и също защитено хранилище.

Двуфакторната си заслужава дори и в най-слабата си форма. SMS 2FA е много по-добър от липсата на 2FA. Но ако възнамерявате да го използвате, отнема около две минути на акаунт, за да надстроите от SMS до приложение за удостоверяване — и разликата в защитата е значителна.

Често задавани въпроси

What is credential stuffing?+

Пълненето на идентификационни данни е, когато нападателите вземат комбинации от имейл и парола, разкрити при едно нарушение, и автоматично ги пробват срещу други услуги. Ако сте reuse passwords, пробив в един сайт дава на нападателите достъп до всеки акаунт с едни и същи идентификационни данни.

Is it safe to store all your passwords in one place?+

Да, когато използвате уважаван password manager. Криптираният трезор е много по-сигурен от повторно използваните или слаби пароли. Мениджърите на пароли като NordPass използват архитектура с нулево знание — което означава, че дори компанията не може да види съхранените ви пароли.

What is two-factor authentication and should I use it?+

Двуфакторното удостоверяване (2FA) изисква втора стъпка за потвърждение освен вашата парола – обикновено код от приложение. Използвайте приложение за удостоверяване (Google Authenticator, Authy) вместо SMS кодове, които са уязвими на атаки за размяна на SIM.

Паролите и 2FA кодовете в едно сигурно хранилище
NordPass съхранява вашите пароли и генерира вашите кодове за удостоверяване. Едно приложение, една главна парола, всичко синхронизирано на вашите устройства.
⭐ 4.5/5 · милиони защитени пароли
Try NordPass →

Sam Feldman
Sam Feldman
„Добрият банер няма фиксирана форма и няма присъщо значение.“
Austin, TX · https://sams.blog/weekly
RELATED READING
Катастрофата с паролите, за която никой не мисли
Използвате повторно една парола. Хакерите разчитат на това.
Мениджъри на пароли, обяснени за нормални хора
На път сте да получите точната настройка за сигурност, която създадох за собствените си родители – тази, която действително работи

Повечето хора имат един слой защита. Липсват им три.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 минути, начало до край — след това работи във фонов режим. Въведете своя имейл и аз ще го изпратя.

Нещо се обърка — моля, опитайте отново.
Вие сте вътре — проверете входящата си поща скоро.
100% поверително. Отпишете се по всяко време.