Двуфакторен — и защо SMS кодовете са слабото звено
25 юни 2026 г. · 3 минути четене · Коментари
Тази статия съдържа партньорски връзки. Ако купувате чрез тях, може да спечелим комисионна — без допълнителни разходи за вас.
Двуфакторното удостоверяване е едно от най-ефективните подобрения на сигурността, които можете да направите. Но не всички двуфакторни са еднакви - и най-често срещаната версия, тази, която повечето услуги използват по подразбиране, има специфична, добре документирана уязвимост, за която повечето хора не знаят.
Двуфакторното удостоверяване работи, като изисква нещо, което знаете (вашата парола) и нещо, което имате (обикновено код). Дори ако някой открадне паролата ви, той не може да влезе без втория фактор. Наистина е добро. Въпросът е какво означава "нещо, което имаш".
Проблемът с SMS кодовете
SMS кодовете се изпращат на вашия телефонен номер. Вашият телефонен номер се контролира от вашия оператор. И операторите могат да бъдат манипулирани - понякога чрез социално инженерство, понякога чрез директно подкупване на служители - да прехвърлят вашия номер към SIM карта, която атакуващият контролира. Това се нарича размяна на SIM.
След като вашият номер бъде прехвърлен, всеки SMS код, изпратен до „вашия“ телефон, отива към устройството на нападателя. Вашата парола плюс всички базирани на SMS двуфакторни вече са техни. Цели с висока стойност - хора със значителна криптовалута, ръководители, журналисти - редовно биват компрометирани по този начин.
Какво да използвате вместо това
Приложение за удостоверяване генерира базирани на времето кодове на вашето устройство. Те не се предават по телефонната мрежа — нито една SIM карта не може да ги прихване. Приложения като Google Authenticator или Authy работят по този начин. NordPass също включва вграден удостоверител, което означава, че вашите 2FA кодове и пароли живеят в едно и също защитено хранилище.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Двуфакторната си заслужава дори и в най-слабата си форма. SMS 2FA е много по-добър от липсата на 2FA. Но ако възнамерявате да го използвате, отнема около две минути на акаунт, за да надстроите от SMS до приложение за удостоверяване — и разликата в защитата е значителна.
Често задавани въпроси
What is credential stuffing?+
Пълненето на идентификационни данни е, когато нападателите вземат комбинации от имейл и парола, разкрити при едно нарушение, и автоматично ги пробват срещу други услуги. Ако сте reuse passwords, пробив в един сайт дава на нападателите достъп до всеки акаунт с едни и същи идентификационни данни.
Is it safe to store all your passwords in one place?+
Да, когато използвате уважаван password manager. Криптираният трезор е много по-сигурен от повторно използваните или слаби пароли. Мениджърите на пароли като NordPass използват архитектура с нулево знание — което означава, че дори компанията не може да види съхранените ви пароли.
What is two-factor authentication and should I use it?+
Двуфакторното удостоверяване (2FA) изисква втора стъпка за потвърждение освен вашата парола – обикновено код от приложение. Използвайте приложение за удостоверяване (Google Authenticator, Authy) вместо SMS кодове, които са уязвими на атаки за размяна на SIM.
