Kéttényezős – és miért az SMS-kódok a gyenge láncszem
2026. június 25. · 3 perc olvasás · Megjegyzések
Ez a cikk társult linkeket tartalmaz. Ha rajtuk keresztül vásárol, jutalékot kaphatunk – további költségek nélkül.
A kéttényezős hitelesítés az egyik leghatékonyabb biztonsági frissítés. De nem minden kéttényezős egyforma – és a leggyakoribb verzió, amelyre a legtöbb szolgáltatás alapértelmezés szerint rendelkezik, van egy konkrét, jól dokumentált sebezhetőség, amelyről a legtöbb ember nem tud.
A kéttényezős hitelesítés úgy működik, hogy szükség van valamire, amit ismer (jelszó) és valamit, amivel rendelkezel (általában egy kódot). Még ha valaki el is lopja a jelszavát, a második tényező nélkül nem tud bejelentkezni. Tényleg jó. A kérdés az, hogy mit jelent a „valami, ami van”.
Probléma az SMS kódokkal
Az SMS kódokat az Ön telefonszámára küldjük. Telefonszámát a szolgáltató felügyeli. A szolgáltatók pedig manipulálhatók – néha szociális manipulációval, néha az alkalmazottak nyílt megvesztegetésével –, hogy átvigyék a számot a támadó által irányított SIM-kártyára. Ezt hívják SIM cserének.
A szám átvitele után minden „az Ön” telefonjára küldött SMS-kód a támadó eszközére kerül. Az Ön jelszava és bármilyen SMS-alapú kéttényezős mostantól az övék. A nagy értékű célpontok – jelentős kriptovalutával rendelkező emberek, vezetők, újságírók – rendszeresen veszélybe kerülnek így.
Mit használjunk helyette
Egy hitelesítő alkalmazás időalapú kódokat generál az eszközén. Nem továbbítják őket a telefonhálózaton – a SIM-csere nem tudja elfogni őket. Az olyan alkalmazások, mint a Google Authenticator vagy az Authy így működnek. A NordPass beépített hitelesítőt is tartalmaz, ami azt jelenti, hogy a 2FA kódok és jelszavak ugyanabban a biztonságos tárolóban élnek.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
A kéttényezőt még a leggyengébb formájában is megéri. Az SMS 2FA sokkal jobb, mint a 2FA nélküli. De ha használni kívánja, fiókonként körülbelül két percet vesz igénybe, hogy SMS-ről hitelesítő alkalmazásra váltson – és a védelem terén mutatkozó hiányosságok jelentősek.
Gyakran ismételt kérdések
What is credential stuffing?+
A hitelesítő adatok kitöltése az, amikor a támadók elveszik az egy incidens során feltárt e-mail- és jelszókombinációkat, és automatikusan megpróbálják más szolgáltatásokkal szemben. Ha „0”, akkor az egyik webhelyen történt incidens minden fiókhoz hozzáférést biztosít a támadóknak azonos hitelesítési adatokkal.
Is it safe to store all your passwords in one place?+
Igen, jó hírű „0” használatakor. A titkosított tároló sokkal biztonságosabb, mint az újrafelhasznált vagy gyenge jelszavak. A jelszókezelők, mint például a NordPass, nulla tudású architektúrát használnak – vagyis még a vállalat sem láthatja a tárolt jelszavakat.
What is two-factor authentication and should I use it?+
A kéttényezős hitelesítéshez (2FA) a jelszavan túl egy második ellenőrzési lépésre van szükség – általában egy alkalmazásból származó kódra. SMS-kódok helyett használjon hitelesítő alkalmazást (Google Authenticator, Authy), amelyek ki vannak téve a SIM-csere támadásoknak.
