isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
ADVERTORIAL

Kéttényezős – és miért az SMS-kódok a gyenge láncszem

2026. június 25. · 3 perc olvasás · Megjegyzések

Ez a cikk társult linkeket tartalmaz. Ha rajtuk keresztül vásárol, jutalékot kaphatunk – további költségek nélkül.

A kéttényezős hitelesítés az egyik leghatékonyabb biztonsági frissítés. De nem minden kéttényezős egyforma – és a leggyakoribb verzió, amelyre a legtöbb szolgáltatás alapértelmezés szerint rendelkezik, van egy konkrét, jól dokumentált sebezhetőség, amelyről a legtöbb ember nem tud.

A kéttényezős hitelesítés úgy működik, hogy szükség van valamire, amit ismer (jelszó) és valamit, amivel rendelkezel (általában egy kódot). Még ha valaki el is lopja a jelszavát, a második tényező nélkül nem tud bejelentkezni. Tényleg jó. A kérdés az, hogy mit jelent a „valami, ami van”.

Probléma az SMS kódokkal

Az SMS kódokat az Ön telefonszámára küldjük. Telefonszámát a szolgáltató felügyeli. A szolgáltatók pedig manipulálhatók – néha szociális manipulációval, néha az alkalmazottak nyílt megvesztegetésével –, hogy átvigyék a számot a támadó által irányított SIM-kártyára. Ezt hívják SIM cserének.

A szám átvitele után minden „az Ön” telefonjára küldött SMS-kód a támadó eszközére kerül. Az Ön jelszava és bármilyen SMS-alapú kéttényezős mostantól az övék. A nagy értékű célpontok – jelentős kriptovalutával rendelkező emberek, vezetők, újságírók – rendszeresen veszélybe kerülnek így.

Kéttényezős módszerek – relatív erő
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Hitelesítő alkalmazás (TOTP)
Good
Real-time phishing (if attacker acts fast)
Hardverkulcs (jelszó)
Strong
A kulcs fizikai ellopása

Mit használjunk helyette

Egy hitelesítő alkalmazás időalapú kódokat generál az eszközén. Nem továbbítják őket a telefonhálózaton – a SIM-csere nem tudja elfogni őket. Az olyan alkalmazások, mint a Google Authenticator vagy az Authy így működnek. A NordPass beépített hitelesítőt is tartalmaz, ami azt jelenti, hogy a 2FA kódok és jelszavak ugyanabban a biztonságos tárolóban élnek.

A kéttényezőt még a leggyengébb formájában is megéri. Az SMS 2FA sokkal jobb, mint a 2FA nélküli. De ha használni kívánja, fiókonként körülbelül két percet vesz igénybe, hogy SMS-ről hitelesítő alkalmazásra váltson – és a védelem terén mutatkozó hiányosságok jelentősek.

Gyakran ismételt kérdések

What is credential stuffing?+

A hitelesítő adatok kitöltése az, amikor a támadók elveszik az egy incidens során feltárt e-mail- és jelszókombinációkat, és automatikusan megpróbálják más szolgáltatásokkal szemben. Ha „0”, akkor az egyik webhelyen történt incidens minden fiókhoz hozzáférést biztosít a támadóknak azonos hitelesítési adatokkal.

Is it safe to store all your passwords in one place?+

Igen, jó hírű „0” használatakor. A titkosított tároló sokkal biztonságosabb, mint az újrafelhasznált vagy gyenge jelszavak. A jelszókezelők, mint például a NordPass, nulla tudású architektúrát használnak – vagyis még a vállalat sem láthatja a tárolt jelszavakat.

What is two-factor authentication and should I use it?+

A kéttényezős hitelesítéshez (2FA) a jelszavan túl egy második ellenőrzési lépésre van szükség – általában egy alkalmazásból származó kódra. SMS-kódok helyett használjon hitelesítő alkalmazást (Google Authenticator, Authy), amelyek ki vannak téve a SIM-csere támadásoknak.

Jelszavak és 2FA kódok egy biztonságos tárolóban
A NordPass tárolja jelszavait, és létrehozza a hitelesítő kódokat. Egy alkalmazás, egy fő jelszó, minden szinkronizálva az eszközök között.
⭐ 4,5/5 · több millió jelszóval védett
Try NordPass →

Sam Feldman
Sam Feldman
"A jó transzparensnek nincs rögzített formája és nincs benne rejlő jelentése."
Austin, TX · https://sams.blog/weekly
RELATED READING
A jelszókatasztrófára senki sem gondol
Egy jelszót újra felhasznál. A hackerek számítanak rá.
Jelszókezelők, normális embereknek magyarázva
Arra készül, hogy pontosan azt a biztonsági beállítást kapja meg, amelyet a saját szüleim számára készítettem – azt, amelyik valóban működik

A legtöbb embernek egy védelmi rétege van. Három hiányzik.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 perc, elejétől a végéig – ezután fut a háttérben. Add meg az email címed és elküldöm.

Hiba történt – próbálja újra.
Benne van – rövidesen ellenőrizze a beérkezett üzeneteket.
100% bizalmas. Leiratkozás bármikor.