Pengesahan dua faktor berasaskan SMS (2FA) ialah kaedah yang digunakan secara meluas untuk meningkatkan keselamatan pengesahan pengguna dalam sistem komputer. Ia melibatkan penggunaan telefon bimbit untuk menerima kata laluan satu kali (OTP) melalui SMS, yang kemudiannya dimasukkan oleh pengguna untuk melengkapkan proses pengesahan. Walaupun 2FA berasaskan SMS menyediakan lapisan keselamatan tambahan berbanding dengan pengesahan nama pengguna dan kata laluan tradisional, ia bukan tanpa hadnya.
Salah satu batasan utama 2FA berasaskan SMS ialah kerentanannya terhadap serangan pertukaran SIM. Dalam serangan pertukaran SIM, penyerang meyakinkan pengendali rangkaian mudah alih untuk memindahkan nombor telefon mangsa ke kad SIM di bawah kawalan penyerang. Setelah penyerang mengawal nombor telefon mangsa, mereka boleh memintas SMS yang mengandungi OTP dan menggunakannya untuk memintas 2FA. Serangan ini boleh dipermudahkan melalui teknik kejuruteraan sosial atau dengan mengeksploitasi kelemahan dalam proses pengesahan pengendali rangkaian mudah alih.
Satu lagi had 2FA berasaskan SMS ialah potensi untuk memintas mesej SMS. Walaupun rangkaian selular biasanya menyediakan penyulitan untuk komunikasi suara dan data, mesej SMS sering dihantar dalam teks biasa. Ini menyebabkan mereka terdedah kepada pemintasan oleh penyerang yang boleh mencuri dengar komunikasi antara rangkaian mudah alih dan peranti penerima. Setelah dipintas, OTP boleh digunakan oleh penyerang untuk mendapatkan akses tanpa kebenaran ke akaun pengguna.
Tambahan pula, 2FA berasaskan SMS bergantung pada keselamatan peranti mudah alih pengguna. Jika peranti hilang atau dicuri, penyerang yang memiliki peranti itu boleh mengakses mesej SMS yang mengandungi OTP dengan mudah. Selain itu, perisian hasad atau aplikasi berniat jahat yang dipasang pada peranti boleh memintas atau memanipulasi mesej SMS, menjejaskan keselamatan proses 2FA.
2FA berasaskan SMS juga memperkenalkan satu titik kegagalan yang berpotensi. Jika rangkaian mudah alih mengalami gangguan perkhidmatan atau jika pengguna berada di kawasan dengan liputan selular yang lemah, penghantaran OTP mungkin ditangguhkan atau gagal sepenuhnya. Ini boleh mengakibatkan pengguna tidak dapat mengakses akaun mereka, yang membawa kepada kekecewaan dan berpotensi kehilangan produktiviti.
Selain itu, 2FA berasaskan SMS terdedah kepada serangan pancingan data. Penyerang boleh mencipta halaman log masuk palsu atau aplikasi mudah alih yang meyakinkan yang menggesa pengguna memasukkan nama pengguna, kata laluan dan OTP yang diterima melalui SMS. Jika pengguna menjadi mangsa percubaan pancingan data ini, bukti kelayakan dan OTP mereka boleh ditangkap oleh penyerang, yang kemudiannya boleh menggunakannya untuk mendapatkan akses tanpa kebenaran ke akaun pengguna.
Walaupun 2FA berasaskan SMS menyediakan lapisan keselamatan tambahan berbanding dengan pengesahan nama pengguna dan kata laluan tradisional, ia bukan tanpa hadnya. Ini termasuk kerentanan kepada serangan pertukaran SIM, pemintasan mesej SMS, pergantungan pada keselamatan peranti mudah alih pengguna, potensi titik kegagalan tunggal dan kerentanan terhadap serangan pancingan data. Organisasi dan pengguna harus sedar tentang had ini dan mempertimbangkan kaedah pengesahan alternatif, seperti pengesah berasaskan aplikasi atau token perkakasan, untuk mengurangkan risiko yang berkaitan dengan 2FA berasaskan SMS.
Soalan dan jawapan terbaru lain mengenai Pengesahan:
- Apakah potensi risiko yang dikaitkan dengan peranti pengguna yang terjejas dalam pengesahan pengguna?
- Bagaimanakah mekanisme UTF membantu menghalang serangan lelaki di tengah dalam pengesahan pengguna?
- Apakah tujuan protokol respons cabaran dalam pengesahan pengguna?
- Bagaimanakah kriptografi kunci awam meningkatkan pengesahan pengguna?
- Apakah beberapa kaedah pengesahan alternatif kepada kata laluan, dan bagaimana ia meningkatkan keselamatan?
- Bagaimanakah kata laluan boleh dikompromi, dan apakah langkah yang boleh diambil untuk mengukuhkan pengesahan berasaskan kata laluan?
- Apakah pertukaran antara keselamatan dan kemudahan dalam pengesahan pengguna?
- Apakah beberapa cabaran teknikal yang terlibat dalam pengesahan pengguna?
- Bagaimanakah protokol pengesahan menggunakan Yubikey dan kriptografi kunci awam mengesahkan ketulenan mesej?
- Apakah kelebihan menggunakan peranti Universal 2nd Factor (U2F) untuk pengesahan pengguna?
Lihat lebih banyak soalan dan jawapan dalam Pengesahan