Jedným z najpohodlnejších spôsobov, ako sa môžu používatelia mobilných zariadení prihlásiť do aplikácií – a metóda, na ktorú sa mnohé spoločnosti spoliehajú pri udeľovaní prístupu – je jednorazové heslo alebo OTP, ktoré sa často zdieľa prostredníctvom textovej správy. Medzi odborníkmi na kybernetickú bezpečnosť však narastá konsenzus, že jednorazové heslá, podobne ako tradičné heslá, by sa mali postupne zrušiť, hoci odborníci tvrdia, že je nepravdepodobné, že sa tak stane v dohľadnej dobe.

Spotrebitelia sú vyzývaní, aby venovali pozornosť rôznym typom jednorazových hesiel a relatívnym bezpečnostným rizikám v porovnaní s výhodami, ktoré každý z nich poskytuje. Skúsenosti ukazujú, že vždy existuje niekoľko spôsobov, ako obísť autentifikáciu, ale niektoré metódy sú podľa Ant Allana, viceprezidenta analytika spoločnosti Gartner Research, silnejšie ako iné. „Neexistujú žiadne spoľahlivé metódy overovania,“ povedal Alan.

Tu je to, čo spotrebitelia potrebujú vedieť o jednorazových heslách (OTP) a online zabezpečení:

Karty OTP sú náchylné na online podvody

Jednorazové heslá (OTP) odosielané prostredníctvom textu alebo SMS sú zraniteľnejšie voči útokom podvodníkov prostredníctvom rôznych prostriedkov, ako sú phishingové útoky, spoofing a podvodné zabezpečenie v Javelin Strategy & Research, povedala Tracy C. Kitten, riaditeľka oddelenia podvodov a zabezpečenie na SIM karte Javelin Strategy & Research a zachytávanie správ, aj keď máte svoj telefón pri sebe.

Problém je umocnený skutočnosťou, že pri krádeži mobilného účtu alebo webovej stránky si to nemusíte hneď uvedomiť. „Môžete napríklad požiadať banku, aby poslala textovú správu a potom ju poslala späť bez toho, aby ste si uvedomili, že ju dostal niekto iný,“ hovorí Keaten „Môže trvať 45 minút, kým si uvedomíte, že niečo nie je v poriadku bod, je príliš neskoro.“

Použite autentifikačnú aplikáciu od Google a Microsoftu

Najlepšou možnosťou, hoci nie striebornou guľkou, je stiahnuť si overovaciu aplikáciu, ako je Google Authenticator alebo Microsoft Authenticator, do mobilného zariadenia, hovoria odborníci na bezpečnosť. Aplikácie na overovanie totožnosti sú stále zraniteľné voči niektorým typom útokov „nepriateľ uprostred“, ale stále sú bezpečnejšie ako SMS, povedal Allan.

Pomocou autentifikačnej aplikácie dostanú používatelia jedinečný kód pri každom prihlásení a platnosť kódu vyprší, zvyčajne po 30 až 60 sekundách. Na telefónne číslo sa nič neposiela. Aplikácia autentifikátora je na vašom mobilnom zariadení, takže ak je telefón chránený heslom a povolíte rozpoznávanie tváre, výrazne to znižuje riziko, že niekto bude mať prístup k týmto kódom, povedal Kitten.

Stále existujú potenciálne slabé miesta, ktoré závisia od potreby zadať kód, hovorí Cédric Thevenet, viceprezident a vedúci predaja a kybernetických riešení v Capgemini Americas. Povedzme napríklad, že niekto dostane e-mail, ktorý vyzerá, že je od spoločnosti alebo poskytovateľa, s ktorým bežne obchodujú, ale v skutočnosti ide o dobre maskovaný pokus o phishing. Vďaka umelej inteligencii sú tieto typy phishingových e-mailov ťažšie odhaliť, uviedol Thevenet.

Ak nepozorný používateľ klikne na odkaz, môže sa dostať na webovú stránku, ktorá vyzerá legitímne, ale nie je. Osoba zadá svoje používateľské meno a heslo na webovú stránku hackera, mysliac si, že ide o webovú stránku poskytovateľa služieb, a potom, keď sa zobrazí výzva na zadanie overovacieho kódu, zadá ho tiež. Teraz, ako vysvetlil Thevenet, má hacker prístup k účtu osoby.

Zvážte platenie mobilných aplikácií pre lepšiu ochranu

Existuje bezpečnejšia možnosť overenia, ktorá funguje v spojení s mobilnými aplikáciami v telefóne používateľa. Keď sa používatelia prihlásia na webovú stránku svojej banky alebo iného typu poskytovateľa služieb, dostanú v príslušnej aplikácii v telefóne upozornenie, ktoré ich požiada o overenie totožnosti pomocou tohto upozornenia.

Táto metóda overovania je nezávislá od zariadenia, z ktorého sa prihlasujete, a je lepšia ako SMS alebo jednorazové heslá na overenie, existujú však útoky, ktoré môžu fungovať aj proti tejto metóde, povedal Alan. Hacker sa môže opakovane pokúsiť prihlásiť do niekoho účtu pomocou ukradnutého hesla a používateľ dostane na svoj telefón viacero správ na overenie. Ak daná osoba nevenuje veľkú pozornosť, alebo chce len prestať otravovať, môže kliknúť na overenie a poskytnúť tak hackerovi prístup k účtu.

Ak je to možné, vyberte hardvérový bezpečnostný kľúč

Lepšou možnosťou je použiť fyzický bezpečnostný kľúč ako Yubico. Jeden kľúč možno použiť s viacerými aplikáciami a službami. Z hľadiska bezpečnosti je to lepšie ako SMS alebo autentifikačná aplikácia, povedal Alan. Ale je tu investícia. Kľúč môže stáť 20 až 60 dolárov alebo viac a ľudia si musia dávať pozor, aby ho nestratili.

To tiež nie je praktické vo všetkých situáciách. Internetový predajca neposkytne kľúč každému zo svojich zákazníkov z dôvodov nákladov a praktickosti, povedal Thevenet.

Odstráňte heslá z rovnice pomocou prístupových kľúčov pre viacero zariadení

Aj keď používanie prístupových kľúčov pre viacero zariadení, ktoré nahrádzajú potrebu hesiel, nie je nevyhnutne náhradou za jednorazové heslo, útočníkom sťažuje prienik do vašich účtov. Prístupové kľúče pozostávajú zo „súkromného kľúča“ uloženého v počítači alebo telefóne používateľa a zo šifrovania verejného kľúča, podľa FIDO Alliance, otvoreného konzorcia zameraného na zníženie celosvetovej závislosti od hesiel.

Okrem toho, že prístupové kľúče eliminujú niektoré nepríjemnosti spojené s heslami, chránia používateľov pred phishingovými útokmi, pretože fungujú iba na webových stránkach a v aplikáciách, v ktorých sú zaregistrovaní. Existujú určité bezpečnostné obavy, ale prinajmenšom to „odstráni heslá z rovnice, čím sa útočníkom sťaží začať,“ povedal Allan.

Z regulačného hľadiska sa prístupové kľúče nemusia kvalifikovať ako viacfaktorové overenie, ale môžu byť bezpečnejšie ako používanie hesla a SMS, povedal Allan.

Očakávajte, že SMS jednorazové heslá (OTP) sa budú stále používať a existuje riziko

Používatelia majú k dispozícii širokú škálu možností na správu online prihlásení s väčším zameraním na bezpečnosť, vrátane správcov hesiel, ale všetky zahŕňajú riziká a do určitej miery sú spotrebitelia obmedzení na metódy overovania, ktoré ponúkajú rôzni poskytovatelia.

Výkonný riaditeľ Protiviti Dusty Anderson, ktorý vedie prax spoločnosti v oblasti digitálnej identity, hovorí, že jeden z jej klientov míňa desiatky tisíc dolárov mesačne posielaním jednorazových hesiel prostredníctvom SMS. Napriek obavám o bezpečnosť si zákazník stojí na svojom, pretože sa obáva spôsobenia problémov, najmä u zákazníkov, ktorí nepoznajú technológiu a môžu sa zdráhať použiť iný typ autentifikačného nástroja.

Z iných dôvodov Thevenet uviedol, že dočasné heslá budú pravdepodobne v dohľadnej budúcnosti v určitej forme dostupné. Thevenet dodal, že najobľúbenejšie možnosti sú lacné a ľahko použiteľné a napriek niektorým rizikám sú tieto metódy stále lepšie ako len samotné heslo. „Je odoslanie dočasného hesla prostredníctvom SMS vôbec najlepším riešením Nie. Je to lepšie ako len heslo?