H επαλήθευση με SMS είναι ο ποιο διαδεδομένος τρόπος επαλήθευσης και πρόσβασης 2FA. Δυστυχώς όμως το SMS δεν είναι ένας ασφαλής τρόπος χρήσης του 2FA αφού έχει 2 πολύ σημαντικά ευάλωτα σημεία.

Πρώτον, η τεχνολογία είναι επιρρεπής σε επιθέσεις εναλλάκτη SIM. Έχουν παρατηρηθεί φαινόμενα που ένας κακόβουλος χρήστης κατάφερε να ολοκληρώσει την μεταφορά SIM, δηλαδή τον αριθμό σε μια νέα κάρτα SIM, γνωρίζοντας μία προσωπική πληροφορία του χρήστη, που δυστυχώς με τα μέσα κοινωνικής δικτύωσης δεν είναι και πολύ δύσκολο να βρει.

Δεύτερον, οι κακόβουλοι χρήστες μπορούν να παρακολουθήσουν τα μηνύματα SMS και αυτό οφείλεται στο σύστημα δρομολόγησης τηλεφωνικού συστήματος σημάτων 7 (SS7). Η μεθοδολογία σχεδιάστηκε από το 1975, αλλά δυστυχώς εξακολουθεί να χρησιμοποιείται σχεδόν παγκοσμίως για τη σύνδεση και την αποσύνδεση των κλήσεων μέχρι σήμερα. Επίσης, χειρίζεται τις μεταφράσεις αριθμών, τις προπληρωμένες χρεώσεις και κυρίως τα μηνύματα SMS.

Δεν είναι επομένως έκπληξη, αυτή η τεχνολογία από το 1975 είναι γεμάτη κενά ασφαλείας.Η χρήση ελέγχου ταυτότητας δύο παραγόντων (2FA) μέσω SMS και η επαλήθευση με SMS είναι σίγουρα καλύτερη από το να μην έχετε απολύτως τίποτα, αλλά πλέον όχι η ενδεδειγμένη λύση.

Πλέον η καλύτερη επιλογή για την προστασία του ψηφιακού σας κόσμου είναι η χρήση U2F (Universal 2 Factor Authentication). Τα YubiKey με πιστοποίηση FIDO / U2F είναι ο καλύτερους τρόπος για να διατηρείτε τους διαδικτυακούς σας λογαριασμούς ασφαλείς.

Τα κλειδιά U2F χρησιμοποιούν είτε σύνδεση NFC είτε σύνδεση USB. Όταν συνδέετε τη συσκευή σας σε έναν λογαριασμό για πρώτη φορά, θα δημιουργήσει έναν τυχαίο αριθμό που ονομάζεται “Nonce”. Το Nonce συνδέεται με το όνομα τομέα του ιστότοπου για να δημιουργήσει έναν μοναδικό κώδικα.

Με την χρήση ενός Yubikey για να ολοκληρωθεί η είσοδος στον λογαριασμό σας θα χρειαστεί το όνομα χρήστη, ο κωδικός σας και το φυσικό κλειδί να είναι συνδεδεμένο πάνω στην συσκευή ή να συνδεθεί μέσο τεχνολογίας NFC όπου υποστηρίζεται. Οπότε ακόμα και αν κάποιος γνωρίζει με κάποιο τρόπο το όνομα χρήστη ή και τον κωδικό σας, ΔΕΝ θα μπορεί να εισέλθει στον λογαριασμό σας.