Token SMS / e-mail

Token SMS / e-mail to jedna z najpopularniejszych metod realizacji uwierzytelniania wieloskładnikowego (MFA). Polega na wysłaniu do użytkownika jednorazowego hasła (OTP – One-Time Password) za pośrednictwem wiadomości tekstowej (SMS) lub e-maila. Użytkownik musi następnie wprowadzić ten kod jako drugi czynnik w procesie logowania. Metoda ta należy do kategorii czynników posiadania („something you have”), ponieważ zakłada, że tylko użytkownik ma dostęp do swojego telefonu lub skrzynki e-mail.
Proces uwierzytelniania jest prosty:

• Użytkownik podaje swój pierwszy czynnik (hasło).
• Po weryfikacji hasła, system generuje unikalny, krótko żyjący kod.
• System wysyła kod na zarejestrowany numer telefonu lub adres e-mail.
• Użytkownik odbiera kod i wprowadza go na stronie logowania.
• System weryfikuje poprawność kodu i udziela dostępu.
  Zalety tej metody to powszechność i niski koszt wdrożenia. Prawie każdy posiada telefon komórkowy i adres e-mail, a proces jest intuicyjny.
  Wady i zagrożenia: Pomimo popularności, tokeny SMS i e-mail są obecnie uważane za jedną z najsłabszych form MFA:
• Podatność na ataki SIM-swapping: Atakujący może przejąć numer telefonu ofiary, przekonując operatora do przeniesienia go na nową kartę SIM. W ten sposób przejmuje wszystkie kody OTP.
• Phishing: Użytkownik może zostać oszukany i wpisać zarówno hasło, jak i otrzymany kod OTP na fałszywej stronie internetowej.
• Przechwytywanie wiadomości: Wiadomości SMS nie są szyfrowane end-to-end i mogą być przechwycone przez złośliwe oprogramowanie na telefonie. Podobnie, jeśli konto e-mail jest skompromitowane, atakujący ma dostęp do kodów.
  Z tych powodów eksperci ds. bezpieczeństwa rekomendują stosowanie bezpieczniejszych metod MFA, takich jak aplikacje uwierzytelniające (TOTP) lub fizyczne klucze bezpieczeństwa (FIDO2/WebAuthn).