SMS-д суурилсан хоёр хүчин зүйлийн баталгаажуулалт (2FA) нь компьютерийн систем дэх хэрэглэгчийн баталгаажуулалтын аюулгүй байдлыг сайжруулахад өргөн хэрэглэгддэг арга юм. Энэ нь гар утсыг ашиглан нэг удаагийн нууц үг (OTP) SMS-ээр хүлээн авах бөгөөд дараа нь хэрэглэгч нэвтрэн орж баталгаажуулах үйл явцыг дуусгах явдал юм. SMS-д суурилсан 2FA нь уламжлалт хэрэглэгчийн нэр, нууц үгийн баталгаажуулалттай харьцуулахад аюулгүй байдлын нэмэлт давхаргыг хангадаг ч энэ нь хязгаарлалтгүй юм.
SMS-д суурилсан 2FA-ийн гол хязгаарлалтуудын нэг нь SIM солих халдлагад өртөмтгий байдаг. SIM солих халдлагад халдагч гар утасны сүлжээний операторыг хохирогчийн утасны дугаарыг халдагчийн хяналтан дор SIM карт руу шилжүүлэхийг ятгадаг. Халдагчид хохирогчийн утасны дугаарыг хянах боломжтой болсны дараа тэд OTP агуулсан SMS-г таслан зогсоож, 2FA-г тойрч гарахад ашиглах боломжтой. Энэхүү халдлагыг нийгмийн инженерчлэлийн арга техникээр эсвэл үүрэн холбооны операторын баталгаажуулалтын үйл явц дахь сул талыг ашиглах замаар хөнгөвчлөх боломжтой.
SMS-д суурилсан 2FA-ийн өөр нэг хязгаарлалт бол SMS мессежийг саатуулах боломж юм. Үүрэн сүлжээнүүд нь дуу хоолой болон өгөгдөл дамжуулахад шифрлэлт өгдөг бол SMS мессежийг ихэвчлэн энгийн текст хэлбэрээр дамжуулдаг. Энэ нь тэднийг гар утасны сүлжээ болон хүлээн авагчийн төхөөрөмжийн хоорондох харилцааг чагнаж чадах халдагчдад саад учруулах эрсдэлтэй болгодог. Татаж авсны дараа OTP-ийг халдагчид хэрэглэгчийн бүртгэл рүү зөвшөөрөлгүй нэвтрэхийн тулд ашиглаж болно.
Цаашилбал, SMS-д суурилсан 2FA нь хэрэглэгчийн гар утасны төхөөрөмжийн аюулгүй байдалд тулгуурладаг. Хэрэв төхөөрөмж алдагдсан эсвэл хулгайлагдсан бол төхөөрөмжийг эзэмшиж буй халдагч нь OTP агуулсан SMS мессежүүдэд хялбархан хандах боломжтой. Нэмж дурдахад, төхөөрөмж дээр суулгасан хортой програм эсвэл хортой програмууд нь SMS мессежийг таслан зогсоох эсвэл удирдах боломжтой бөгөөд энэ нь 2FA процессын аюулгүй байдлыг алдагдуулж болзошгүй юм.
SMS-д суурилсан 2FA нь бүтэлгүйтлийн нэг цэгийг бас танилцуулдаг. Хэрэв гар утасны сүлжээнд үйлчилгээ тасалдсан эсвэл хэрэглэгч үүрэн холбооны хамрах хүрээ муутай газар байгаа бол OTP-ийн хүргэлт хойшлогдож эсвэл бүр бүтэлгүйтэж магадгүй юм. Үүний үр дүнд хэрэглэгчид өөрсдийн данс руугаа нэвтэрч чадахгүй, улмаар урам хугарах, бүтээмж алдагдахад хүргэдэг.
Түүнчлэн, SMS-д суурилсан 2FA нь фишинг халдлагад өртөмтгий байдаг. Халдагчид хэрэглэгчдэд өөрийн хэрэглэгчийн нэр, нууц үг, SMS-ээр хүлээн авсан OTP-г оруулахыг сануулдаг хуурамч нэвтрэх хуудас эсвэл гар утасны программ үүсгэж болно. Хэрэв хэрэглэгчид эдгээр фишингийн оролдлогын золиос болох юм бол халдагчид тэдний итгэмжлэл болон OTP мэдээллийг авч, улмаар хэрэглэгчийн бүртгэл рүү зөвшөөрөлгүй нэвтрэхийн тулд ашиглаж болно.
SMS-д суурилсан 2FA нь уламжлалт хэрэглэгчийн нэр, нууц үгийн баталгаажуулалттай харьцуулахад аюулгүй байдлын нэмэлт давхаргыг хангадаг ч энэ нь хязгаарлалтгүй юм. Үүнд SIM солих халдлагад өртөмтгий байдал, SMS мессежийг таслан зогсоох, хэрэглэгчийн гар утасны төхөөрөмжийн аюулгүй байдалд найдах, нэг цэгийн бүтэлгүйтэл, фишинг халдлагад өртөмтгий байдал орно. Байгууллага, хэрэглэгчид эдгээр хязгаарлалтыг мэдэж байх ёстой бөгөөд SMS-д суурилсан 2FA-тай холбоотой эрсдлийг бууруулахын тулд апп-д суурилсан баталгаажуулагч эсвэл техник хангамжийн жетон гэх мэт өөр гэрчлэлт аргуудыг авч үзэх хэрэгтэй.
Сүүлийн үеийн бусад асуулт, хариулт Authentication:
- Хэрэглэгчийн нэвтрэлт танилтад эвдэрсэн хэрэглэгчийн төхөөрөмжтэй холбоотой болзошгүй эрсдэлүүд юу вэ?
- UTF механизм нь хэрэглэгчийн нэвтрэлт танилтад хүний дунд халдлагаас урьдчилан сэргийлэхэд хэрхэн тусалдаг вэ?
- Хэрэглэгчийн баталгаажуулалт дахь сорилт-хариу протоколын зорилго юу вэ?
- Нийтийн түлхүүрийн криптограф нь хэрэглэгчийн баталгаажуулалтыг хэрхэн сайжруулдаг вэ?
- Нууц үгнээс өөр баталгаажуулалтын аргууд юу вэ, тэдгээр нь аюулгүй байдлыг хэрхэн сайжруулах вэ?
- Нууц үг хэрхэн эвдэгдэж болох вэ, нууц үгэнд суурилсан баталгаажуулалтыг бэхжүүлэхийн тулд ямар арга хэмжээ авч болох вэ?
- Хэрэглэгчийн баталгаажуулалтын аюулгүй байдал болон тав тухтай байдлын хооронд ямар ялгаа байдаг вэ?
- Хэрэглэгчийн баталгаажуулалтад ямар техникийн бэрхшээл тулгардаг вэ?
- Yubikey болон нийтийн түлхүүрийн криптограф ашиглан баталгаажуулах протокол нь мессежийн үнэн зөвийг хэрхэн баталгаажуулдаг вэ?
- Хэрэглэгчийн баталгаажуулалтад Universal 2rd Factor (U2F) төхөөрөмжүүдийг ашиглах нь ямар давуу талтай вэ?
Баталгаажуулалтаас бусад асуулт, хариултыг харна уу