…aby zalogować się do swojego konta, muszą wykonać dodatkowe „coś” aby udowodnić że: „ja to ja”, a nie jakiś „hakier”. Najczęściej jest to dodatkowy SMS z kodem do przepisania.
To dobrze, prawda ?
Nie.
W dzisiejszych czasach ludzie korzystający z „BI”, robią to najczęściej korzystając tylko z jednego urządzenia, tj. logują się na konto, i otrzymują SMS z kodami na jednym i tym samym urządzeniu.
Co w tym złego ?
„Stare, dobre” ZitMo i pierdyliardy „nowych lepszych” zagrożeń tego typu, that’s what.
(belfer mode on)
Otóż hasło na komputerze + przepisywanie kodów z telefonu, to tzw. uwierzytelniane wielopoziomowe, wymyślone w „daaawnych” czasach, gdy komputer = PC, ewentualnie laptop\notebook, a telefon = telefon na którym można było pograć w co najwyżej w Snake-a. Tak więc nawet jeśli komputer był zawirusowany bardziej niż streetwalker w RPA, to dwuskładnikowe połączenie komputer+telefon jako fizycznie odrębne urządzenia), było bezpieczne.
Jeszcze bezpieczniejsze* były papierowe kody – kody dostawało się od banku pod postacią fizycznego odrębnego przedmiotu – świstka papieru, plastiku którego nie da się zawirusować, ani przechwycić elektronicznie.
Smartphone-y usuwają tą wieloskładnikowość – i komputer logujący się do konta i telefon na którego przychodzą SMS-y z kodami potwierdzającymi, są jednym fizycznym urządzeniem i dlatego wspomniany ZitMo może zrobić to co robi, a to „podniesienie poziomu bezpieczeństwa” które ten dodatkowy krok miał wprowadzić, jest o kant dupy rozbić.
Cóż, jak zwykle władza naście lat za rzeczywistością, ale jakoś trzeba było „osłodzić” PSD 2…