Názor ke zprávičce Apple chce standardizovat SMS bezpečnostní kódy od Filip Jirsák - To jste ale nepochopil, jak to má fungovat....

To jste ale nepochopil, jak to má fungovat. Už dnes se mobilní aplikace snaží doplňovat jednorázové kódy. Např. aplikace (myslím) České pošty si kód převezme rovnou ze SMS, pokud ho najde, protože v SMS nejsou žádné další údaje, jde jen o ověření toho mobilního čísla. Prohlížeče se také snaží pro příslušné políčko (pokud ho rozpoznají) v našeptávači klávesnice nabídnou kód ze SMS – zrovna Safari na iOS se takhle chová. Jenže to je závislé na tom, že se podaří uhodnout, k čemu ta SMS patří a jak s ní zacházet. Návrh spočívá v tom, že půjde přímo ze SMS spolehlivě určit, komu patří, že používá daný standard a půjde z ní přečíst ten kód. Neříká nic o tom, že by se ten kód někam doplňoval automaticky.

Zrovna u toho vašeho příkladu s bankou třeba automatické doplňování nedává žádný smysl. Transakci zadáváte na PC nebo jiném mobilu, a na tenhle mobil vám přijde SMS s údaji pro potvrzení – a kód musíte zadat do toho PC nebo mobilu, kde jste transakci zahájil. Na tom mobilu, kam SMS přišla, ten kód nikam nezadáváte, jenom ho z něj opisujete.

Pokud SMS používáte jako „druhý faktor“ tak, že na jednom mobilu zadáte příkaz k úhradě, na ten samý mobil vám přijde potvrzovací SMS a vy z ní opíšete kód, je obrovská díra už v tom, že ve skutečnosti nepoužíváte žádný druhý faktor. Jestli si pak ověřujete nebo neověřujete ty údaje v SMS, to už je celkem jedno.

SMS nejsou moc bezpečné, ale ne vždy se používají jako 2FA. Někdy se SMS používá prostě pro ověření vlastnictví mobilního čísla, někdy pro spárování mobilního čísla s aktuální session na webu atd.