Názory k článku Hackeři zkoušejí posílat falešné SMS k překonání dvoufaktorového ověření

2FA přes sms je slepá cesta a postupně se bude bezpečnost takového řešení snižovat. Na androidu do sms má přístup velké množství aplikací, sms je po cestě nedostatečně zabezpečená atd.

Osobně vidím východisko v OTP a nejlépe se mi používá TOTP. Dá se to relativně snadno zabudovat do HW tokenu. Nutnost použít fyzické zařízení autorizaci je zatím nejlepší způsob jak věrohodně něco prokázat.

Bohužel člověk musí mít pro každou službu další token, uvítal bych kdyby bylo samozřejmé přihlašování přes oauth či jiné protokoly, abych nemusel zadávat a pamatovat heslo v každém malém eshopu.

Ano, notifikace o změně hesla či o přihlášení z nového zařízení je naprosto geniální, jen bych uvítal, kdybych rovnou z té notifikace mohl dané heslo změnit zpět nebo dané sezení ukončit.

Pokud útočník zfalšuje odesílatele, nedostane odpověď.

to uz zalezi na uzivateli, jestli aplikacim pristup do sms povoli, jen nesvepravny by jim to umoznil

To není o falšování čísla ze kterého bylo odesláno, ale o jménu, které k tomu číslo telefon napíše...

Uzivatel nema na vyber, nevsiml jsem si, ze by kuprikladu android umoznoval uzivateli pridelovat prava aplikacim - tedy pomijim tu tisicinu promile rootnutych.

HW token je trochu overkill, stačí aplikace, která si klíče podrží v nějakém zašifrovaném úložišti – což je případ třeba Google Authenticatoru.