SMS OTP не розроблено з урахуванням конфіденційності. Якщо зловмиснику вдасться отримати OTP, він потенційно може використати його для доступу до облікового запису навіть після того, як користувач змінить пароль.29 серпня 2023 р.
Небезпека полягає в самих каналах, які роблять SMS OTP таким доступним. Хакери можуть використовувати слабкі місця в інфраструктурі мобільної мережі, як-от сумнозвісні вразливості протоколу SS7, щоб перехоплювати повідомлення. Це схоже на те, що вашу пошту доставляє незнайомець, який може прочитати її, перш ніж вона потрапить до вас.
Основним недоліком використання одноразових паролів є те, що деяким користувачам це може бути незручно. Менш технічно підковані користувачі можуть, наприклад, вважати процес OTP заплутаним або непотрібним, і їм може знадобитися пояснення всіх його переваг. Користувач також може не мати доступу до OTP.
OTP є найпоширенішим методом MFA, оскільки він може бути широко поширений — кожен має телефон і забезпечує певний рівень безпеки, коли йдеться про перевірку особи. Однак у міру того, як онлайн-атаки шахрайства розвиваються як тактика, так і обсяг, OTP більше не є вашим надійним другом.
Вам слід використовувати програму автентифікації замість автентифікації через SMS, оскільки вона безпечніша та менш ймовірна, що її перехоплять кіберзлочинці. Програми автентифікатора генерують коди 2FA локально на пристрої, а не надсилають їх у незашифрованому вигляді через текстове повідомлення.
Без хорошого мобільного захисту хакери можуть легко перехопити та прочитати ваші повідомлення за допомогою спуфінгу або фішингу. Це тому, що SMS-повідомлення не шифруються й залежать лише від безпеки телефонних мереж і компаній– які, як відомо, легкодоступні.