کارشناسان امنیتی دائما کاربران را از استفاده از سامانه های مبتنی بر پیام کوتاه 2FA دلسرد می کنند ، معمولاً به دلیل نگرانی ، کد auth می تواند توسط مهاجمی از طریق سیم کارت یا حمله MitM رهگیری شود.

مشکلی که من با این مسئله می بینم اظهارات این است که هر دو حمله به من احساس می کنند که در واقع فقط برای حملات هدفمند به یک کاربر خاص با هدف نقض یک سرویس هدفمند واقعاً امکان پذیر هستند. حملات مانند مواردی که سال گذشته Reddit را نقض کرد ، جایی که یک مدیر Reddit نشانه پیام 2FA خود را ضبط کرد.

شما نمی توانید حملات مبادله سیم را به صورت خودکار یا حتی در مقیاس انجام دهید (مگر اینکه مسئله ای جدی با تلفن وجود داشته باشد. تامین کننده). به طور متوسط ​​جرم در فضای مجازی منابع لازم برای رهگیری پیام های SMS برای MitM برای افرادی که در یک شهر ، کشور یا قاره پراکنده هستند ، ندارد. نحوه تفسیر این ، تنها افرادی که باید بطور فعال از سیستم های 2FA مبتنی بر پیام کوتاه بپرهیزند ، افرادی هستند که احتمالاً برای حملات خاص مورد هدف قرار می گیرند ، اما این تعداد بین آنها بسیار کم است.

یک جو معمولی را در نظر بگیرید ، که در حدود 100 است. حساب ، اما از یک مدیر رمز عبور استفاده نمی کند (بنابراین وی از استفاده مجدد از رمز عبور استفاده می کند) وی دسترسی خاصی به هیچ خدمات اصلی ندارد. او هیچ موقعیت مشهور یا نام کاربری خاصی در هر مکان ندارد. او یک کارمند عادی و غیر مدیریتی در دفتر خود است و هیچ دسترسی خاصی به بانک اطلاعات شرکت یا کالای خود ندارد. به عبارت دیگر ، بعید است که وی هرگز هدف حمله ای باشد که به طور خاص او را هدف قرار داده باشد.

در این زمینه ، آیا جو باید نگران این باشد که 2FA مبتنی بر پیامکی که وی برای فیس بوک ، توییتر ، گوگل ، Dropbox ، Slack و … استفاده می کند. آشیانه آسیب پذیری های نظری دارد؟