Naciśnij ESC, aby zamknąć

SMS to przeżytek. Komunikatory szpiegują. TOTP to minimum w 2025.

SMS to przeżytek. Komunikatory szpiegują. TOTP to minimum w 2025.

W ostatnich latach „drugi czynnik” stał się pojęciem marketingowym. Formalnie istnieje, ale w praktyce często nie daje realnej ochrony.
Jeżeli Twoje konto nadal jest zabezpieczone kodami SMS lub kodami z komunikatora, należy przyjąć, że w rzeczywistości nie posiadasz drugiego czynnika.

Wyjaśnijmy, z czego to wynika.

 

Dlaczego SMS nie jest już uznawany za ochronę

SMS nie jest mechanizmem bezpieczeństwa. Jest pozostałością po epoce telekomunikacyjnej. Nigdy nie był projektowany jako bezpieczny kanał.

Kluczowe problemy:

1. SIM swapping nie jest rzadkością
Wydanie duplikatu karty SIM poprzez socjotechnikę to rutynowa operacja. Wystarczy dokument tożsamości, „błąd operatora” albo dostęp wewnętrzny.
Efekt: numer trafia do atakującego, a razem z nim kody.

2. SS7 i infrastruktura telekomunikacyjna
Sieci sygnalizacyjne były projektowane dekady temu. Przechwycenie wiadomości SMS jest możliwe bez fizycznego dostępu do telefonu.

3. Operator jako pojedynczy punkt awarii
Problemy z roamingiem, blokady lub awarie techniczne sprawiają, że nie możesz zalogować się do swoich kont.

4. Brak szyfrowania
Wiadomości SMS są przechowywane i przesyłane w postaci jawnej. Gdzie, jak długo i przez kogo są przetwarzane — nie masz nad tym kontroli.

Wniosek: SMS jest czynnikiem wygody, a nie czynnikiem bezpieczeństwa.

 

Komunikatory zamiast SMS — jeszcze gorzej

Próba „ulepszenia” SMS poprzez użycie komunikatorów to klasyczny przykład pozornego usprawnienia.

Aby otrzymać sześciocyfrowy kod, wymagane jest:

  • zainstalowanie ciężkiej aplikacji,
  • powiązanie numeru telefonu,
  • przekazanie metadanych,
  • zależność od połączenia internetowego,
  • zaufanie do zamkniętego kodu źródłowego.

To zwiększa powierzchnię ataku, zamiast ją ograniczać.

Z punktu widzenia bezpieczeństwa jest to bezsensowne.
Z punktu widzenia prywatności jest to wręcz szkodliwe.

 

Co zasadniczo zmienia TOTP

TOTP nie jest produktem ani marką. Jest to otwarty standard (RFC 6238).

Kluczowa idea:
👉 kod nie jest przesyłany z zewnątrz — jest obliczany lokalnie.

Co to oznacza w praktyce:

  • Brak kanału transmisji → nie ma czego przechwytywać
  • Działanie offline → niezależność od operatorów i usług
  • Brak numeru telefonu → słabsze powiązanie z tożsamością
  • Przewidywalny model zagrożeń → kryptografia, a nie „chmura”

Serwer i Twoje urządzenie wykonują te same obliczenia, znając:

  • wspólny sekret;
  • aktualny czas.

Nie komunikują się ze sobą. Na tym polega siła tego rozwiązania.

 

Ważne rzeczy, o których prawie nikt nie mówi

1. Chroni nie kod, lecz sekret

Sześć cyfr to jedynie reprezentacja.
Jeżeli wycieknie klucz tajny, TOTP przestaje mieć znaczenie.

Dlatego:

  • kod QR oznacza klucz,
  • zrzut ekranu oznacza potencjalną kompromitację,
  • przechowywanie w chmurze oznacza ryzyko.

Jeżeli sekret wycieknie, należy natychmiast zresetować uwierzytelnianie dwuskładnikowe.

 

2. TOTP nie chroni przed phishingiem z użyciem proxy

Jest to fundamentalne ograniczenie tej klasy mechanizmów.

Jeżeli:

  • wpiszesz kod na fałszywej stronie,
  • atakujący natychmiast użyje go na prawdziwej,

TOTP nie będzie w stanie temu zapobiec.

Dlatego:

  • logowanie wyłącznie przez zakładki lub menedżer haseł,
  • rygorystyczna weryfikacja domeny,
  • żadne „pilne wiadomości” nie są powodem do wpisywania kodu.

 

3. Kopie zapasowe nie są opcją, lecz obowiązkiem

Utrata telefonu bez kodów zapasowych oznacza utratę konta.

Zasada jest prosta:

  • kody zapasowe należy zapisać,
  • przechowywać je offline lub w menedżerze haseł,
  • nie odkładać tego na później.

 

Czego używać w 2025 roku

Minimalny rozsądny wybór

  • Aegis (Android): oprogramowanie open source, lokalne szyfrowane kopie zapasowe
  • Wbudowane TOTP w systemie iOS lub w menedżerach haseł — rozwiązanie akceptowalne

Zachować ostrożność

  • Google Authenticator z synchronizacją w chmurze
    (kompromitacja konta oznacza utratę wszystkich czynników)

Lepsze niż TOTP

  • WebAuthn, Passkeys, FIDO2
    Odporność na phishing jest wbudowana w projekt.
    TOTP to podstawa. Passkeys to kolejny krok.

 

Podsumowanie

  • SMS jako czynnik bezpieczeństwa jest martwy
  • Komunikatory to marketing podszywający się pod ochronę
  • TOTP to minimalny akceptowalny poziom, a nie „zaawansowana opcja”
  • Główne ryzyka wynikają z dyscypliny użytkownika, a nie z algorytmu
  • Przyszłość należy do uwierzytelniania odpornego na phishing

Jeżeli usługa w 2025 roku nie oferuje TOTP ani WebAuthn, jest to sygnał ostrzegawczy, a nie „cecha produktu”.

 

Post scriptum.
Jeżeli tłumaczysz to rodzinie lub osobom nietechnicznym, dopilnuj, aby:

  • zapisali sekret lub kody zapasowe,
  • usunęli telefon z roli jedynego punktu awarii.

W przeciwnym razie skończy się to kontaktami z pomocą techniczną, wizytami w urzędach i utratą dostępu.

Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy. With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world experi...

...

Leave a comment

Your email address will not be published. Required fields are marked *

Akademia Giełd Kryptowalut Akademia Giełd Kryptowalut

Prawdziwa wolność zaczyna się od bezpieczeństwa osobistego i anonimowości. Kryptowaluta: twoja broń przeciwko kontroli finansowej.

Tag Clouds

#trading #anonimowość #security #anonymous #privacy
Your experience on this site will be improved by allowing cookies.