Non è un'autenticazione 2FA ma 2 fasi. Come collegati da StackzOfZtuff sono in realtà semplici messaggi SMS.
Il motivo per cui è un fattore due e non due è perché il fattore due implica che è necessario il vero possesso dell'oggetto in cui viene generato il token e ci deve essere la certezza che il token non può essere intercettato da un'altra parte. Questo è dove SMS è difettoso. SMS ha alcune vulnerabilità note che tecnicamente renderebbero possibile l'intercettazione:
- Rete GSM compromessa
- Attacchi di stazioni base false su versioni precedenti del protocollo GSM
- Clonazione della scheda SIM
Detto questo, i messaggi vengono effettivamente inviati tramite gateway SMS. Quindi è in realtà un modo sconsiderato di autenticazione? Probabilmente no. Tuttavia, ciascuna banca effettua una valutazione del rischio su quale sia la probabilità che gli aggressori eseguano gli attacchi di cui sopra allo scopo di rubare i conti bancari e probabilmente si rendono conto che la probabilità sarebbe bassa. Richiederebbe un grande sforzo in caso di clonazione di SIM o falsi attacchi della stazione base rispetto al ritorno sull'investimento. Se qualcuno riesce a compromettere un gestore di telefonia cellulare completo, probabilmente ci saranno attacchi più preziosi da eseguire rispetto ai singoli clienti bancari.
Inoltre, la maggior parte delle banche richiede spesso meccanismi di conferma aggiuntivi per eseguire transazioni effettive (ma ciò dipende ovviamente dalla banca). Ad esempio, la mia banca non mi consente di inviare transazioni a conti a cui non ho mai inviato denaro in precedenza. Altrimenti devo firmare la transazione con un lettore di schede.