Yhdysvalloissa järjestetyssä RSA-konferenssissa paljastettiin lukuisia erilaisia tietoturva-aukkoja. Kaksivaiheisesta tunnistautumisesta esityksen pitäneet Aaron Turner ja Georgia Weidman lukivat todelliset madonluvut suurelle osalle älypuhelimista.

Tutkijoiden mukaan erilaiset kaksivaiheista tunnistautumista tarjoavat sovellukset ovat käteviä, mutta vain yhtä turvallisia kuin puhelimet missä niitä käytetään. Esimerkiksi Apple-maailmassa ei enää tulisi luottaa lainkaan iPhoneihin, joihin ei saa iOS-versiota 13, Tomsguide kertoo.

Android-maailmassa ohjeet ovat hieman eksoottisemmat. Turner neuvoo käyttämään vain Googlen omia Pixel-puhelimia tai Android One -laitteita. Turnerilla omien sanojensa mukaan hyviä kokemuksia niin HMD:n kuin Motorolankin Android One -puhelimista.

Pahantahtoinen hyökkääjä saa päivittämättömällä käyttöjärjestelmällä varustetun puhelimen tekemään lähes mitä tahansa, vaikkapa näyttämään ruudullaan väärennetyn autentikointi-ikkunan. Turnerin kertomuksen mukaan erään hänen asiakkaansa iPhone 4 murrettiin, sen jälkeen käyttäjän eri tileille päästiin tunkeutumaan helposti Microsoft Authenticator -sovelluksesta huolimatta.

Vaikka Applen maine tietoturva-asioissa on edelleen kovalla tasolla, ei totuus tietoturvatutkijoiden mukaan vastaa sitä. Weidmanin mukaan Android-puolen penetraatiotestauksesta veloitetaan jopa kolminkertaisesti iOS-tunkeutumiseen verrattuna. Hän kuvaileekin Androidin SELinuxia piikiksi tunkeutujan lihassa - kunhan järjestelmän päivitykset on hoidettu kuntoon.

Turvallisinta mahdollista tunnistautumista tarjoavat Weidmanin ja Turnerin mukaan tällä hetkellä erilliset laitteet kuten Yubikey ja Google Titan. Sormenjäljet ja muut biometriset tunnisteet puolestaan jakavat ammattilaisten kannan. Weidman pitää niitä kelpo lisukkeina salasanan oheen, Turner puolestaan ei lämpene ajatukselle muuttamattomalle tunnisteelle, jonka voi halutessaan irrottaa ihmisestä vaikkapa peltisaksilla.