Monivaiheinen tunnistautuminen on tapa, joka on syytä ottaa käyttöön kaikissa palveluissa, jotka vaativat sisäänkirjautumistietoja. Nämä palvelut voivat vaatia salasanan lisäksi esimerkiksi biometrisen tunnisteen (sormenjälki, kasvojentunnistus tai muu vastaava) palveluun pääsemiseksi.

Microsoftin turvallisuuspomo Alex Weinert on lyönyt lyttyyn viestiin tai puheluun perustuvan kirjautumisen. Hänen mukaansa nämä vaihtoehdot ovat kaikista kaksivaiheisista kirjautumistyypeistä kaikkein epävarmimpia, The Register kirjoittaa.

Näiden tunnistautumisten heikkoutena on erityisesti ”sim-swapping”-huijaus. Kyseinen huiputus perustuu siihen, että numeron haltiana esiintyvä roisto pyrkii siirtämään puhelintietonsa uudelle kortille.

Sim-korttia käyttämällä rikolliset voisivat saada pääsyn murretulle tilille. Temppua on jopa testattu Princetonin yliopistossa, jossa tutkijaryhmä havaitsi suurten operaattoreiden joukossa haavoittuvuuksia sim-kortti huijaukselle. Tutkimuksessa oli mukana AT&T, T-Mobile, Tracfone, US Mobile sekä Verizon Wireless.

Myös Check Pointin tutkijaryhmä on havainnut haittaohjelmia, jotka pyrkivät varastamaan kaksivaiheisia kirjautumistietoja Android-puhelimiin saapuvista kertakäyttöisistä avauskoodeista.

Uutinen on myös suomalaisille yrityksille sekä organisaatioille merkittävä, sillä puhelimiin perustuva monivaiheinen tunnistautuminen on hyvin yleinen tunnistautumisen muoto.