‘Bí kíp đặt mật khẩu an toàn’ đã lỗi thời

Nguy cơ bị tấn công khi dùng tin nhắn SMS cho xác thực hai yếu tố

Nhiều nhà cung cấp xem tin nhắn SMS là lựa chọn phổ biến nhất khi nói đến việc xác thực hai yếu tố, tuy nhiên tin nhắn SMS có rất nhiều vấn đề về bảo mật mà bạn có thể phải đối diện.

Tin nhắn SMS đang được sử dụng nhiều cho xác thực hai yếu tố hiện nay

Theo HowToGeek, trước khi đưa ra giải thích cho lý do tại sao bạn nên tránh tin nhắn SMS cho xác thực hai yếu tố, bài viết cũng khẳng định tin nhắn SMS vẫn sẽ tốt hơn so với không thiết lập xác thực hai yếu tố.

Khi không sử dụng xác thực hai yếu tố, ai đó chỉ cần biết mật khẩu của bạn là có thể đăng nhập vào mật khẩu. Khi sử dụng, ai đó sẽ cần phải có cả mật khẩu và tiếp cận vào tin nhắn SMS nếu muốn truy cập tài khoản của bạn. Tuy nhiên, bạn cũng không nên quá chủ quan và cho rằng công nghệ này là an toàn tuyệt đối.

Hoán đổi thẻ SIM - cơ hội cho kẻ tấn công

Xác minh SMS hoạt động như sau: Khi bạn cố đăng nhập, dịch vụ sẽ gửi tin nhắn văn bản đến số điện thoại di động mà bạn đã cung cấp trước đó. Bạn sẽ nhận được mã này trên điện thoại và nhập mã đó để đăng nhập. Mã này chỉ có tác dụng một lần, có thể trong thời gian giới hạn.

Kẻ gian có thể đánh lừa nhà mạng rằng bạn đã đổi SIM để nhận mã xác thực

Nghe có vẻ an toàn? Tuy nhiên, ngày nay nhiều người có thể sở hữu nhiều điện thoại, vì vậy nếu muốn an toàn điều trước tiên bạn sẽ phải đảm bảo là luôn kiểm soát điện thoại. Bởi, nếu ai đó biết số điện thoại và có thể truy cập vào thông tin cá nhân.

Thông qua cách thức tấn công kiểu "hoán đổi thẻ SIM", được hiểu như là khi bạn mua một thiết bị mới và di chuyển số điện thoại đến nó. Người đó khai là bạn, cung cấp thông tin cá nhân và hãng điện thoại sẽ thiết lập điện thoại của họ đang sử dụng số điện thoại của bạn, dẫn đến mã tin nhắn SMS gửi đến số điện thoại của bạn sẽ chuyển đến điện thoại của họ.

Tin nhắn SMS có thể bị chặn theo nhiều cách

Điều đầu tiên bạn cần biết rằng, cơ quan có chức năng hoàn toàn có thể nắm bắt tin nhắn SMS khi nó được gửi qua mạng điện thoại. Và các kẻ tấn công cũng từng khai thác các vấn đề liên quan đến SS7 - hệ thống kết nối dùng để chuyển vùng để chặn tin nhắn SMS trên mạng và đưa đến nơi khác.

Các trạm phát di động giả mạo có thể đánh chặn tin nhắn SMS đến điện thoại của bạn

Ngoài ra còn có nhiều cách khác để chặn tin nhắn, bao gồm cả việc tạo trạm phát di động giả mạo. Tin nhắn SMS không được thiết kế cho bảo mật, vì vậy mọi người không nên sử dụng nó.

Nói cách khác, kẻ tấn công với những kỹ năng tinh vi có thể chiếm quyền kiểm soát số điện thoại của bạn để truy cập vào tài khoản trực tuyến của bạn.

Giải pháp thay thế tin nhắn SMS

Thay vì phụ thuộc tin nhắn SMS, bạn nên sử dụng các tùy chọn xác thực hai yếu tố khác, trong đó có tùy chọn phổ biến nhất là thông qua các ứng dụng như Google Authenticator. Ứng dụng sẽ tạo mã trên thiết bị của bạn, ngay cả khi kẻ gian thực hiện hoán đổi thẻ SIM cũng không thể lấy mã bảo mật của bạn. Dữ liệu cần thiết để tạo ra các mã đó vẫn an toàn trên điện thoại của bạn.

Nhiều công ty đang áp dụng phương thức xác thực hai yếu tố theo cách hiện đại hơn

Nếu không muốn sử dụng mã, các dịch vụ như Twitter, Google và Microsoft đang thử nghiệm xác thực hai yếu tố dựa trên ứng dụng, cho phép bạn đăng nhập vào thiết bị khác bằng cách ủy quyền đăng nhập ứng dụng trên điện thoại của bạn.

Bên cạnh đó còn có giải pháp thẻ hai yếu tố xác thực vật lý như thẻ U2F của Google và Dropbox. Tất cả đều an toàn hơn so với việc dựa vào điện thoại di động và mạng di động vốn đã lạc hậu.

Trong trường hợp các nhà cung cấp buộc bạn sử dụng tin nhắn SMS cho xác thực hai yếu tố, cách tốt nhất để bảo vệ mình là bạn không nên đưa điện thoại cho những người không tin tưởng và phải luôn quan sát khi họ sử dụng điện thoại.

Kiến Văn

Ảnh chụp màn hình

Theo Thanhnien