Nguy cơ bị tấn công khi dùng tin nhắn SMS cho xác thực hai yếu tố

Mai Phương Lý21:33 14/06/2017

Nhiều nhà cung cấp xem tin nhắn SMS là lựa chọn phổ biến nhất khi nói đến việc xác thực hai yếu tố, tuy nhiên tin nhắn SMS có rất nhiều vấn đề về bảo mật mà bạn có thể phải đối diện.

Tin nhắn SMS đang được sử dụng nhiều cho xác thực hai yếu tố hiện nay

Theo HowToGeek, trước khi đưa ra giải thích cho lý do tại sao bạn nên tránh tin nhắn SMS cho xác thực hai yếu tố, bài viết cũng khẳng định tin nhắn SMS vẫn sẽ tốt hơn so với không thiết lập xác thực hai yếu tố.

Khi không sử dụng xác thực hai yếu tố, ai đó chỉ cần biết mật khẩu của bạn là có thể đăng nhập vào mật khẩu. Khi sử dụng, ai đó sẽ cần phải có cả mật khẩu và tiếp cận vào tin nhắn SMS nếu muốn truy cập tài khoản của bạn. Tuy nhiên, bạn cũng không nên quá chủ quan và cho rằng công nghệ này là an toàn tuyệt đối.

Hoán đổi thẻ SIM – cơ hội cho kẻ tấn công

Xác minh SMS hoạt động như sau: Khi bạn cố đăng nhập, dịch vụ sẽ gửi tin nhắn văn bản đến số điện thoại di động mà bạn đã cung cấp trước đó. Bạn sẽ nhận được mã này trên điện thoại và nhập mã đó để đăng nhập. Mã này chỉ có tác dụng một lần, có thể trong thời gian giới hạn.

Kẻ gian có thể đánh lừa nhà mạng rằng bạn đã đổi SIM để nhận mã xác thực

Video đang HOT

Nghe có vẻ an toàn? Tuy nhiên, ngày nay nhiều người có thể sở hữu nhiều điện thoại, vì vậy nếu muốn an toàn điều trước tiên bạn sẽ phải đảm bảo là luôn kiểm soát điện thoại. Bởi, nếu ai đó biết số điện thoại và có thể truy cập vào thông tin cá nhân.

Thông qua cách thức tấn công kiểu “hoán đổi thẻ SIM”, được hiểu như là khi bạn mua một thiết bị mới và di chuyển số điện thoại đến nó. Người đó khai là bạn, cung cấp thông tin cá nhân và hãng điện thoại sẽ thiết lập điện thoại của họ đang sử dụng số điện thoại của bạn, dẫn đến mã tin nhắn SMS gửi đến số điện thoại của bạn sẽ chuyển đến điện thoại của họ.

Tin nhắn SMS có thể bị chặn theo nhiều cách

Điều đầu tiên bạn cần biết rằng, cơ quan có chức năng hoàn toàn có thể nắm bắt tin nhắn SMS khi nó được gửi qua mạng điện thoại. Và các kẻ tấn công cũng từng khai thác các vấn đề liên quan đến SS7 – hệ thống kết nối dùng để chuyển vùng để chặn tin nhắn SMS trên mạng và đưa đến nơi khác.

Các trạm phát di động giả mạo có thể đánh chặn tin nhắn SMS đến điện thoại của bạn

Ngoài ra còn có nhiều cách khác để chặn tin nhắn, bao gồm cả việc tạo trạm phát di động giả mạo. Tin nhắn SMS không được thiết kế cho bảo mật, vì vậy mọi người không nên sử dụng nó.

Nói cách khác, kẻ tấn công với những kỹ năng tinh vi có thể chiếm quyền kiểm soát số điện thoại của bạn để truy cập vào tài khoản trực tuyến của bạn.

Giải pháp thay thế tin nhắn SMS

Thay vì phụ thuộc tin nhắn SMS, bạn nên sử dụng các tùy chọn xác thực hai yếu tố khác, trong đó có tùy chọn phổ biến nhất là thông qua các ứng dụng như Google Authenticator. Ứng dụng sẽ tạo mã trên thiết bị của bạn, ngay cả khi kẻ gian thực hiện hoán đổi thẻ SIM cũng không thể lấy mã bảo mật của bạn. Dữ liệu cần thiết để tạo ra các mã đó vẫn an toàn trên điện thoại của bạn.

Nhiều công ty đang áp dụng phương thức xác thực hai yếu tố theo cách hiện đại hơn

Nếu không muốn sử dụng mã, các dịch vụ như Twitter, Google và Microsoft đang thử nghiệm xác thực hai yếu tố dựa trên ứng dụng, cho phép bạn đăng nhập vào thiết bị khác bằng cách ủy quyền đăng nhập ứng dụng trên điện thoại của bạn.

Bên cạnh đó còn có giải pháp thẻ hai yếu tố xác thực vật lý như thẻ U2F của Google và Dropbox. Tất cả đều an toàn hơn so với việc dựa vào điện thoại di động và mạng di động vốn đã lạc hậu.

Trong trường hợp các nhà cung cấp buộc bạn sử dụng tin nhắn SMS cho xác thực hai yếu tố, cách tốt nhất để bảo vệ mình là bạn không nên đưa điện thoại cho những người không tin tưởng và phải luôn quan sát khi họ sử dụng điện thoại.

Kiến Văn

Ảnh chụp màn hình

Theo Thanhnien

Ngồi tù 6 tháng vì không đưa mật khẩu iPhone cho cảnh sát

Một người đàn ông ở Florida đã bị kết án 180 ngày tù vì đã từ chối cấp mật khẩu iPhone cho chính quyền. Một người đàn ông khác cũng đã từ chối làm việc này và bị đuổi việc.

Ảnh minh họa

Theo tờ Miami Herald, Christopher Wheeler, 41 tuổi, sống tại Hollywood, Florida, đã bị tạm giam hôm thứ ba sau khi một thẩm phán của Broward Circuit đưa ra phán quyết rằng ông đang khinh miệt tòa án. Tuy vậy, Wheeler khẳng định rằng ông đã đưa mã PIN của mình cho cảnh sát, nhưng mật mã ông cung cấp không đúng.

Cùng ngày Wheeler bị bắt giam, ở một quận khác, một người đàn ông cũng từ chối cung cấp cho chính quyền mật khẩu iPhone của mình và đã bị đuổi việc.

Hai trường hợp trên nhấn mạnh cuộc chiến pháp lý về bảo mật và mã hoá công nghệ, vấn đề đang ngày càng phức tạp với việc thực thi pháp luật. Thông thường, người dân Hoa Kỳ được bảo vệ bởi Luật sửa đổi lần thứ năm về việc có quyền giữ im lặng và không cung cấp bằng chứng tự chống lại mình.

Thẩm phán Miami-Dade chủ tọa vụ kiện này đã so sánh việc không cung cấp mật khẩu điện thoại với việc bỏ chìa khóa vào két sắt. Tòa án tối cao Hoa Kỳ đã phán quyết nó không là vi phạm quyền giữ im lặng. Nếu bản chất vụ án không quá phức tạp, một số tòa án cho phép cảnh sát có quyền buộc bạn phải mở khóa điện thoại của bạn bằng dấu vân tay.

Một số chuyên gia lại cho rằng nên đưa điện thoại thông minh trở thành một trường hợp khác ngoài luật giữ im lặng. Rất nhiều vụ án ngày nay có bằng chứng quan trọng nằm trong điện thoại thông minh.

Xuân Tiến

Theo Zing

Microsoft Edge dính lỗ hổng làm lộ dữ liệu cookie và mật khẩu Nhà nghiên cứu bảo mật Manuel Caballero đã phát hiện ra một lỗ hổng trình duyệt Edge của Windows 10, cho phép hacker đánh cắp mật khẩu và dữ liệu cookie từ máy tính nạn nhân. Lỗ hổng bảo mật trên Edge khiến mật khẩu của người dùng dễ dàng bị lộ ra bên ngoài. ẢNH: AFP Theo Neowin, với dữ liệu được...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Đoạn clip 12 giây của 1 cặp đôi Vbiz khiến cõi mạng rần rần, nhà trai nói đúng 1 câu mà netizen tin chắc yêu nhau thật00:14

Bật dậy lúc 12h đêm trong bệnh viện, cảnh tượng người nhà gây ra khiến bệnh nhân ngượng chín mặt00:22

Tổng thống Zelensky chơi 'tất tay' với Nga ?09:59

4,5 triệu lượt xem bé gái 10 tuổi ở Thái Nguyên 'nhập vai' MC đám cưới01:00

Nửa triệu người "tức" đỏ mặt khi xem màn công khai yêu đương của Hoa hậu Vbiz và trai trẻ, hóa ra vì chi tiết này!00:33

Đang ngồi cáp treo với mẹ, bé gái bất ngờ rơi xuống đất00:48

Clip sốc: Nam ca sĩ hạng A giật 1 cô gái khỏi taxi, khiến đối phương ngã sấp mặt xuống đường01:08

Mê mẩn bài hát chủ đề WeChoice 2024: Ca từ quá đẹp, fan nức nở lập luôn thành tích khủng03:15

5 triệu người xem Quang Hải nhảy múa khi vừa bước xuống từ xế hộp bạc tỷ, ôm con nhún nhảy dưới gốc bưởi00:57

Cặp đôi Vbiz phim giả tình thật đã chịu công khai, đàng trai còn hôn đàng gái trước hàng loạt camera!00:38

Người đàn ông trùm kín mít, bấm đèn đỏ khiến xe dừng không kịp ở TPHCM00:54

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn