Nguy cơ bị tấn công khi dùng tin nhắn SMS cho xác thực hai yếu tố
Nhiều nhà cung cấp xem tin nhắn SMS là lựa chọn phổ biến nhất khi nói đến việc xác thực hai yếu tố, tuy nhiên tin nhắn SMS có rất nhiều vấn đề về bảo mật mà bạn có thể phải đối diện.
Tin nhắn SMS đang được sử dụng nhiều cho xác thực hai yếu tố hiện nay
Theo HowToGeek, trước khi đưa ra giải thích cho lý do tại sao bạn nên tránh tin nhắn SMS cho xác thực hai yếu tố, bài viết cũng khẳng định tin nhắn SMS vẫn sẽ tốt hơn so với không thiết lập xác thực hai yếu tố.
Khi không sử dụng xác thực hai yếu tố, ai đó chỉ cần biết mật khẩu của bạn là có thể đăng nhập vào mật khẩu. Khi sử dụng, ai đó sẽ cần phải có cả mật khẩu và tiếp cận vào tin nhắn SMS nếu muốn truy cập tài khoản của bạn. Tuy nhiên, bạn cũng không nên quá chủ quan và cho rằng công nghệ này là an toàn tuyệt đối.
Hoán đổi thẻ SIM – cơ hội cho kẻ tấn công
Xác minh SMS hoạt động như sau: Khi bạn cố đăng nhập, dịch vụ sẽ gửi tin nhắn văn bản đến số điện thoại di động mà bạn đã cung cấp trước đó. Bạn sẽ nhận được mã này trên điện thoại và nhập mã đó để đăng nhập. Mã này chỉ có tác dụng một lần, có thể trong thời gian giới hạn.
Kẻ gian có thể đánh lừa nhà mạng rằng bạn đã đổi SIM để nhận mã xác thực
Video đang HOT
Nghe có vẻ an toàn? Tuy nhiên, ngày nay nhiều người có thể sở hữu nhiều điện thoại, vì vậy nếu muốn an toàn điều trước tiên bạn sẽ phải đảm bảo là luôn kiểm soát điện thoại. Bởi, nếu ai đó biết số điện thoại và có thể truy cập vào thông tin cá nhân.
Thông qua cách thức tấn công kiểu “hoán đổi thẻ SIM”, được hiểu như là khi bạn mua một thiết bị mới và di chuyển số điện thoại đến nó. Người đó khai là bạn, cung cấp thông tin cá nhân và hãng điện thoại sẽ thiết lập điện thoại của họ đang sử dụng số điện thoại của bạn, dẫn đến mã tin nhắn SMS gửi đến số điện thoại của bạn sẽ chuyển đến điện thoại của họ.
Tin nhắn SMS có thể bị chặn theo nhiều cách
Điều đầu tiên bạn cần biết rằng, cơ quan có chức năng hoàn toàn có thể nắm bắt tin nhắn SMS khi nó được gửi qua mạng điện thoại. Và các kẻ tấn công cũng từng khai thác các vấn đề liên quan đến SS7 – hệ thống kết nối dùng để chuyển vùng để chặn tin nhắn SMS trên mạng và đưa đến nơi khác.
Các trạm phát di động giả mạo có thể đánh chặn tin nhắn SMS đến điện thoại của bạn
Ngoài ra còn có nhiều cách khác để chặn tin nhắn, bao gồm cả việc tạo trạm phát di động giả mạo. Tin nhắn SMS không được thiết kế cho bảo mật, vì vậy mọi người không nên sử dụng nó.
Nói cách khác, kẻ tấn công với những kỹ năng tinh vi có thể chiếm quyền kiểm soát số điện thoại của bạn để truy cập vào tài khoản trực tuyến của bạn.
Giải pháp thay thế tin nhắn SMS
Thay vì phụ thuộc tin nhắn SMS, bạn nên sử dụng các tùy chọn xác thực hai yếu tố khác, trong đó có tùy chọn phổ biến nhất là thông qua các ứng dụng như Google Authenticator. Ứng dụng sẽ tạo mã trên thiết bị của bạn, ngay cả khi kẻ gian thực hiện hoán đổi thẻ SIM cũng không thể lấy mã bảo mật của bạn. Dữ liệu cần thiết để tạo ra các mã đó vẫn an toàn trên điện thoại của bạn.
Nhiều công ty đang áp dụng phương thức xác thực hai yếu tố theo cách hiện đại hơn
Nếu không muốn sử dụng mã, các dịch vụ như Twitter, Google và Microsoft đang thử nghiệm xác thực hai yếu tố dựa trên ứng dụng, cho phép bạn đăng nhập vào thiết bị khác bằng cách ủy quyền đăng nhập ứng dụng trên điện thoại của bạn.
Bên cạnh đó còn có giải pháp thẻ hai yếu tố xác thực vật lý như thẻ U2F của Google và Dropbox. Tất cả đều an toàn hơn so với việc dựa vào điện thoại di động và mạng di động vốn đã lạc hậu.
Trong trường hợp các nhà cung cấp buộc bạn sử dụng tin nhắn SMS cho xác thực hai yếu tố, cách tốt nhất để bảo vệ mình là bạn không nên đưa điện thoại cho những người không tin tưởng và phải luôn quan sát khi họ sử dụng điện thoại.
Kiến Văn
Ảnh chụp màn hình
Theo Thanhnien
Ngồi tù 6 tháng vì không đưa mật khẩu iPhone cho cảnh sát
Một người đàn ông ở Florida đã bị kết án 180 ngày tù vì đã từ chối cấp mật khẩu iPhone cho chính quyền. Một người đàn ông khác cũng đã từ chối làm việc này và bị đuổi việc.
Ảnh minh họa
Theo tờ Miami Herald, Christopher Wheeler, 41 tuổi, sống tại Hollywood, Florida, đã bị tạm giam hôm thứ ba sau khi một thẩm phán của Broward Circuit đưa ra phán quyết rằng ông đang khinh miệt tòa án. Tuy vậy, Wheeler khẳng định rằng ông đã đưa mã PIN của mình cho cảnh sát, nhưng mật mã ông cung cấp không đúng.
Cùng ngày Wheeler bị bắt giam, ở một quận khác, một người đàn ông cũng từ chối cung cấp cho chính quyền mật khẩu iPhone của mình và đã bị đuổi việc.
Hai trường hợp trên nhấn mạnh cuộc chiến pháp lý về bảo mật và mã hoá công nghệ, vấn đề đang ngày càng phức tạp với việc thực thi pháp luật. Thông thường, người dân Hoa Kỳ được bảo vệ bởi Luật sửa đổi lần thứ năm về việc có quyền giữ im lặng và không cung cấp bằng chứng tự chống lại mình.
Thẩm phán Miami-Dade chủ tọa vụ kiện này đã so sánh việc không cung cấp mật khẩu điện thoại với việc bỏ chìa khóa vào két sắt. Tòa án tối cao Hoa Kỳ đã phán quyết nó không là vi phạm quyền giữ im lặng. Nếu bản chất vụ án không quá phức tạp, một số tòa án cho phép cảnh sát có quyền buộc bạn phải mở khóa điện thoại của bạn bằng dấu vân tay.
Một số chuyên gia lại cho rằng nên đưa điện thoại thông minh trở thành một trường hợp khác ngoài luật giữ im lặng. Rất nhiều vụ án ngày nay có bằng chứng quan trọng nằm trong điện thoại thông minh.
Xuân Tiến
Theo Zing
Microsoft Edge dính lỗ hổng làm lộ dữ liệu cookie và mật khẩu Nhà nghiên cứu bảo mật Manuel Caballero đã phát hiện ra một lỗ hổng trình duyệt Edge của Windows 10, cho phép hacker đánh cắp mật khẩu và dữ liệu cookie từ máy tính nạn nhân. Lỗ hổng bảo mật trên Edge khiến mật khẩu của người dùng dễ dàng bị lộ ra bên ngoài. ẢNH: AFP Theo Neowin, với dữ liệu được...