Với kiểu xác thực hai yếu tố thông qua SMS, một mã code sẽ được gửi tới điện thoại người nhận và bạn sẽ dùng nó để tiếp tục đăng nhập. Nhưng thực tế, tin nhắn SMS có nhiều vấn đề bảo mật và là lựa chọn kém an toàn khi cần xác thực hai yếu tố.
Khi không dùng phương thức xác thực hai yếu tố này, kẻ tấn công chỉ cần mật khẩu để đăng nhập tài khoản của bạn. Khi xác thực bằng SMS, ai đó sẽ cần cả mật khẩu và mã code gửi trong tin nhắn. Nên đương nhiên SMS vẫn an toàn hơn là không cần gì cả. Nếu đó là lựa chọn duy nhất thì hãy cứ dùng SMS. Tuy vậy, bạn cũng nên biết vì sao các chuyên gia khuyên không nên dùng SMS khi bạn có các lựa chọn khác, và những lựa chọn thay thế mà họ gợi ý.
Việc đổi sim sẽ giúp kẻ tấn công có được số điện thoại của bạn
Khi đăng nhập, bạn sẽ nhận được tin nhắn văn bản tới số điện thoại đã cung cấp trước đó. Bạn nhập đoạn mã code trong tin nhắn đó và đăng nhập. Nghe có vẻ rất an toàn. Nhưng liệu có phải chỉ một mình bạn có được số điện thoại đó và một mình bạn thấy được đoạn code đó trên điện thoại hay không? Câu trả lời là không.
Nếu ai đó biết được số điện thoại của bạn hay các thông tin cá nhân như 4 số cuối số điện thoại mà bạn dùng để bảo mật trên xã hội, sẽ rất dễ tìm được bởi các công ty, chính phủ rò rỉ dữ liệu ra ngoài, họ có thể liên hệ liên hệ với công ty điện thoại và đổi số. Việc này được gọi là đổi sim (SIM swap), tương tự như khi bạn mua điện thoại mới và đổi số điện thoại sang đó. Kẻ tấn công mạo nhận là bạn sẽ cung cấp vài thông tin cá nhân, công ty điện thoại sẽ thiết lập lại điện thoại của họ bằng số của bạn, nhờ thế họ sẽ có được mã code gửi tới số điện thoại đó.
Ở nước Anh đã xảy ra những báo cáo về tình trạng nói trên khi kẻ tấn công đánh cắp số điện thoại của người dùng và truy cập vào tài khoản ngân hàng của họ. New York cũng đã cảnh báo về hình thức giả mạo đánh cắp này. Về cốt lõi thì đây là hình thức tấn công lừa đảo qua mạng bằng việc lừa công ty điện thoại.
Tin nhắn SMS có thể bị can thiệp theo nhiều cách
Hoàn toàn có thể đánh cắp tin nhắn SMS. Các chính khách, nhà báo ở những quốc gia hà khắc đều muốn cẩn thận bởi chính phủ có thể đọc được tin nhắn SMS. Điều này đã xảy ra ở Iran khi các hacker nước này cho biết đã xâm nhập tài khoản Telegram thông qua tin nhắn SMS.
Kẻ tấn công lợi dụng vấn đề ở SS7, hệ thống kết nối roaming, để đọc tin nhắn SMS ở bất cứ đâu. Còn nhiều cách khác mà tin nhắn SMS có thể bị rò rỉ, bao gồm cả việc dùng trạm thu phát sóng giả, tin SMS không được thiết kế để bảo mật nên cũng không thể tin tưởng hoàn toàn chúng.
Nói cách khác một hacker có nghề và một chút thông tin có thể hack điện thoại của bạn, truy cập tài khoản trực tuyến. Đó là lý do vì sao Viện tiêu chuẩn và kỹ thuật quốc gia Hoa Kỳ không còn khuyến khích sử dụng tin nhắn SMS để xác thực hai yếu tố.
Lựa chọn thay thế: tạo đoạn mã code trên thiết bị của bạn
Khi phương pháp xác thực hai yếu tố không dựa trên SMS tỏ ra an toàn hơn bởi các công ty điện thoại không thể để ai khác có được đoạn code đó. Lựa chọn phổ biến giờ đây là các ứng dụng như Google Authenticator hoặc Authy với các tính năng tương tự.
Các ứng dụng này sẽ tạo đoạn mã ngay trên điện thoại của bạn. Ngay cả khi kẻ tấn công đã chuyển số điện thoại của bạn sang điện thoại của họ, họ cũng không thể có được đoạn mã code. Dữ liệu cần để tạo đoạn code này sẽ chỉ có trên điện thoại của bạn mà thôi. Người dùng thậm chí còn không cần phải dùng những code này vì Twitter, Google và Microsoft còn kiểm tra phương pháp xác thực hai yếu tố bằng ứng dụng và cho phép đăng nhập trên thiết bị bằng cách đăng nhập vào ứng dụng đó trên điện thoại.
Ngoài ra cũng có các thiết bị token. Những công ty lớn như Google và Dropbox đã sử dụng chuẩn mới cho token xác thực hai yếu tố có tên U2F. Chúng có khả năng bảo mật cao hơn so với việc dựa vào các công ty di động hay mạng điện thoại lỗi thời.
Nếu buộc phải dùng SMS, bạn có thể tạo số Google Voice và gửi tới dịch vụ yêu cầu xác thực bằng SMS. Sau đó hãy đăng nhập tài khoản Google và xem các tin nhắn trên website hoặc ứng dụng Google Voice. Lưu ý là Google Voice không hỗ trợ ở Việt Nam nhưng nếu bạn đang ở quốc gia khác thì hoàn toàn có thể sử dụng.
