Xác thực hai yếu tố (2FA) bổ sung một lớp bảo mật quan trọng cho các tài khoản trực tuyến của bạn, nhưng đáng tiếc, không phải tất cả các phương pháp đều có mức độ an toàn như nhau. Nhiều người tin tưởng và sử dụng 2FA dựa trên SMS, cho rằng đây là một lựa chọn an toàn. Tuy nhiên, SMS còn lâu mới hoàn hảo. Dưới đây là lý do tại sao tôi đã ngừng sử dụng SMS cho 2FA và những gì tôi dùng thay thế.
Rủi ro SIM Swapping: Kẻ tấn công chiếm đoạt số điện thoại của bạn
Một trong những rủi ro đáng báo động nhất khi sử dụng SMS cho 2FA là SIM swapping (đổi SIM), một kỹ thuật mà kẻ tấn công lừa nhà cung cấp dịch vụ di động của bạn chuyển số điện thoại của bạn sang một thẻ SIM mới. Một khi chúng kiểm soát được số điện thoại của bạn, chúng có thể chặn bất kỳ tin nhắn SMS nào được gửi đến nó.
SIM swapping hoạt động như sau: kẻ tấn công liên hệ với nhà mạng của bạn, giả vờ là bạn. Bằng cách sử dụng các thông tin cá nhân bị đánh cắp – chẳng hạn như địa chỉ hoặc bốn chữ số cuối của số căn cước công dân – chúng thuyết phục nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM của chúng. Ngay sau khi quá trình chuyển đổi hoàn tất, kẻ tấn công sẽ chặn các tin nhắn văn bản được gửi đến số của bạn, bao gồm cả các mã 2FA được thiết kế để bảo vệ tài khoản của bạn.
Mức độ thiệt hại không chỉ dừng lại ở đó. Rất nhiều tài khoản của chúng ta, từ email, mạng xã hội cho đến các ứng dụng ngân hàng, đều được liên kết với số điện thoại. Một vụ SIM swap thành công có thể cấp cho kẻ tấn công quyền truy cập vào nhiều tài khoản được liên kết với số điện thoại của bạn, từ email đến các ứng dụng ngân hàng. Hướng dẫn trước đây của chúng tôi về SIM swapping là gì và cách tự bảo vệ có thể giúp bạn tránh được chiêu trò lừa đảo ngày càng phổ biến này.
Tin nhắn SMS có thể bị chặn và đánh cắp dễ dàng
Tin nhắn smishing hiển thị biểu tượng phong bì cạnh máy tính xách tay, minh họa nguy cơ tin nhắn SMS bị chặn
Ngay cả khi bạn tránh được SIM swapping, bản thân tin nhắn SMS cũng không an toàn. Chúng di chuyển qua các mạng có thể dễ bị chặn. Tin tặc có thể khai thác các lỗ hổng trong Hệ thống báo hiệu số 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác SS7, kẻ tấn công có thể chặn tin nhắn SMS của bạn mà không cần truy cập vào điện thoại vật lý của bạn.
Đây không chỉ là lý thuyết; hack SIM là một vấn đề đã được ghi nhận rõ ràng. Tội phạm mạng và thậm chí một số nhóm được nhà nước hậu thuẫn đã sử dụng các lỗ hổng SS7 để theo dõi liên lạc và đánh cắp thông tin nhạy cảm. Bởi vì SMS thiếu mã hóa, nội dung tin nhắn, bao gồm cả mã xác thực một lần, sẽ bị lộ trong quá trình truyền tải.
Một cách khác mà tin nhắn có thể bị xâm phạm là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Các chương trình này có thể theo dõi tin nhắn SMS đến của bạn và chuyển tiếp mã 2FA cho kẻ tấn công mà bạn không hề hay biết.
SMS phụ thuộc hoàn toàn vào số điện thoại và tín hiệu di động
Người đàn ông nhập số điện thoại trên iPhone, thể hiện sự phụ thuộc của xác thực 2FA qua SMS vào thiết bị di động
Một nhược điểm đáng kể khác của 2FA dựa trên SMS là sự phụ thuộc của nó vào số điện thoại của bạn. Khả năng nhận mã của bạn gắn liền trực tiếp với dịch vụ di động. Nếu bạn ở trong khu vực có sóng yếu, 2FA dựa trên SMS sẽ hoàn toàn vô dụng, ngay cả khi bạn có Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.
Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong các tình huống cần truy cập tài khoản nhưng không thể nhận mã. Cho dù bạn đang đi du lịch ở một địa điểm hẻo lánh hay đơn giản là ở trong một tòa nhà có sóng kém, hạn chế này khiến SMS kém tin cậy hơn so với các lựa chọn thay thế.
Giải pháp thay thế tối ưu: Ứng dụng xác thực bảo mật
Người đàn ông nhập mã xác thực hai yếu tố trên điện thoại thông minh, với logo Google Authenticator nổi bật, minh họa cách dùng ứng dụng xác thực
Thay vì dựa vào SMS cho 2FA, tôi đã chuyển sang các ứng dụng xác thực 2FA. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo mã xác thực một lần dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, mang lại một lựa chọn an toàn và đáng tin cậy hơn nhiều so với SMS.
Ưu điểm chính đầu tiên của các ứng dụng xác thực là bảo mật. Không giống như SMS, các ứng dụng này tạo mã cục bộ trên điện thoại của bạn, nghĩa là chúng không được truyền qua các mạng có thể bị chặn hoặc khai thác. Chúng cũng được bảo vệ bởi các lớp bảo mật bổ sung – nhiều ứng dụng yêu cầu mật mã, vân tay hoặc quét khuôn mặt để truy cập mã.
Một lý do khác tôi thích các ứng dụng xác thực là chức năng ngoại tuyến của chúng. Vì các mã được tạo trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Cho dù bạn đang ở trong khu vực hẻo lánh không có dịch vụ hay đơn giản là ở trong nhà với sóng kém, bạn vẫn có thể truy cập mã của mình miễn là bạn có thiết bị.
Tôi thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp tính năng sao lưu đám mây, giúp tôi dễ dàng khôi phục tài khoản nếu bị mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ tôi mới có thể truy cập chúng. Google Authenticator là một lựa chọn phổ biến khác. Cả hai tùy chọn đều miễn phí, được hỗ trợ rộng rãi và dễ cài đặt.
Sử dụng ứng dụng xác thực rất đơn giản. Sau khi bạn đã thiết lập nó, thường là bằng cách quét mã QR do trang web cung cấp trong quá trình thiết lập 2FA, bạn chỉ cần mở ứng dụng để truy cập mã bất cứ khi nào bạn đăng nhập. Các mã này sẽ tự động làm mới sau mỗi 30 giây, vì vậy ngay cả khi ai đó cố gắng đánh cắp một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.
Xác thực hai yếu tố là rất cần thiết để giữ an toàn cho tài khoản của bạn, nhưng phương pháp bạn sử dụng thực sự quan trọng. Mặc dù 2FA dựa trên SMS có vẻ tiện lợi, nhưng nó tiềm ẩn nhiều lỗ hổng – từ SIM swapping đến các phương pháp chặn và thậm chí các vấn đề thực tế như sóng di động kém. Những rủi ro này khiến SMS trở thành một biện pháp bảo vệ không đáng tin cậy cho an ninh trực tuyến của bạn.
