Trang chủ » làm thế nào để » Tại sao bạn không nên sử dụng SMS để xác thực hai yếu tố (và nên sử dụng cái gì thay thế)

    Tại sao bạn không nên sử dụng SMS để xác thực hai yếu tố (và nên sử dụng cái gì thay thế)

    Các chuyên gia bảo mật khuyên bạn nên sử dụng xác thực hai yếu tố để bảo mật tài khoản trực tuyến của mình bất cứ khi nào có thể. Nhiều dịch vụ mặc định xác minh SMS, gửi mã qua tin nhắn văn bản đến điện thoại của bạn khi bạn cố đăng nhập. Nhưng tin nhắn SMS có nhiều vấn đề về bảo mật và là tùy chọn kém an toàn nhất cho xác thực hai yếu tố.

    Điều đầu tiên trước tiên: SMS vẫn tốt hơn so với việc không xác thực hai yếu tố!

    Mặc dù chúng tôi sẽ đưa ra trường hợp chống lại SMS ở đây, nhưng điều quan trọng trước tiên là chúng tôi phải làm rõ một điều: Sử dụng SMS tốt hơn là không sử dụng xác thực hai yếu tố.

    Khi bạn không sử dụng xác thực hai yếu tố, ai đó chỉ cần mật khẩu của bạn để đăng nhập vào tài khoản của bạn. Khi bạn sử dụng xác thực hai yếu tố với SMS, ai đó sẽ cần phải lấy mật khẩu của bạn và có quyền truy cập vào tin nhắn văn bản của bạn để có quyền truy cập vào tài khoản của bạn. SMS an toàn hơn nhiều so với không có gì cả.

    Nếu SMS là lựa chọn duy nhất của bạn, vui lòng sử dụng SMS. Tuy nhiên, nếu bạn muốn tìm hiểu lý do tại sao các chuyên gia bảo mật khuyên bạn nên tránh SMS và thay vào đó chúng tôi khuyên bạn nên đọc tiếp.

    Hoán đổi SIM cho phép kẻ tấn công đánh cắp số điện thoại của bạn

    Đây là cách xác minh SMS hoạt động: Khi bạn cố gắng đăng nhập, dịch vụ sẽ gửi tin nhắn văn bản đến số điện thoại di động mà bạn đã cung cấp trước đó cho họ. Bạn lấy mã đó trên điện thoại của mình và nhập mã đó để đăng nhập. Mã đó chỉ tốt cho một lần sử dụng.

    Nghe có vẻ hợp lý an toàn. Rốt cuộc, chỉ có bạn có số điện thoại của bạn và ai đó phải có điện thoại của bạn để xem mã - phải không? Tiếc là không có.

    Nếu ai đó biết số điện thoại của bạn và có thể truy cập vào thông tin cá nhân như bốn số cuối của số an sinh xã hội của bạn - thật không may, điều này rất dễ tìm thấy nhờ nhiều tập đoàn và cơ quan chính phủ đã rò rỉ dữ liệu khách hàng - họ có thể liên hệ với điện thoại của bạn công ty và chuyển số điện thoại của bạn sang một điện thoại mới. Đây được gọi là trao đổi SIM SIM, và là quy trình tương tự bạn thực hiện khi bạn mua một thiết bị mới và chuyển số điện thoại của bạn sang thiết bị đó. Người này nói họ là bạn, cung cấp dữ liệu cá nhân và công ty điện thoại di động của bạn thiết lập điện thoại của họ với số điện thoại của bạn. Họ sẽ nhận được mã tin nhắn SMS được gửi đến số điện thoại của bạn trên điện thoại của họ.

    Chúng tôi đã thấy các báo cáo về điều này xảy ra ở Anh, nơi những kẻ tấn công đã đánh cắp số điện thoại của nạn nhân và sử dụng nó để có quyền truy cập vào tài khoản ngân hàng của nạn nhân. Tiểu bang New York cũng đã cảnh báo về trò lừa đảo này.

    Về cốt lõi, đây là một cuộc tấn công kỹ thuật xã hội dựa trên việc lừa công ty điện thoại di động của bạn. Nhưng công ty điện thoại di động của bạn không nên cung cấp cho ai đó quyền truy cập vào mã bảo mật của bạn ngay từ đầu!

    Tin nhắn SMS có thể bị chặn theo nhiều cách

    Cũng có thể rình mò tin nhắn SMS. Các nhà bất đồng chính trị và nhà báo ở các nước đàn áp sẽ muốn cẩn thận, vì chính phủ có thể chiếm quyền điều khiển tin nhắn SMS khi chúng được gửi qua mạng điện thoại. Điều này đã xảy ra ở Iran, nơi tin tặc Iran đã xâm phạm một số tài khoản nhắn tin Telegram bằng cách chặn các tin nhắn SMS cung cấp quyền truy cập vào các tài khoản đó.

    Những kẻ tấn công cũng đã lạm dụng các vấn đề trong SS7, hệ thống kết nối được sử dụng để chuyển vùng, để chặn các tin nhắn SMS trên mạng và định tuyến chúng ở nơi khác. Có nhiều cách khác để tin nhắn có thể bị chặn, bao gồm cả việc sử dụng các tháp điện thoại di động giả. Tin nhắn SMS không được thiết kế để bảo mật và không nên sử dụng cho tin nhắn SMS.

    Nói cách khác, một kẻ tấn công tinh vi với một chút thông tin cá nhân có thể chiếm đoạt số điện thoại của bạn để có quyền truy cập vào tài khoản trực tuyến của bạn và sau đó sử dụng các tài khoản đó để cố gắng rút tài khoản ngân hàng của bạn, ví dụ. Đó là lý do tại sao Viện Tiêu chuẩn và Công nghệ Quốc gia không còn khuyến nghị sử dụng tin nhắn SMS để xác thực hai yếu tố.

    Thay thế: Tạo mã trên thiết bị của bạn

    Lược đồ xác thực hai yếu tố không dựa vào SMS là ưu việt hơn, vì công ty điện thoại di động sẽ không thể cấp cho người khác quyền truy cập vào mã của bạn. Tùy chọn phổ biến nhất cho việc này là một ứng dụng như Google Authenticator. Tuy nhiên, chúng tôi khuyên dùng Authy, vì nó thực hiện mọi thứ Google Authenticator làm và hơn thế nữa.

    Các ứng dụng như thế này tạo mã trên thiết bị của bạn. Ngay cả khi kẻ tấn công lừa công ty điện thoại di động của bạn chuyển số điện thoại của bạn sang điện thoại của họ, họ sẽ không thể lấy được mã bảo mật của bạn. Dữ liệu cần thiết để tạo các mã đó sẽ được bảo mật trên điện thoại của bạn.

     

    Bạn cũng không phải sử dụng mã. Các dịch vụ như Twitter, Google và Microsoft đang thử nghiệm xác thực hai yếu tố dựa trên ứng dụng cho phép bạn đăng nhập trên thiết bị khác bằng cách cho phép đăng nhập ứng dụng của họ trên điện thoại của bạn.

    Ngoài ra còn có các mã thông báo phần cứng vật lý mà bạn có thể sử dụng. Các công ty lớn như Google và Dropbox đã triển khai một tiêu chuẩn mới cho các mã thông báo xác thực hai yếu tố dựa trên phần cứng có tên U2F. Đây là tất cả an toàn hơn so với dựa vào công ty điện thoại di động của bạn và mạng điện thoại lỗi thời.

    Nếu có thể, tránh SMS để xác thực hai yếu tố. Nó tốt hơn không có gì và có vẻ thuận tiện, nhưng nó thường là chương trình xác thực hai yếu tố an toàn nhất mà bạn có thể chọn.

    Thật không may, một số dịch vụ buộc bạn phải sử dụng SMS. Nếu bạn lo lắng về điều này, bạn có thể tạo số điện thoại Google Voice và cung cấp cho các dịch vụ yêu cầu xác thực SMS. Sau đó, bạn có thể đăng nhập vào tài khoản Google của mình - mà bạn có thể bảo vệ bằng phương thức xác thực hai yếu tố an toàn hơn - và xem các tin nhắn bảo mật trong trang web hoặc ứng dụng Google Voice. Chỉ không chuyển tiếp tin nhắn từ Google Voice đến số điện thoại di động thực tế của bạn.