Xác thực hai yếu tố (2FA) là một lớp bảo mật thiết yếu giúp tăng cường an toàn cho các tài khoản trực tuyến của bạn. Tuy nhiên, không phải phương pháp 2FA nào cũng có mức độ bảo mật như nhau. Nhiều người dùng vẫn tin tưởng vào hình thức 2FA dựa trên tin nhắn SMS, cho rằng đây là lựa chọn an toàn và tiện lợi. Đáng tiếc, SMS còn lâu mới là một giải pháp hoàn hảo. Với tư cách là một chuyên gia về công nghệ và bảo mật, tôi đã quyết định không sử dụng SMS cho 2FA nữa và đây là lý do, cùng với giải pháp thay thế tôi đang áp dụng.
SIM Swapping: Kẻ Tấn Công Chiếm Đoạt Số Điện Thoại Của Bạn
Một trong những rủi ro đáng báo động nhất khi sử dụng SMS cho xác thực hai yếu tố là tấn công SIM Swapping (đổi SIM). Đây là kỹ thuật mà kẻ tấn công lừa nhà mạng di động của bạn để chuyển số điện thoại của bạn sang một thẻ SIM mới do chúng kiểm soát. Ngay khi chúng có quyền kiểm soát số điện thoại của bạn, chúng có thể dễ dàng chặn bất kỳ tin nhắn SMS nào được gửi đến số đó.
Cụ thể, kẻ tấn công sẽ liên hệ với nhà mạng di động, mạo danh bạn. Bằng cách sử dụng các thông tin cá nhân bị đánh cắp – chẳng hạn như địa chỉ, hoặc bốn số cuối của căn cước công dân/chứng minh thư – chúng thuyết phục nhà mạng chuyển số điện thoại của bạn sang thẻ SIM của chúng. Ngay sau khi quá trình chuyển đổi hoàn tất, kẻ tấn công sẽ chặn tất cả tin nhắn văn bản gửi đến số của bạn, bao gồm cả các mã 2FA được thiết kế để bảo vệ tài khoản của bạn.
Hậu quả của một cuộc tấn công SIM Swapping thành công không chỉ dừng lại ở đó. Ngày nay, chúng ta thường liên kết số điện thoại với vô số tài khoản trực tuyến, từ email, mạng xã hội cho đến các ứng dụng ngân hàng. Một cuộc tấn công SIM Swapping thành công có thể cấp cho kẻ tấn công quyền truy cập vào nhiều tài khoản quan trọng được liên kết với số điện thoại của bạn. Để hiểu rõ hơn về SIM card swapping là gì và cách tự bảo vệ bản thân, bạn có thể tham khảo thêm hướng dẫn chi tiết của chúng tôi để tránh trở thành nạn nhân của kiểu lừa đảo ngày càng phổ biến này.
Tin Nhắn SMS Dễ Bị Chặn và Đọc Trộm
Tin nhắn smishing hiển thị trên điện thoại gần máy tính, minh họa việc tin nhắn SMS bị chặn và tấn công lừa đảo
Ngay cả khi bạn may mắn không trở thành nạn nhân của SIM Swapping, bản thân tin nhắn SMS cũng không hề an toàn. Chúng truyền qua các mạng viễn thông có thể chứa lỗ hổng bảo mật và dễ bị chặn. Tin tặc có thể khai thác điểm yếu trong Hệ thống Báo hiệu Số 7 (SS7 – Signaling System No. 7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác lỗ hổng SS7, kẻ tấn công có thể chặn tin nhắn SMS của bạn mà không cần phải có quyền truy cập vật lý vào điện thoại của bạn.
Đây không chỉ là lý thuyết suông; vấn đề hack SIM đã được ghi nhận và cảnh báo rộng rãi. Các tội phạm mạng, và thậm chí một số nhóm được nhà nước bảo trợ, đã sử dụng lỗ hổng SS7 để theo dõi liên lạc và đánh cắp thông tin nhạy cảm. Vì tin nhắn SMS không được mã hóa, nội dung tin nhắn, bao gồm cả mã xác thực một lần (OTP), sẽ bị lộ trong quá trình truyền tải.
Một cách khác mà tin nhắn có thể bị xâm phạm là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Những chương trình này có khả năng giám sát các tin nhắn SMS đến và chuyển tiếp các mã 2FA cho kẻ tấn công mà bạn không hề hay biết.
SMS Phụ Thuộc Vào Sóng Di Động
Người đàn ông nhập số điện thoại trên iPhone, thể hiện sự phụ thuộc của xác thực SMS vào sóng di động
Một nhược điểm đáng kể khác của 2FA dựa trên SMS là sự phụ thuộc vào số điện thoại của bạn. Khả năng nhận mã của bạn gắn liền trực tiếp với dịch vụ di động. Nếu bạn ở trong khu vực có sóng kém, 2FA qua SMS trở nên hoàn toàn vô dụng, ngay cả khi bạn có kết nối Wi-Fi. Không giống như các phương thức xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.
Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong những tình huống cần truy cập tài khoản nhưng không thể nhận mã. Dù là khi đi du lịch ở một vùng xa xôi hay đơn giản là ở trong một tòa nhà có sóng kém, hạn chế này khiến SMS trở nên kém tin cậy hơn so với các giải pháp thay thế.
Giải Pháp Thay Thế Ưu Việt: Các Ứng Dụng Xác Thực
Người dùng nhập mã xác thực hai yếu tố từ ứng dụng Google Authenticator trên điện thoại thông minh, minh họa phương pháp bảo mật TOTP an toàn hơn
Thay vì dựa vào SMS cho xác thực hai yếu tố, tôi đã chuyển sang sử dụng các ứng dụng xác thực 2FA. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo ra các mật khẩu một lần dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, mang đến một giải pháp an toàn và đáng tin cậy hơn nhiều so với SMS.
Ưu điểm lớn nhất của các ứng dụng xác thực là tính bảo mật. Không giống như SMS, các ứng dụng này tạo mã cục bộ trên điện thoại của bạn, nghĩa là chúng không được truyền qua các mạng có thể bị chặn hoặc khai thác. Chúng cũng được bảo vệ bởi các lớp bảo mật bổ sung – nhiều ứng dụng yêu cầu mật khẩu, dấu vân tay hoặc quét khuôn mặt để truy cập mã.
Một lý do khác mà tôi ưu tiên các ứng dụng xác thực là khả năng hoạt động ngoại tuyến của chúng. Vì các mã được tạo trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Dù bạn đang ở một khu vực hẻo lánh không có dịch vụ hoặc đơn giản là trong nhà với sóng kém, bạn vẫn có thể truy cập mã miễn là có thiết bị của mình.
Tôi thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp tính năng sao lưu đám mây, giúp tôi dễ dàng khôi phục tài khoản nếu bị mất điện thoại. Đồng thời, Authy bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ tôi mới có thể truy cập chúng. Google Authenticator cũng là một lựa chọn phổ biến khác. Cả hai tùy chọn này đều miễn phí, được hỗ trợ rộng rãi và dễ dàng thiết lập.
Sử dụng một ứng dụng xác thực rất đơn giản. Sau khi bạn đã thiết lập nó, thường là bằng cách quét mã QR do trang web cung cấp trong quá trình cài đặt 2FA, bạn chỉ cần mở ứng dụng để truy cập mã mỗi khi đăng nhập. Các mã này làm mới sau mỗi 30 giây, vì vậy ngay cả khi ai đó cố gắng đánh cắp một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.
Xác thực hai yếu tố là điều cần thiết để giữ an toàn cho tài khoản của bạn, nhưng phương pháp bạn sử dụng thực sự quan trọng. Mặc dù 2FA dựa trên SMS có vẻ tiện lợi, nó lại tồn tại nhiều lỗ hổng – từ tấn công SIM Swapping đến các phương pháp chặn tin nhắn, và thậm chí cả các vấn đề thực tế như sóng di động kém. Những rủi ro này khiến SMS trở thành một biện pháp bảo vệ không đáng tin cậy cho an ninh trực tuyến của bạn.
