Một trong những cách thuận tiện và phổ biến nhất để nhận xác thực hai yếu tố là qua tin nhắn văn bản (SMS). Không chỉ nhiều dịch vụ và tài khoản được xác thực thông qua phương pháp này mà một số cổng thanh toán cũng vậy. Tuy nhiên, theo CNBC, các chuyên gia an ninh mạng ngày càng đồng thuận rằng OTP, giống như mật khẩu truyền thống, nên được loại bỏ dần, mặc dù họ cho rằng điều này khó có thể xảy ra trong thời gian tới.
Nhận thức về các loại OTP khác nhau và rủi ro bảo mật tương đối so với lợi ích mà mỗi loại mang lại đang ngày càng trở nên quan trọng khi tội phạm mạng trở nên tinh vi hơn. Kinh nghiệm cho thấy các phương pháp xác thực luôn có lỗ hổng, nhưng một số được coi là mạnh hơn những phương pháp khác. Như Ant Allan, phó chủ tịch phân tích tại Gartner Research, nói: “Không có phương pháp xác thực hoàn hảo nào cả”.
Tracy C. Kitten, giám đốc bộ phận chống gian lận và bảo mật tại Javelin Strategy & Research, cho biết OTP qua SMS dễ bị tấn công thông qua nhiều phương tiện, bao gồm lừa đảo, hoán đổi SIM và chặn tin nhắn, ngay cả khi bạn vẫn cầm điện thoại.
Vấn đề trở nên tệ hơn khi tài khoản di động hoặc web của bạn bị chiếm đoạt và bạn có thể không biết ngay. “Ví dụ, bạn có thể yêu cầu ngân hàng gửi tin nhắn văn bản xác nhận rồi gửi lại mà không nhận ra rằng người khác cũng đã nhận được tin nhắn. Có thể mất 45 phút trước khi bạn nhận ra có điều gì đó không ổn và đến lúc đó thì đã quá muộn”, Kitten nói.
Một kỹ thuật phổ biến để đánh cắp tin nhắn là hoán đổi SIM. Thông thường, các nhà mạng di động cung cấp một dịch vụ tiện lợi cho phép khách hàng thay đổi số điện thoại của họ từ SIM này sang SIM khác trong trường hợp điện thoại hoặc thẻ SIM bị mất. Sử dụng kỹ thuật này, kẻ tấn công lợi dụng điều này để chuyển số điện thoại của nạn nhân sang thẻ SIM mà chúng kiểm soát. Điều này thường được thực hiện thông qua mạo danh hoặc đánh cắp danh tính.
Một lựa chọn tốt hơn, mặc dù không phải là giải pháp hoàn hảo, là sử dụng ứng dụng xác thực, như Google Authenticator hoặc Microsoft Authenticator, trên thiết bị di động của bạn, các chuyên gia bảo mật cho biết. Các ứng dụng xác thực vẫn có thể dễ bị tấn công bởi một số loại tấn công nhất định, như “kẻ thù ở giữa (AITM)”, nhưng chúng vẫn an toàn hơn SMS, Allan nói.
Với ứng dụng xác thực, người dùng nhận được một mã duy nhất mỗi lần đăng nhập và mã sẽ hết hạn, thường là sau 30 đến 60 giây. Không có thông tin nào được gửi đến số điện thoại. Kitten cho biết trình xác thực sẽ nằm trên thiết bị di động của bạn, vì vậy nếu điện thoại của bạn được bảo vệ bằng mật khẩu và bạn đã bật tính năng nhận dạng khuôn mặt, điều đó sẽ giảm đáng kể nguy cơ ai đó truy cập vào các mã đó.
Tất nhiên, vẫn có những cạm bẫy tiềm ẩn, Cedric Thevenet, phó chủ tịch kiêm giám đốc bán hàng và giải pháp mạng tại Capgemini Americas cho biết. Ví dụ, ai đó có thể nhận được một email có vẻ như đến từ một công ty hoặc nhà cung cấp mà họ thường xuyên giao dịch, nhưng thực chất đó là một trò lừa đảo được ngụy trang khéo léo. Nhờ có AI, các loại email lừa đảo này đang trở nên khó phát hiện hơn, Thevenet cho biết.
Nếu người dùng không nghi ngờ nhấp vào liên kết trong email, họ có thể được đưa đến một trang web có vẻ hợp pháp, nhưng không phải. Sau đó, nạn nhân nhập tên người dùng và mật khẩu của họ vào trang web của tin tặc, nghĩ rằng đó là trang web của nhà cung cấp. Khi được nhắc nhập mã xác thực OTP, họ cũng nhập mã đó. Tại thời điểm đó, Thevenet giải thích, tin tặc có quyền truy cập vào tài khoản.
Hiện nay, người dùng có nhiều lựa chọn khác nhau để quản lý thông tin đăng nhập trực tuyến của mình với mức độ bảo mật cao hơn, tuy nhiên tất cả đều đi kèm rủi ro và ở một mức độ nào đó, người tiêu dùng bị giới hạn bởi các phương pháp xác thực do các nhà cung cấp khác nhau cung cấp.
Dusty Anderson, CEO của công ty tư vấn quản lý Protiviti, cho biết một khách hàng chi hàng chục nghìn đô la mỗi tháng cho SMS OTP. Bất chấp những lo ngại về bảo mật, khách hàng vẫn kiên quyết không thay đổi vì sợ làm gián đoạn toàn bộ quy trình, đặc biệt là vì họ không rành về công nghệ và có thể không muốn sử dụng phương pháp xác thực khác khiến họ cảm thấy kém tiện lợi hơn.
Vì nhiều lý do, Thevenet cho biết OTP có thể sẽ tồn tại dưới một hình thức nào đó trong tương lai gần. Mặc dù có một số rủi ro, nhưng chúng vẫn tốt hơn là chỉ sử dụng mật khẩu, Thevenet cho biết.
Link nguồn: https://cafef.vn/rui-ro-khi-nhan-ma-otp-qua-tin-nhan-sms-188240731071419041.chn