Miu2k94819
New member
Ngày càng nhiều chuyên gia an ninh mạng đang kêu gọi: Đừng dùng OTP qua SMS nữa!
Theo CNBC, nhận mã OTP (mật khẩu dùng một lần) qua tin nhắn SMS đang là cách xác thực phổ biến nhất hiện nay. Tiện thì có tiện, nhưng mà...
Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng đồng loạt khuyến cáo: OTP - giống như mật khẩu truyền thống - nên "nghỉ hưu" sớm thôi!
Vì sao vậy?
Theo Ant Allan - Phó Chủ tịch phân tích tại Gartner Research - thì không có phương pháp xác thực nào là "bất khả xâm phạm" cả. Luôn có cách để hacker vượt qua, nhưng có những phương thức an toàn hơn nhiều so với SMS.
Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, cho biết OTP qua SMS cực kỳ dễ bị tấn công qua nhiều kiểu: lừa đảo email, đánh cắp SIM, chặn tin nhắn... ngay cả khi điện thoại vẫn nằm ngon lành trong túi bạn!
Còn đáng sợ hơn nữa là bạn có thể không hề hay biết tài khoản đã bị hack. Kitten lấy ví dụ: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận được mã đó. Bạn có thể mất 45 phút để nhận ra sự cố, và lúc đó thì đã quá muộn." Nghe mà tởn á!
Vậy dùng gì thay thế?
Các chuyên gia khuyên dùng ứng dụng xác thực (authenticator app) như Google Authenticator hay Microsoft Authenticator - an toàn hơn hẳn!
Ant Allan cho biết dù các app này vẫn có thể bị tấn công kiểu "kẻ trung gian", nhưng vẫn safe hơn OTP qua SMS nhiều lắm.
Với app xác thực, mỗi lần đăng nhập bạn sẽ nhận mã duy nhất, tự hủy sau 30-60 giây. Không có thông tin nào bay qua số điện thoại cả, mã nằm ngay trong thiết bị của bạn. Nếu điện thoại được bảo vệ bằng mật khẩu và Face ID, nguy cơ bị tấn công giảm mạnh, theo Kitten.
Nhưng mà...
Cedric Thevenet - Phó Chủ tịch và Trưởng bộ phận an ninh mạng tại Capgemini Americas - cảnh báo vẫn còn rủi ro nhé! Ví dụ như bạn nhận email giả mạo (nhờ AI nên trông chuẩn không cần chỉnh), rồi vô tư nhấp vào link độc, nhập tên đăng nhập, mật khẩu và cả mã xác thực... Vậy là xong, hacker đã có "full quyền" rồi!
Còn cách nào khác không?
Có! Đó là dùng thông báo xác thực qua ứng dụng (mobile app push). Khi bạn đăng nhập ngân hàng hay dịch vụ nào đó, hệ thống sẽ gửi thông báo về app trên điện thoại để xác nhận.
Ant Allan cho biết phương thức này không phụ thuộc vào thiết bị đăng nhập và an toàn hơn OTP qua SMS hoặc app xác thực. Tuy nhiên... nó cũng có thể bị hack. Hacker có thể spam đăng nhập liên tục, khiến bạn nhận hàng loạt thông báo. Nếu bạn vô tư bấm "xác nhận" mà không để ý, gg luôn!
Kết luận:
Nguồn: soha.vn
Theo CNBC, nhận mã OTP (mật khẩu dùng một lần) qua tin nhắn SMS đang là cách xác thực phổ biến nhất hiện nay. Tiện thì có tiện, nhưng mà...
Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng đồng loạt khuyến cáo: OTP - giống như mật khẩu truyền thống - nên "nghỉ hưu" sớm thôi!
Vì sao vậy?
Theo Ant Allan - Phó Chủ tịch phân tích tại Gartner Research - thì không có phương pháp xác thực nào là "bất khả xâm phạm" cả. Luôn có cách để hacker vượt qua, nhưng có những phương thức an toàn hơn nhiều so với SMS.
Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, cho biết OTP qua SMS cực kỳ dễ bị tấn công qua nhiều kiểu: lừa đảo email, đánh cắp SIM, chặn tin nhắn... ngay cả khi điện thoại vẫn nằm ngon lành trong túi bạn!
Còn đáng sợ hơn nữa là bạn có thể không hề hay biết tài khoản đã bị hack. Kitten lấy ví dụ: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận được mã đó. Bạn có thể mất 45 phút để nhận ra sự cố, và lúc đó thì đã quá muộn." Nghe mà tởn á!
Vậy dùng gì thay thế?
Các chuyên gia khuyên dùng ứng dụng xác thực (authenticator app) như Google Authenticator hay Microsoft Authenticator - an toàn hơn hẳn!
Ant Allan cho biết dù các app này vẫn có thể bị tấn công kiểu "kẻ trung gian", nhưng vẫn safe hơn OTP qua SMS nhiều lắm.
Với app xác thực, mỗi lần đăng nhập bạn sẽ nhận mã duy nhất, tự hủy sau 30-60 giây. Không có thông tin nào bay qua số điện thoại cả, mã nằm ngay trong thiết bị của bạn. Nếu điện thoại được bảo vệ bằng mật khẩu và Face ID, nguy cơ bị tấn công giảm mạnh, theo Kitten.
Nhưng mà...
Cedric Thevenet - Phó Chủ tịch và Trưởng bộ phận an ninh mạng tại Capgemini Americas - cảnh báo vẫn còn rủi ro nhé! Ví dụ như bạn nhận email giả mạo (nhờ AI nên trông chuẩn không cần chỉnh), rồi vô tư nhấp vào link độc, nhập tên đăng nhập, mật khẩu và cả mã xác thực... Vậy là xong, hacker đã có "full quyền" rồi!
Còn cách nào khác không?
Có! Đó là dùng thông báo xác thực qua ứng dụng (mobile app push). Khi bạn đăng nhập ngân hàng hay dịch vụ nào đó, hệ thống sẽ gửi thông báo về app trên điện thoại để xác nhận.
Ant Allan cho biết phương thức này không phụ thuộc vào thiết bị đăng nhập và an toàn hơn OTP qua SMS hoặc app xác thực. Tuy nhiên... nó cũng có thể bị hack. Hacker có thể spam đăng nhập liên tục, khiến bạn nhận hàng loạt thông báo. Nếu bạn vô tư bấm "xác nhận" mà không để ý, gg luôn!
Kết luận:
Nguồn: soha.vn