KẹoNgọtXinhXắn
New member
Các chuyên gia an ninh mạng đang khuyến cáo nghiêm túc: nên dừng nhận mã OTP qua tin nhắn SMS luôn các bạn ơi!
Theo CNBC, mã OTP (mật khẩu dùng một lần) hiện vẫn là một trong những phương thức đăng nhập tiện lợi và phổ biến nhất đối với người dùng điện thoại. Thông thường, mã này được gửi qua tin nhắn văn bản (SMS), mình chỉ cần nhập đúng mã là có thể xác thực giao dịch mà không phải tải thêm app hay thực hiện những thao tác phức tạp gì cả.
Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng cho rằng OTP, cũng như mật khẩu truyền thống, không còn đủ an toàn và cần sớm được thay thế rồi. Thực tế đã ghi nhận không ít vụ tấn công dẫn đến việc chiếm đoạt tài khoản xuất phát từ những lỗ hổng của phương thức này, gây thiệt hại nghiêm trọng cho cả người dùng lẫn doanh nghiệp luôn á.
OTP không phải chỉ có một loại đâu nhé!
Mình cũng cần hiểu rằng OTP không chỉ có một loại và mức độ an toàn giữa các phương thức có thể khác biệt rất lớn đó. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: "Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn những phương thức khác. Không có giải pháp nào tuyệt đối an toàn".
Trong các hình thức OTP hiện nay, OTP qua SMS được đánh giá là dễ bị khai thác nhất luôn các bạn ạ. Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, kẻ gian có thể sử dụng nhiều thủ đoạn như lừa đảo qua email, đánh cắp SIM hoặc chặn tin nhắn bằng các công cụ chuyên dụng. Đáng lo ngại hơn, ngay cả khi điện thoại vẫn nằm trong tay mình, tin nhắn OTP vẫn có thể bị đọc trộm từ xa thông qua các lỗ hổng của mạng di động nữa đó!
Một rủi ro khác là mình rất khó phát hiện tài khoản bị xâm nhập ngay từ đầu. Kitten cảnh báo: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không hề biết rằng kẻ gian đang nhận được mã đó. Có thể mất tới 45 phút để nhận ra sự cố và khi ấy thì đã quá muộn".
Vậy nên dùng gì thay thế?
Để tăng cường bảo mật, các chuyên gia khuyến nghị sử dụng ứng dụng xác thực (authenticator app) như Google Authenticator hoặc Microsoft Authenticator. Những app này tạo mã dùng một lần (TOTP) trực tiếp trên thiết bị và tự động hết hạn sau 30–60 giây. Do không truyền qua mạng di động, nguy cơ bị đánh cắp cũng giảm đi đáng kể nhé!
Ant Allan cho biết, dù các ứng dụng này vẫn có thể trở thành mục tiêu của các cuộc tấn công theo kiểu "kẻ trung gian", chúng vẫn an toàn hơn nhiều so với OTP qua SMS. Kieten cũng bổ sung rằng nếu điện thoại được bảo vệ bằng mật khẩu mạnh hoặc xác thực sinh trắc học như vân tay, nhận diện khuôn mặt, nguy cơ bị xâm nhập sẽ tiếp tục giảm thêm một mức nữa.
Theo Cedric Thevenet, Phó Chủ tịch kiêm Trưởng bộ phận an ninh mạng tại Capgemini Americas, một lựa chọn bảo mật cao hơn là xác thực thông qua thông báo trên ứng dụng. Với phương thức này, khi đăng nhập, mình không cần nhập mã mà chỉ cần xác nhận thông báo hiển thị trên điện thoại thôi. Cách làm này không phụ thuộc vào thiết bị đăng nhập và có khả năng chống lại nhiều hình thức tấn công hiệu quả hơn đó!
Nhưng mà... vẫn không "perfect" 100% đâu nhé!
Dù vậy, ngay cả giải pháp này cũng không hoàn toàn miễn nhiễm với rủi ro. Hacker có thể thực hiện kiểu tấn công bằng cách gửi liên tục nhiều yêu cầu đăng nhập giả mạo, khiến mình mất cảnh giác và vô tình nhấn "xác nhận", từ đó trao quyền truy cập cho kẻ xấu luôn.
Ngoài hai phương thức trên, một số chuyên gia khuyến nghị mình nên dần làm quen với các giải pháp mới như khóa bảo mật phần cứng (hardware key) hoặc passkeys - công nghệ xác thực không cần mật khẩu đang được nhiều tập đoàn lớn triển khai. Passkeys sử dụng cơ chế mã hóa khóa công khai, giúp loại bỏ nguy cơ bị lừa đảo qua các trang web giả mạo, đồng thời khiến quá trình đăng nhập vừa an toàn vừa thuận tiện hơn nữa!
Kết luận: Hãy nâng cấp bảo mật ngay thôi!
Rõ ràng là OTP qua SMS không còn là lựa chọn tối ưu trong bối cảnh các mối đe dọa mạng ngày càng tinh vi rồi. Dù vẫn phổ biến và dễ sử dụng, mình nên chủ động chuyển sang những biện pháp bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua ứng dụng, khóa bảo mật phần cứng hoặc passkeys.
Các chuyên gia nhấn mạnh rằng không có phương pháp nào tuyệt đối an toàn cả. Tuy nhiên, khi hiểu rõ các rủi ro, áp dụng nhiều lớp bảo mật và luôn cảnh giác trước những chiêu thức lừa đảo ngày càng tinh vi, mình hoàn toàn có thể giảm đáng kể nguy cơ mất tài khoản và tránh được những thiệt hại không đáng có nhé!
Nguồn: kenh14.vn
Theo CNBC, mã OTP (mật khẩu dùng một lần) hiện vẫn là một trong những phương thức đăng nhập tiện lợi và phổ biến nhất đối với người dùng điện thoại. Thông thường, mã này được gửi qua tin nhắn văn bản (SMS), mình chỉ cần nhập đúng mã là có thể xác thực giao dịch mà không phải tải thêm app hay thực hiện những thao tác phức tạp gì cả.
Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng cho rằng OTP, cũng như mật khẩu truyền thống, không còn đủ an toàn và cần sớm được thay thế rồi. Thực tế đã ghi nhận không ít vụ tấn công dẫn đến việc chiếm đoạt tài khoản xuất phát từ những lỗ hổng của phương thức này, gây thiệt hại nghiêm trọng cho cả người dùng lẫn doanh nghiệp luôn á.
OTP không phải chỉ có một loại đâu nhé!
Mình cũng cần hiểu rằng OTP không chỉ có một loại và mức độ an toàn giữa các phương thức có thể khác biệt rất lớn đó. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: "Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn những phương thức khác. Không có giải pháp nào tuyệt đối an toàn".
Trong các hình thức OTP hiện nay, OTP qua SMS được đánh giá là dễ bị khai thác nhất luôn các bạn ạ. Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, kẻ gian có thể sử dụng nhiều thủ đoạn như lừa đảo qua email, đánh cắp SIM hoặc chặn tin nhắn bằng các công cụ chuyên dụng. Đáng lo ngại hơn, ngay cả khi điện thoại vẫn nằm trong tay mình, tin nhắn OTP vẫn có thể bị đọc trộm từ xa thông qua các lỗ hổng của mạng di động nữa đó!
Một rủi ro khác là mình rất khó phát hiện tài khoản bị xâm nhập ngay từ đầu. Kitten cảnh báo: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không hề biết rằng kẻ gian đang nhận được mã đó. Có thể mất tới 45 phút để nhận ra sự cố và khi ấy thì đã quá muộn".
Vậy nên dùng gì thay thế?
Để tăng cường bảo mật, các chuyên gia khuyến nghị sử dụng ứng dụng xác thực (authenticator app) như Google Authenticator hoặc Microsoft Authenticator. Những app này tạo mã dùng một lần (TOTP) trực tiếp trên thiết bị và tự động hết hạn sau 30–60 giây. Do không truyền qua mạng di động, nguy cơ bị đánh cắp cũng giảm đi đáng kể nhé!
Ant Allan cho biết, dù các ứng dụng này vẫn có thể trở thành mục tiêu của các cuộc tấn công theo kiểu "kẻ trung gian", chúng vẫn an toàn hơn nhiều so với OTP qua SMS. Kieten cũng bổ sung rằng nếu điện thoại được bảo vệ bằng mật khẩu mạnh hoặc xác thực sinh trắc học như vân tay, nhận diện khuôn mặt, nguy cơ bị xâm nhập sẽ tiếp tục giảm thêm một mức nữa.
Theo Cedric Thevenet, Phó Chủ tịch kiêm Trưởng bộ phận an ninh mạng tại Capgemini Americas, một lựa chọn bảo mật cao hơn là xác thực thông qua thông báo trên ứng dụng. Với phương thức này, khi đăng nhập, mình không cần nhập mã mà chỉ cần xác nhận thông báo hiển thị trên điện thoại thôi. Cách làm này không phụ thuộc vào thiết bị đăng nhập và có khả năng chống lại nhiều hình thức tấn công hiệu quả hơn đó!
Nhưng mà... vẫn không "perfect" 100% đâu nhé!
Dù vậy, ngay cả giải pháp này cũng không hoàn toàn miễn nhiễm với rủi ro. Hacker có thể thực hiện kiểu tấn công bằng cách gửi liên tục nhiều yêu cầu đăng nhập giả mạo, khiến mình mất cảnh giác và vô tình nhấn "xác nhận", từ đó trao quyền truy cập cho kẻ xấu luôn.
Ngoài hai phương thức trên, một số chuyên gia khuyến nghị mình nên dần làm quen với các giải pháp mới như khóa bảo mật phần cứng (hardware key) hoặc passkeys - công nghệ xác thực không cần mật khẩu đang được nhiều tập đoàn lớn triển khai. Passkeys sử dụng cơ chế mã hóa khóa công khai, giúp loại bỏ nguy cơ bị lừa đảo qua các trang web giả mạo, đồng thời khiến quá trình đăng nhập vừa an toàn vừa thuận tiện hơn nữa!
Kết luận: Hãy nâng cấp bảo mật ngay thôi!
Rõ ràng là OTP qua SMS không còn là lựa chọn tối ưu trong bối cảnh các mối đe dọa mạng ngày càng tinh vi rồi. Dù vẫn phổ biến và dễ sử dụng, mình nên chủ động chuyển sang những biện pháp bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua ứng dụng, khóa bảo mật phần cứng hoặc passkeys.
Các chuyên gia nhấn mạnh rằng không có phương pháp nào tuyệt đối an toàn cả. Tuy nhiên, khi hiểu rõ các rủi ro, áp dụng nhiều lớp bảo mật và luôn cảnh giác trước những chiêu thức lừa đảo ngày càng tinh vi, mình hoàn toàn có thể giảm đáng kể nguy cơ mất tài khoản và tránh được những thiệt hại không đáng có nhé!
Nguồn: kenh14.vn