Xác thực hai yếu tố (2FA) là một lớp bảo mật thiết yếu giúp bảo vệ các tài khoản trực tuyến của bạn. Tuy nhiên, không phải phương pháp 2FA nào cũng có mức độ an toàn như nhau. Nhiều người vẫn tin dùng 2FA dựa trên tin nhắn SMS, coi đó là một lựa chọn an toàn. Đáng tiếc, SMS còn lâu mới đạt đến mức độ hoàn hảo. Dưới đây là những lý do cốt lõi tại sao thuthuatmobile.net không còn khuyến nghị sử dụng 2FA qua SMS và những gì bạn nên dùng thay thế.
Rủi Ro SIM Swapping – Kẻ Tấn Công Chiếm Đoạt Số Điện Thoại Của Bạn
Một trong những rủi ro đáng báo động nhất khi sử dụng SMS cho 2FA là tấn công SIM swapping (đổi SIM). Đây là kỹ thuật mà kẻ tấn công lừa nhà mạng di động của bạn chuyển số điện thoại của bạn sang một SIM card mới. Một khi chúng kiểm soát được số điện thoại của bạn, chúng có thể dễ dàng chặn bất kỳ tin nhắn SMS nào gửi đến số đó, bao gồm cả mã xác thực 2FA.
Cơ chế hoạt động của SIM swapping như sau: kẻ tấn công liên hệ với nhà mạng di động của bạn, mạo danh là bạn. Sử dụng các thông tin cá nhân đánh cắp được – như địa chỉ, ngày sinh, hoặc bốn số cuối của Chứng minh thư/Căn cước công dân – chúng thuyết phục nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM của chúng. Ngay khi việc chuyển đổi này hoàn tất, kẻ tấn công sẽ chặn các tin nhắn văn bản gửi đến số của bạn, bao gồm cả các mã OTP (One-Time Password) được gửi để bảo vệ tài khoản của bạn.
Hậu quả của một vụ SIM swap thành công không chỉ dừng lại ở đó. Rất nhiều tài khoản trực tuyến của chúng ta, từ email, mạng xã hội cho đến các ứng dụng ngân hàng, đều được liên kết với số điện thoại. Một vụ SIM swap thành công có thể cấp quyền truy cập cho kẻ tấn công vào nhiều tài khoản đã liên kết với số điện thoại của bạn, gây ra những thiệt hại nghiêm trọng về tài chính và thông tin cá nhân.
Tin Nhắn SMS Dễ Bị Đánh Chặn Và Không Được Mã Hóa
Kẻ lừa đảo smishing và tấn công phishing qua tin nhắn SMS
Ngay cả khi bạn may mắn tránh được SIM swapping, bản thân tin nhắn SMS cũng không hề an toàn. Chúng truyền qua các mạng lưới có thể dễ bị tổn thương trước các cuộc tấn công đánh chặn. Tin tặc có thể khai thác các điểm yếu trong Signaling System No. 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác lỗ hổng SS7, kẻ tấn công có thể chặn tin nhắn SMS của bạn mà không cần phải truy cập vật lý vào điện thoại của bạn.
Đây không chỉ là một lý thuyết suông; việc tấn công SIM đã được ghi nhận rộng rãi. Các nhóm tội phạm mạng và thậm chí cả một số nhóm do nhà nước bảo trợ đã sử dụng các lỗ hổng SS7 để theo dõi liên lạc và đánh cắp thông tin nhạy cảm. Vì SMS không được mã hóa, nội dung tin nhắn, bao gồm cả mã OTP, bị lộ trong quá trình truyền tải.
Một cách khác mà tin nhắn SMS có thể bị lộ là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Các chương trình này có khả năng theo dõi tin nhắn SMS đến của bạn và chuyển tiếp các mã 2FA cho kẻ tấn công mà bạn không hề hay biết.
SMS Phụ Thuộc Hoàn Toàn Vào Sóng Di Động
Người đàn ông cố gắng nhập số điện thoại trên iPhone
Một nhược điểm đáng kể khác của 2FA dựa trên SMS là sự phụ thuộc của nó vào số điện thoại và tín hiệu di động. Khả năng nhận mã của bạn gắn liền trực tiếp với dịch vụ di động. Nếu bạn ở trong khu vực có sóng yếu, 2FA qua SMS sẽ trở nên hoàn toàn vô dụng, ngay cả khi bạn có Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.
Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong những tình huống cần truy cập tài khoản nhưng không thể nhận được mã. Dù bạn đang đi du lịch ở một vùng xa xôi hay đơn giản chỉ ở trong một tòa nhà có sóng kém, hạn chế này khiến SMS kém tin cậy hơn so với các giải pháp thay thế.
Giải Pháp Thay Thế Tối Ưu: Ứng Dụng Xác Thực (Authenticator Apps)
Người đàn ông nhập mã xác thực hai yếu tố trên điện thoại thông minh với logo Google Authenticator
Thay vì dựa vào SMS cho 2FA, thuthuatmobile.net khuyến nghị chuyển sang sử dụng các ứng dụng xác thực (authenticator apps). Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo ra các mật khẩu dùng một lần dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, mang lại một giải pháp thay thế an toàn và đáng tin cậy hơn nhiều so với SMS.
Ưu điểm lớn đầu tiên của các ứng dụng xác thực là tính bảo mật. Không giống như SMS, các ứng dụng này tạo mã cục bộ trên điện thoại của bạn, nghĩa là chúng không được truyền qua các mạng có thể bị đánh chặn hoặc khai thác. Chúng còn được bảo vệ bởi các lớp bảo mật bổ sung – nhiều ứng dụng yêu cầu mật khẩu, dấu vân tay hoặc quét khuôn mặt để truy cập mã.
Một lý do khác khiến các ứng dụng xác thực được ưu tiên là chức năng ngoại tuyến của chúng. Vì các mã được tạo trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Dù bạn ở trong một khu vực hẻo lánh không có dịch vụ hay đơn giản là trong nhà với sóng kém, bạn vẫn có thể truy cập mã của mình miễn là bạn có thiết bị.
Tại thuthuatmobile.net, chúng tôi thường khuyên dùng Authy hơn các ứng dụng xác thực khác vì nó cung cấp tính năng sao lưu đám mây, giúp bạn dễ dàng khôi phục tài khoản nếu chẳng may bị mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ bạn mới có thể truy cập chúng. Google Authenticator cũng là một lựa chọn phổ biến và tốt. Cả hai tùy chọn đều miễn phí, được hỗ trợ rộng rãi và dễ dàng thiết lập.
Sử dụng ứng dụng xác thực rất đơn giản. Sau khi bạn đã thiết lập nó, thường bằng cách quét mã QR do trang web cung cấp trong quá trình thiết lập 2FA, bạn chỉ cần mở ứng dụng để truy cập mã mỗi khi đăng nhập. Các mã này làm mới sau mỗi 30 giây, vì vậy ngay cả khi ai đó cố gắng đánh cắp một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.
Xác thực hai yếu tố là một yếu tố cần thiết để giữ an toàn cho tài khoản của bạn, nhưng phương pháp bạn sử dụng thực sự quan trọng. Mặc dù 2FA dựa trên SMS có vẻ tiện lợi, nó tiềm ẩn nhiều lỗ hổng – từ các vụ SIM swapping đến các phương pháp đánh chặn và thậm chí cả các vấn đề thực tế như sóng di động kém. Những rủi ro này khiến SMS trở thành một lớp bảo vệ không đáng tin cậy cho an ninh trực tuyến của bạn. Hãy chuyển sang sử dụng ứng dụng xác thực để tăng cường bảo mật cho tài khoản của bạn ngay hôm nay!
