Tại Sao Tôi Không Sử Dụng SMS Để Xác Thực Hai Yếu Tố Và Giải Pháp Thay Thế

Giới Thiệu

Xác thực hai yếu tố (2FA) là một lớp bảo mật quan trọng cho các tài khoản trực tuyến của bạn, nhưng không phải tất cả các phương pháp đều an toàn như nhau. Nhiều người dựa vào xác thực hai yếu tố qua tin nhắn SMS, cho rằng đây là một lựa chọn an toàn. Tuy nhiên, SMS lại có nhiều điểm yếu. Bài viết này sẽ giải thích lý do tôi đã ngừng sử dụng SMS cho 2FA và giới thiệu giải pháp thay thế mà tôi đang sử dụng.

Nguy Cơ Từ Việc Chuyển SIM

Một trong những rủi ro đáng lo ngại nhất khi sử dụng SMS cho 2FA là việc chuyển SIM, kỹ thuật mà kẻ tấn công lừa nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang một thẻ SIM mới. Khi kiểm soát được số điện thoại của bạn, chúng có thể đánh chặn bất kỳ tin nhắn SMS nào được gửi đến.

Cách thức hoạt động như sau: kẻ tấn công liên hệ với nhà cung cấp dịch vụ di động của bạn, giả danh bạn. Sử dụng các thông tin cá nhân bị đánh cắp như địa chỉ hoặc bốn chữ số cuối của số an sinh xã hội, chúng thuyết phục nhà cung cấp chuyển số điện thoại của bạn sang thẻ SIM của chúng. Khi quá trình chuyển đổi hoàn tất, kẻ tấn công có thể đánh chặn các tin nhắn văn bản gửi đến số của bạn, bao gồm cả mã xác thực hai yếu tố dùng để bảo vệ tài khoản của bạn.

Thiệt hại không dừng lại ở đó. Nhiều người trong chúng ta liên kết số điện thoại của mình với nhiều tài khoản, từ email đến mạng xã hội và ứng dụng ngân hàng. Một cuộc tấn công chuyển SIM thành công có thể cấp cho kẻ tấn công quyền truy cập vào nhiều tài khoản liên kết với số điện thoại của bạn. Bạn có thể tham khảo hướng dẫn trước đây của chúng tôi về việc chuyển SIM là gì và cách bảo vệ bản thân để tránh khỏi trò lừa đảo ngày càng phổ biến này.

SMS Có Thể Bị Đánh Chặn

Tin nhắn smishing với biểu tượng phong bì bên cạnh laptop

Ngay cả khi bạn tránh được việc chuyển SIM, các tin nhắn SMS bản thân chúng cũng không an toàn. Chúng đi qua các mạng có thể dễ bị tấn công. Kẻ tấn công có thể khai thác các điểm yếu trong Hệ thống Tín hiệu Số 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà cung cấp dịch vụ định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác SS7, kẻ tấn công có thể đánh chặn tin nhắn SMS của bạn mà không cần truy cập vào điện thoại vật lý của bạn.

Đây không chỉ là lý thuyết; việc hack SIM là một vấn đề đã được ghi nhận rõ ràng. Các tội phạm mạng và thậm chí một số nhóm được nhà nước tài trợ đã sử dụng các lỗ hổng SS7 để theo dõi truyền thông và đánh cắp thông tin nhạy cảm. Vì SMS không được mã hóa, nội dung tin nhắn, bao gồm cả mã một lần, sẽ bị lộ trong quá trình truyền tải.

Một cách khác mà tin nhắn có thể bị xâm phạm là thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn. Những chương trình này có thể theo dõi các tin nhắn SMS đến và chuyển tiếp mã xác thực hai yếu tố cho kẻ tấn công mà không cần bạn biết.

SMS Phụ Thuộc Vào Số Điện Thoại Của Bạn

Một người đàn ông đang cố gắng nhập số điện thoại trên iPhone

Một nhược điểm lớn khác của xác thực hai yếu tố qua SMS là sự phụ thuộc vào số điện thoại của bạn. Khả năng nhận mã của bạn phụ thuộc trực tiếp vào dịch vụ di động của bạn. Nếu bạn ở trong khu vực có sóng yếu, xác thực hai yếu tố qua SMS trở nên hoàn toàn vô dụng, ngay cả khi bạn có Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.

Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong những tình huống cần truy cập vào tài khoản của mình nhưng không thể nhận được mã. Dù đang du lịch ở một vùng xa xôi hay chỉ đơn giản là trong một tòa nhà có sóng yếu, hạn chế này làm cho SMS kém đáng tin cậy hơn so với các lựa chọn khác.

Giải Pháp Thay Thế: Ứng Dụng Xác Thực

Người đàn ông nhập mã xác thực hai yếu tố trên smartphone với logo Google Authenticator ở phía trước

Thay vì dựa vào SMS cho 2FA, tôi đã chuyển sang sử dụng ứng dụng xác thực hai yếu tố. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo ra mật khẩu một lần dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, cung cấp một giải pháp an toàn và đáng tin cậy hơn so với SMS.

Ưu điểm đầu tiên của các ứng dụng xác thực là bảo mật. Không giống như SMS, các ứng dụng này tạo ra mã trực tiếp trên điện thoại của bạn, có nghĩa là chúng không được truyền qua các mạng có thể bị đánh chặn hoặc khai thác. Chúng cũng được bảo vệ bởi các lớp bảo mật bổ sung—nhiều ứng dụng yêu cầu mã truy cập, dấu vân tay hoặc quét khuôn mặt để truy cập vào các mã.

Lý do khác khiến tôi ưa thích các ứng dụng xác thực là chức năng ngoại tuyến của chúng. Vì các mã được tạo ra trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Dù bạn đang ở trong một khu vực không có dịch vụ hay chỉ đơn giản là trong nhà có sóng yếu, bạn vẫn có thể truy cập vào các mã của mình miễn là bạn có thiết bị.

Tôi ưa thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp sao lưu đám mây, giúp dễ dàng khôi phục các tài khoản của tôi nếu mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ tôi mới có thể truy cập chúng. Google Authenticator cũng là một lựa chọn phổ biến. Cả hai đều miễn phí, được hỗ trợ rộng rãi và dễ thiết lập.

Việc sử dụng ứng dụng xác thực rất đơn giản. Sau khi thiết lập, thường là bằng cách quét mã QR do trang web cung cấp trong quá trình thiết lập 2FA, bạn chỉ cần mở ứng dụng để truy cập mã mỗi khi đăng nhập. Các mã này được làm mới mỗi 30 giây, vì vậy ngay cả khi ai đó đánh cắp được một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.