Tin nhắn SMS không còn đủ bảo mật cho xác thực 2 yếu tố?

Tin nhắn SMS từng được coi là phương pháp tiện lợi, dễ áp dụng, bởi hầu hết mọi người đều có điện thoại di động. Chỉ cần nhập số điện thoại, khi đăng nhập, bạn sẽ nhận được mã xác thực gửi qua SMS. Tuy nhiên, sự tiện lợi này đi kèm với các rủi ro bảo mật.

Một trong những nguy cơ hàng đầu là tấn công hoán đổi SIM (SIM swapping). Kẻ xấu có thể mạo danh chủ thuê bao, cung cấp thông tin cá nhân bị đánh cắp cho nhà mạng. Sau đó, nhà mạng vô tình chuyển số điện thoại đó sang thẻ SIM mà tin tặc kiểm soát. Ngay khi thành công, tin tặc nhận được mọi tin nhắn SMS gửi tới số này, bao gồm cả mã 2FA.

Với phương thức này, không cần chiếm được điện thoại của nạn nhân, tin tặc vẫn có thể truy cập các tài khoản quan trọng, từ email, mạng xã hội đến tài khoản ngân hàng, chỉ dựa trên mã xác thực qua SMS.

Không chỉ vậy, SMS còn dễ bị chặn nghe lén. Điều này có liên quan đến lỗ hổng trong hệ thống tín hiệu viễn thông toàn cầu (SS7). SS7 cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn, song lại tiềm ẩn điểm yếu. Tin tặc có thể khai thác SS7 để chặn, chuyển tiếp tin nhắn SMS đến thiết bị của chúng. Thao tác này không yêu cầu quyền truy cập vật lý vào điện thoại nạn nhân. Do SMS không được mã hóa, nội dung tin nhắn, bao gồm mã xác thực bị lộ hoàn toàn trong quá trình truyền.

Thêm vào đó, tin nhắn SMS phụ thuộc hoàn toàn vào sóng di động. Nếu bạn đang ở khu vực sóng yếu, đi du lịch tới vùng sâu vùng xa, hoặc ở trong tòa nhà kín, không thể nhận SMS, thì 2FA qua SMS trở nên vô dụng. Ngay cả khi có kết nối Wi-Fi, bạn vẫn không nhận được mã xác thực vì SMS đòi hỏi hạ tầng di động truyền thống. Điều này khiến SMS trở nên thiếu linh hoạt và kém tin cậy.

Hơn nữa, tin nhắn SMS có thể bị xâm phạm bởi phần mềm độc hại hoặc gián điệp cài trong thiết bị. Các ứng dụng độc hại có khả năng theo dõi tin nhắn đến, sao chép mã 2FA và gửi đi mà người dùng không hề hay biết. Trong bối cảnh nguy cơ tấn công ngày càng tinh vi, SMS tỏ ra quá mong manh.

Thay vì dựa vào SMS, việc chuyển sang ứng dụng xác thực là một bước đi khôn ngoan. Các ứng dụng như Google Authenticator, Microsoft Authenticator, Authy… tạo ra mã xác thực một lần dựa trên thời gian (TOTP) ngay trên chính thiết bị của bạn. Điều quan trọng là các mã này được tạo cục bộ, không phải thông qua mạng di động, giúp hạn chế triệt để nguy cơ bị chặn, nghe lén hay hoán đổi SIM.

Bảo mật của ứng dụng xác thực vượt trội nhờ không truyền mã qua kênh SMS dễ bị khai thác. Mã được sinh ra ngay trên thiết bị, và nhiều ứng dụng còn cho phép bảo vệ bằng mật mã, vân tay hay nhận diện khuôn mặt. Mã xác thực cũng làm mới liên tục sau mỗi khoảng 30 giây, nên ngay cả khi kẻ xấu chiếm được một mã, mã đó nhanh chóng hết hạn, trở nên vô dụng.

Ưu thế khác của ứng dụng xác thực là tính độc lập với sóng di động. Vì mã sinh ra nội bộ, bạn không cần kết nối Internet hay tín hiệu điện thoại. Dù ở vùng sâu, vùng xa hay tòa nhà kín, chỉ cần thiết bị vẫn hoạt động, mã 2FA luôn sẵn sàng. Điều này đặc biệt hữu ích với người hay di chuyển, du lịch, hoặc làm việc ở môi trường sóng yếu.

Bên cạnh đó, một số ứng dụng xác thực như Authy còn hỗ trợ sao lưu mã lên đám mây dưới dạng mã hóa, giúp bạn dễ dàng khôi phục 2FA nếu mất hoặc đổi thiết bị. Với tính năng này, bạn không còn lo đánh mất quyền truy cập vào tài khoản do làm rơi điện thoại. Authy bảo mật bản sao lưu bằng mật mã riêng, đảm bảo chỉ bạn mới truy cập được.

Thiết lập ứng dụng xác thực thường bắt đầu bằng cách tải ứng dụng về điện thoại, sau đó quét mã QR do trang web hoặc dịch vụ cung cấp khi bật 2FA. Mỗi tài khoản sẽ được lưu dưới dạng một mục riêng trong ứng dụng, và mỗi lần đăng nhập, bạn chỉ cần mở ứng dụng, lấy mã và nhập vào trang web. Quá trình này nhanh gọn, không phức tạp hơn nhiều so với việc nhập mã từ SMS, nhưng lại an toàn hơn rất nhiều.

Xác thực hai yếu tố là chìa khóa tăng cường bảo mật cho tài khoản trực tuyến, nhưng cách triển khai 2FA mới là yếu tố quyết định. 2FA dựa trên SMS dù tiện lợi nhưng chứa đầy lỗ hổng như bị hoán đổi SIM, chặn nghe lén qua SS7, phụ thuộc sóng di động và nguy cơ bị theo dõi bởi phần mềm độc hại. Trong bối cảnh tội phạm mạng ngày càng tinh vi, đặt niềm tin vào SMS không còn là lựa chọn khôn ngoan.

Xem thêm:

• "Ớn lạnh" với robot cắt tóc cho người do Youtuber chế tạo, nhưng không ai dám thử!
• Cáp sạc Type-C bị tin tặc "lợi dụng" trở thành công cụ đánh cắp thông tin
• Các bài viết chuyên mục Khám phá

iPhone được nhiều người dùng tin tưởng về khả năng bảo mật và hiện CellphoneS đang bán rất nhiều mẫu iPhone với giá hấp dẫn: