Vì sao không nên dùng tin nhắn SMS để xác thực hai yếu tố?

1. Dùng tin nhắn SMS để xác thực hai yếu tố là gì?

Xác thực hai yếu tố (2FA) là một phương pháp bảo mật sử dụng hai hình thức xác thực khác nhau để đảm bảo tính an toàn khi truy cập vào tài khoản hoặc dịch vụ trực tuyến. Một trong các phương thức thường được sử dụng trong 2FA là việc sử dụng tin nhắn SMS để xác thực.

Khi áp dụng 2FA bằng tin nhắn SMS, người dùng sẽ cung cấp thông tin đăng nhập (ví dụ: tên người dùng và mật khẩu) như bình thường. Sau đó, hệ thống sẽ gửi một mã xác thực (thường là một mã số hoặc một liên kết) đến số điện thoại di động đã đăng ký trước đó. Người dùng sau đó nhập mã xác thực này vào trang web hoặc ứng dụng để hoàn tất quá trình đăng nhập.

Phương pháp này tận dụng tính chất bảo mật của tin nhắn SMS và yêu cầu người dùng có trong tay cả thông tin đăng nhập và điện thoại di động để đăng nhập thành công. Tuy nhiên, cần lưu ý rằng việc sử dụng tin nhắn SMS không phải lúc nào cũng an toàn tuyệt đối, vì có thể bị tấn công qua các kỹ thuật như “SIM swapping” hoặc các hình thức tấn công khác.

Mặc dù vẫn được sử dụng phổ biến, một số dịch vụ và ứng dụng đã chuyển sang các phương thức xác thực khác, như ứng dụng xác thực (authenticator apps), mã OTP (one-time password), hoặc sử dụng công nghệ mã hóa mã hóa chìa khóa công khai (public key cryptography) để tăng cường tính bảo mật trong quá trình xác thực hai yếu tố.

2. Vì sao không nên dùng tin nhắn SMS để xác thực hai yếu tố?

2.1. Việc đổi sim sẽ giúp kẻ tấn công có được số điện thoại của bạn: 

Khi áp dụng phương pháp xác thực bằng tin nhắn SMS, quy trình thường diễn ra như sau: Khi bạn cố gắng đăng nhập vào tài khoản, hệ thống sẽ gửi một tin nhắn văn bản chứa mã xác thực tới số điện thoại di động mà bạn đã đăng ký trước đó. Sau khi nhận được tin nhắn này, bạn sẽ nhập mã code từ tin nhắn vào trang đăng nhập để hoàn tất quá trình đăng nhập.

Mặc dù phương pháp này có vẻ an toàn, nhưng cần lưu ý rằng nó còn có thể bị lợi dụng bởi kẻ tấn công thông qua việc thực hiện “đổi sim” (SIM swap). Để hiểu rõ hơn, nếu kẻ tấn công biết được số điện thoại của bạn cùng với một số thông tin cá nhân như 4 số cuối của số điện thoại hoặc các thông tin khác mà bạn đã sử dụng để bảo mật trên các dịch vụ mạng xã hội, họ có thể sử dụng thông tin này để liên hệ với nhà cung cấp dịch vụ điện thoại của bạn và yêu cầu đổi sim. Quá trình đổi sim tương tự việc bạn mua điện thoại mới và chuyển số điện thoại sang thiết bị mới.

Kẻ tấn công sẽ làm mình giả làm bạn, cung cấp các thông tin cá nhân và thuyết phục nhà cung cấp điện thoại rằng họ cần đổi sim vì lí do nào đó. Khi nhà cung cấp điện thoại thực hiện việc đổi sim theo yêu cầu này, toàn bộ thông tin xác thực sẽ được gửi tới số điện thoại mới của kẻ tấn công. Như vậy, họ có thể nhận mã xác thực và tiếp tục truy cập vào tài khoản của bạn.

Trường hợp tương tự đã xảy ra ở Anh và New York khi kẻ tấn công đánh cắp số điện thoại của người dùng và sử dụng nó để truy cập vào tài khoản ngân hàng hoặc dịch vụ trực tuyến khác. Điều quan trọng là thấy rằng đây là một hình thức tấn công lừa đảo thông qua việc lừa nhà cung cấp điện thoại.

2.2. Tin nhắn SMS có thể bị can thiệp theo nhiều cách:

Tin nhắn SMS có thể bị can thiệp theo nhiều cách khác nhau, dẫn đến nguy cơ bị đánh cắp thông tin. Thực tế cho thấy, việc đọc lén tin nhắn SMS không phải là việc khó khăn. Đặc biệt là ở các quốc gia có chế độ chính trị nghiêm ngặt, các chính khách và nhà báo thường phải cẩn trọng với việc truyền thông qua tin nhắn SMS, vì chính phủ có thể dễ dàng đọc được nội dung của chúng. Điển hình, ở Iran, đã có trường hợp các hacker đã xâm nhập vào các tài khoản Telegram thông qua việc can thiệp vào tin nhắn SMS.

Kẻ tấn công có thể tận dụng hệ thống SS7 – một hệ thống kết nối roaming – để đọc tin nhắn SMS từ xa, ngay tại bất kỳ nơi nào. Hơn nữa, có nhiều cách khác mà tin nhắn SMS có thể bị rò rỉ thông tin, bao gồm việc sử dụng các trạm thu phát sóng giả để giả mạo tín hiệu. Do tin nhắn SMS không được thiết kế với mục đích bảo mật, việc tin tưởng hoàn toàn vào tính an toàn của chúng cũng là điều không nên.

Nói cách khác, nguy cơ là có thể một hacker với kiến thức về kỹ thuật và một ít thông tin có thể xâm nhập vào điện thoại của bạn và truy cập vào các tài khoản trực tuyến của bạn. Điều này làm nổi lên vấn đề tại sao Viện tiêu chuẩn và kỹ thuật quốc gia Hoa Kỳ không còn khuyến nghị sử dụng tin nhắn SMS để xác thực hai yếu tố trong việc bảo mật thông tin cá nhân.

2.3. Lý do khác:

Ngoài những lý do đã đề cập ở trên, còn một số nguyên nhân khác mà người ta không nên sử dụng tin nhắn SMS để xác thực hai yếu tố trong việc bảo mật thông tin:

– Phishing và Social Engineering: Tin nhắn SMS có thể bị kẻ tấn công sử dụng trong các cuộc tấn công lừa đảo và kỹ thuật xã hội, hay còn gọi là “phishing”. Kẻ tấn công có thể gửi tin nhắn giả mạo từ một nguồn tin cậy, yêu cầu người dùng cung cấp thông tin nhạy cảm như mã xác thực. Nếu người dùng không cảnh giác, họ có thể rơi vào bẫy của kẻ tấn công.

– SIM Swapping: Kỹ thuật SIM swapping, hay còn gọi là “đổi sim”, là một hình thức tấn công phổ biến mà kẻ tấn công lừa công ty điện thoại chuyển số điện thoại của người dùng sang một SIM khác mà họ kiểm soát. Khi đó, tất cả tin nhắn SMS và cuộc gọi xác thực đều sẽ được chuyển hướng tới số điện thoại của kẻ tấn công.

– Khả năng Bị Đánh Cắp: Điện thoại có thể bị mất hoặc đánh cắp, và nếu tin nhắn SMS chứa mã xác thực nằm trong điện thoại, kẻ tấn công có thể dễ dàng truy cập vào tài khoản của người dùng.

– Bảo mật Thấp: Tin nhắn SMS không được coi là phương pháp bảo mật cao, do nó dễ dàng bị đánh cắp, can thiệp và giả mạo. Các phương pháp khác như ứng dụng xác thực hai yếu tố (2FA) hoặc mã OTP (One-Time Password) được tạo ra độc lập và có tính bảo mật cao hơn.

Tóm lại, tin nhắn SMS có nhiều hạn chế và rủi ro trong việc xác thực hai yếu tố. Việc sử dụng các phương pháp bảo mật hiện đại và an toàn hơn như ứng dụng xác thực hai yếu tố (2FA), mã OTP hoặc thiết bị bảo mật vật lý là tốt hơn để đảm bảo an toàn thông tin cá nhân.

3. Lựa chọn thay thế:

Trong việc tăng cường bảo mật thông tin cá nhân, lựa chọn thay thế cho việc xác thực hai yếu tố bằng tin nhắn SMS đã trở nên hết sức cần thiết. Điều này bắt nguồn từ những rủi ro và hạn chế của phương pháp truyền thống này, khiến nó trở nên kém an toàn trong bối cảnh môi trường kỹ thuật số đang ngày càng phức tạp hơn.

Vấn đề chính khi sử dụng xác thực hai yếu tố qua SMS nằm ở khả năng bị can thiệp và đánh cắp. Việc kẻ tấn công có thể có được số điện thoại của bạn và truy cập vào tin nhắn là một thách thức lớn. Điều này đã được chứng minh trong những trường hợp ở các quốc gia có chính trị hà khắc, khi chính phủ có khả năng đọc được các tin nhắn SMS. Một ví dụ đáng chú ý là ở Iran, khi những kẻ tấn công đã thâm nhập vào tài khoản Telegram của người dùng thông qua việc xâm nhập qua tin nhắn SMS.

Trong tình huống này, sự xuất hiện của các ứng dụng xác thực hai yếu tố như Google Authenticator hoặc Authy đã tạo ra một phương pháp an toàn hơn. Thay vì gửi mã xác thực qua tin nhắn SMS, các ứng dụng này tạo ra mã ngay trên thiết bị của người dùng. Ngay cả khi số điện thoại đã bị đổi, kẻ tấn công cũng không thể truy cập vào mã này. Điều này đặc biệt quan trọng trong việc ngăn chặn tấn công SIM swapping, khi kẻ tấn công đổi số điện thoại của bạn và nhận tất cả các tin nhắn SMS.

Thêm vào đó, các ứng dụng xác thực hai yếu tố không chỉ tạo mã mà còn tạo một tầng bảo mật bổ sung. Ví dụ, Google, Twitter và Microsoft cho phép người dùng xác thực trực tiếp từ ứng dụng trên điện thoại mà không cần nhập mã vào các trang web. Điều này giúp đảm bảo rằng người dùng có thể truy cập một cách an toàn và tiện lợi.

Ngoài ra, có sự phát triển của các thiết bị token xác thực hai yếu tố như chuẩn U2F được sử dụng bởi các công ty lớn như Google và Dropbox. Những thiết bị này đảm bảo mức độ bảo mật cao hơn so với việc phụ thuộc vào các nhà cung cấp dịch vụ di động hay mạng điện thoại truyền thống, giúp ngăn chặn các rủi ro tiềm ẩn từ những lỗ hổng bảo mật.

Tóm lại, lựa chọn thay thế bằng cách tạo đoạn mã xác thực trên thiết bị của người dùng đang trở thành xu hướng phổ biến hơn bao giờ hết. Việc sử dụng các ứng dụng xác thực hai yếu tố và thiết bị token không chỉ giúp bảo vệ thông tin cá nhân một cách an toàn hơn, mà còn đảm bảo tính tiện lợi và hiệu quả trong việc xác thực đối với người dùng.