Bảo mật 2 bước qua tin nhắn SMS sắp hết thời

Cập nhật : 07 - 05 - 2020

Việc mã xác thực có thể bị lộ qua màn hình khoá smartphone, cũng như các lỗ hổng bảo mật cho phép hacker theo dõi cuộc gọi và tin nhắn của người dùng được cho là nguyên nhân khiến giải pháp bảo mật này trở nên không an toàn.

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), cơ quan thiết lập các hướng dẫn và quy tắc trong các vấn đề về mã hoá và bảo mật mới đây vừa khuyến khích người dùng không nên dùng công nghệ xác thực 2 bước bằng tin nhắn SMS. Trong bản dự thảo mới nhất của Hướng dẫn xác thực số (Digital Authentication Guideline), Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) nói rằng "việc xác thực qua nhiều kênh (out of band authentication) bằng SMS sẽ không còn hiệu lực và sẽ không còn được cho phép trong các bản phát hành sắp tới của hướng dẫn này". Out of band authentication là hình thức dùng thiết bị thứ 2 để xác minh danh tính của bạn.

Bảo mật thông tin


NIST không nêu rõ vì sao cơ quan này lại muốn khai tử xác thực 2 bước qua SMS, tuy nhiên, có một số thực tế cho thấy quyết định này là có cơ sở. Hầu hết điện thoại người dùng hiển thị tin nhắn ngay ở màn hình khoá, có nghĩa là hacker có thể ăn cắp được đoạn mã xác thực chỉ cần bằng cách nhìn vào màn hình smartphone của nạn nhân. Những phát hiện của các chuyên gia bảo mật thời gian qua cho thấy, hàng loạt lỗ hổng bảo mật hiện nay cho phép hacker có thể theo dõi cuộc gọi, tin nhắn của người dùng, bởi vậy, xác thực qua SMS không thể đảm bảo an toàn tuyệt đối.

Các hướng dẫn của NIST không có ràng buộc pháp lý, tuy nhiên, nhiều cơ quan chính phủ khác của Mỹ, cũng như các tên tuổi trong ngành công nghệ từ trước tới nay luôn "trung thành" với những tiêu chuẩn mà NIST đề ra. Bởi vậy, câu hỏi đặt ra hiện tại là giải pháp nào sẽ được sử dụng để thay thế SMS? 

Hiện nay, phương pháp phổ biến nhất là dùng các app chuyên dụng chuyên cung cấp mã xác thực 2 yếu tố được làm mới 30 giây/lần. Google Authenticator, Authy, Duo và nhiều ứng dụng khác hiện nay đều có chức năng này - dù chúng có chút khác biệt nhau trong cách thực hiện. Nếu làm việc tại các doanh nghiệp lớn, nhiều khả năng bạn  đang sử dụng các phần cứng hoạt động trên nguyên tắc tương tự, như thiết bị xác thực RSA SecurID.

Hiện nay vẫn còn rất nhiều website và dịch vụ chỉ cho phép xác thực 2 lớp qua SMS, trong khi các công ty như Facebook hiện cho làm điều này qua cả SMS lẫn qua ứng dụng. Tệ nhất là những dịch vụ hiện không hề cung cấp bất kỳ hình thức xác thực 2 bước nào cho người sử dụng. Instagram là một ví dụ. Instagram rất chậm chạp trong việc triển khai công nghệ mới - khi chỉ mới bắt đầu áp dụng công nghệ bảo mật 2 lớp từ năm nay, và cho tới thời điểm hiện tại, việc áp dụng vẫn chưa hoàn tất. 

 

google-site-verification: google6f3010c2fe10cd5a.html