Những điều đầu tiên đầu tiên: SMS vẫn tốt hơn không có xác thực hai yếu tố ở tất cả!
Mặc dù chúng tôi sẽ loại bỏ trường hợp chống lại SMS ở đây, nhưng điều quan trọng là trước tiên chúng tôi phải làm rõ một điều: Sử dụng SMS tốt hơn là không sử dụng xác thực hai yếu tố.
Khi bạn không sử dụng xác thực hai yếu tố, ai đó chỉ cần mật khẩu của bạn để đăng nhập vào tài khoản của bạn. Khi bạn sử dụng xác thực hai yếu tố với SMS, ai đó sẽ cần cả hai đều có được mật khẩu của bạn và có quyền truy cập vào tin nhắn văn bản của bạn để có quyền truy cập vào tài khoản của bạn. SMS an toàn hơn nhiều so với không có gì cả.
Nếu SMS là lựa chọn duy nhất của bạn, vui lòng sử dụng SMS. Tuy nhiên, nếu bạn muốn tìm hiểu lý do tại sao các chuyên gia bảo mật khuyên bạn nên tránh sử dụng SMS và những gì chúng tôi đề xuất thay vào đó, hãy đọc tiếp.
Hoán đổi SIM cho phép kẻ tấn công lấy cắp số điện thoại của bạn
Dưới đây là cách xác minh SMS hoạt động: Khi bạn cố gắng đăng nhập, dịch vụ sẽ gửi tin nhắn văn bản đến số điện thoại di động mà bạn đã cung cấp trước đó. Bạn nhận được mã trên điện thoại của mình và nhập mã đó để đăng nhập. Mã đó chỉ tốt cho một lần sử dụng duy nhất.
Nếu ai đó biết số điện thoại của bạn và có thể truy cập thông tin cá nhân như bốn chữ số cuối của số an sinh xã hội của bạn - thật không may, điều này dễ tìm thấy nhờ nhiều tập đoàn và cơ quan chính phủ đã rò rỉ dữ liệu khách hàng - họ có thể liên hệ với điện thoại của bạn và chuyển số điện thoại của bạn sang điện thoại mới. Điều này được gọi là "trao đổi SIM" và là quá trình bạn thực hiện tương tự khi bạn mua thiết bị mới và di chuyển số điện thoại của bạn sang thiết bị đó. Người đó nói rằng họ là bạn, cung cấp dữ liệu cá nhân và công ty điện thoại di động của bạn thiết lập điện thoại của họ bằng số điện thoại của bạn. Họ sẽ nhận được mã tin nhắn SMS được gửi đến số điện thoại của bạn trên điện thoại của họ.
Chúng tôi đã thấy các báo cáo về điều này xảy ra ở Vương quốc Anh, nơi những kẻ tấn công đã đánh cắp số điện thoại của nạn nhân và sử dụng nó để truy cập vào tài khoản ngân hàng của nạn nhân. Tiểu bang New York cũng đã cảnh báo về lừa đảo này.
Tại cốt lõi của nó, đây là một cuộc tấn công kỹ thuật xã hội dựa vào việc đánh lừa công ty điện thoại di động của bạn. Nhưng công ty điện thoại di động của bạn không thể cung cấp cho ai đó quyền truy cập vào mã bảo mật của bạn ngay từ đầu!
Tin nhắn SMS có thể bị chặn theo nhiều cách
Những kẻ tấn công cũng đã lạm dụng các vấn đề trong SS7, hệ thống kết nối được sử dụng để chuyển vùng, để chặn các tin nhắn SMS trên mạng và định tuyến chúng ở nơi khác. Có nhiều cách khác có thể bị chặn, bao gồm cả việc sử dụng các tháp điện thoại di động giả. Tin nhắn SMS không được thiết kế để bảo mật và không được sử dụng cho nó.
Nói cách khác, một kẻ tấn công tinh vi với một chút thông tin cá nhân có thể chiếm đoạt số điện thoại của bạn để truy cập vào tài khoản trực tuyến của bạn và sau đó sử dụng các tài khoản đó để cố gắng rút tài khoản ngân hàng của bạn. Đó là lý do tại sao Viện Tiêu chuẩn và Công nghệ Quốc gia không còn khuyến nghị sử dụng tin nhắn SMS để xác thực hai yếu tố nữa.
Giải pháp thay thế: Tạo mã trên thiết bị của bạn
Lược đồ xác thực hai yếu tố không dựa trên SMS là cấp trên, vì công ty điện thoại di động sẽ không thể cấp cho người khác quyền truy cập vào mã của bạn. Tùy chọn phổ biến nhất cho ứng dụng này là một ứng dụng như Google Authenticator. Tuy nhiên, chúng tôi khuyên bạn nên sử dụng Authy, vì mọi thứ Google Authenticator thực hiện và hơn thế nữa.
Các ứng dụng như thế này tạo mã trên thiết bị của bạn. Ngay cả khi kẻ tấn công đã lừa công ty điện thoại di động của bạn chuyển số điện thoại của bạn sang điện thoại của họ, họ sẽ không thể nhận được mã bảo mật của bạn. Dữ liệu cần thiết để tạo các mã đó sẽ vẫn an toàn trên điện thoại của bạn.
Ngoài ra còn có các thẻ phần cứng vật lý mà bạn có thể sử dụng. Các công ty lớn như Google và Dropbox đã triển khai một tiêu chuẩn mới cho mã thông báo xác thực hai yếu tố dựa trên phần cứng có tên là U2F. Đây là tất cả an toàn hơn so với dựa vào công ty điện thoại di động của bạn và mạng điện thoại đã lỗi thời.
Nếu có thể, hãy tránh SMS để xác thực hai yếu tố. Nó tốt hơn là không có gì và có vẻ thuận tiện, nhưng nó thường là lược đồ xác thực hai yếu tố an toàn nhất mà bạn có thể chọn.
Thật không may, một số dịch vụ buộc bạn phải sử dụng SMS. Nếu bạn lo lắng về điều này, bạn có thể tạo số điện thoại Google Voice và cung cấp cho các dịch vụ yêu cầu xác thực qua SMS. Sau đó, bạn có thể đăng nhập vào tài khoản Google - bạn có thể bảo vệ bằng phương pháp xác thực hai yếu tố bảo mật hơn - và xem các thông báo bảo mật trong trang web hoặc ứng dụng Google Voice. Chỉ cần không chuyển tiếp thư từ Google Voice đến số điện thoại di động thực tế của bạn.