Hình thức nhận mã xác thực bằng tin nhắn SMS có thể sẽ trở thành dĩ vãng bởi mới đây, một tổ chức liên bang Mỹ đã đề xuất loại bỏ loại hình bảo mật này vì nhiều rủi ro. Cụ thể là trong bảng soạn thảo mới nhất về Các nguyên tắc xác thực kỹ thuật số được Viện công nghệ và các tiêu chuẩn quốc gia (NIST) công bố hôm thứ 2 vừa qua đã cảnh báo rằng các tin nhắn SMS có thể bị can thiệp hoặc chuyển hướng khiến chúng rất dễ bị hack.
Rất nhiều công ty trong đó bao gồm Facebook, Twitter và Google cũng như nhiều ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực qua số điện thoại nhằm bổ sung một lớp bảo mật cho tài khoản người dùng.
Cách thức hoạt động đơn giản là để truy cập tài khoản, người dùng không chỉ cần phải nhập mật khẩu mà còn phải nhập một mã bí mật được công ty phát hành dịch vụ gởi đến dưới dạng tin nhắn văn bản. Mã này chỉ có giá trị một lần và được gởi đến số điện thoại người dùng đã đăng ký nhằm đảo bảo không ai có thể đọc được mã.
Tuy nhiên đó là về lý thuyết, các hacker vẫn có thể tìm ra nhiều cách thức để đánh lừa hệ thống bảo mật. Trước đây, hacker thường sử dụng malware để lây nhiễm trên thiết bị động, sau đó bí mật chuyển tiếp các tin nhắn SMS đến một thiết bị khác. Một hình thức hack đơn giản hơn là giả mạo nạn nhân. Hacker sẽ gọi đến công ty cung cấp dịch vụ và yêu cầu họ gởi tin nhắn SMS đến một số điện thoại khác.
NIST cũng đề cập đến việc nhiều số điện thoại được đăng ký với nhiều dịch vụ phát hành dưới dạng phần mềm, chẳng hạn như gọi VoIP, rất dễ bị hack khiến các tin nhắn chứa mã xã thực càng có nguy cơ bị lộ. Trước những rủi ro bảo mật, NIST đã khuyến cáo các công ty công nghệ nên tìm kiếm các giải pháp thay thế. Một trong số đó là sử dụng một ứng dụng tạo mã xác thực dùng một lần.
Hiện tại, Google đã cung cấp ứng dụng Authenticator cho phép người dùng lấy mã xác thực trực tiếp trên điện thoại mà không cần đến mạng di động. Microsoft cũng có ứng dụng mang tên gọi tương tự để giúp người dùng bảo vệ tài khoảng Microsoft Account.
Vẫn chưa rõ các công ty công nghệ sẽ phản hồi trước đề xuất của NIST như thế nào nhưng các nhà cung cấp giải pháp bảo mật đã đưa ra nhiều phương thức xác thực an toàn hơn, chẳng hạn như nhận dạng sinh trắc qua dấu vân tay, mống mắt, token bằng phần cứng ...
Keith Graham - giám đốc công nghệ tại SecureAuth đánh giá cao đề xuất của NIST. SecureAuth là công ty chuyên cung cấp giải pháp xác thực dựa trên nhiều yếu tố và Graham cho biết các hacker đang ráo riết tìm cách tấn công mã bảo mật chứa tron tin nhắn SMS. Anh khẳng định rằng: "Phương pháp bảo mật 2 lớp không còn đủ an toàn nữa".
Tuy nhiên, xác thực thông qua tin nhắn SMS vẫn là sự lựa chọn phổ biến đối với nhiều công ty muốn bảo vệ tài khoản người dùng của mình. Kevin Panzavecchia - giám đốc công nghệ của HAUD cho biết: "Không có nền tảng nào khác có được độ bao phủ lớn như tin nhắn SMS," và anh cho rằng những lỗ hổng của hệ thống này có thể được khắc phục nếu sử dụng tường lửa trên mạng di động, lọc bỏ những nguy cơ tấn công.
Rất nhiều công ty trong đó bao gồm Facebook, Twitter và Google cũng như nhiều ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực qua số điện thoại nhằm bổ sung một lớp bảo mật cho tài khoản người dùng.
Cách thức hoạt động đơn giản là để truy cập tài khoản, người dùng không chỉ cần phải nhập mật khẩu mà còn phải nhập một mã bí mật được công ty phát hành dịch vụ gởi đến dưới dạng tin nhắn văn bản. Mã này chỉ có giá trị một lần và được gởi đến số điện thoại người dùng đã đăng ký nhằm đảo bảo không ai có thể đọc được mã.
Tuy nhiên đó là về lý thuyết, các hacker vẫn có thể tìm ra nhiều cách thức để đánh lừa hệ thống bảo mật. Trước đây, hacker thường sử dụng malware để lây nhiễm trên thiết bị động, sau đó bí mật chuyển tiếp các tin nhắn SMS đến một thiết bị khác. Một hình thức hack đơn giản hơn là giả mạo nạn nhân. Hacker sẽ gọi đến công ty cung cấp dịch vụ và yêu cầu họ gởi tin nhắn SMS đến một số điện thoại khác.
NIST cũng đề cập đến việc nhiều số điện thoại được đăng ký với nhiều dịch vụ phát hành dưới dạng phần mềm, chẳng hạn như gọi VoIP, rất dễ bị hack khiến các tin nhắn chứa mã xã thực càng có nguy cơ bị lộ. Trước những rủi ro bảo mật, NIST đã khuyến cáo các công ty công nghệ nên tìm kiếm các giải pháp thay thế. Một trong số đó là sử dụng một ứng dụng tạo mã xác thực dùng một lần.
Hiện tại, Google đã cung cấp ứng dụng Authenticator cho phép người dùng lấy mã xác thực trực tiếp trên điện thoại mà không cần đến mạng di động. Microsoft cũng có ứng dụng mang tên gọi tương tự để giúp người dùng bảo vệ tài khoảng Microsoft Account.
Vẫn chưa rõ các công ty công nghệ sẽ phản hồi trước đề xuất của NIST như thế nào nhưng các nhà cung cấp giải pháp bảo mật đã đưa ra nhiều phương thức xác thực an toàn hơn, chẳng hạn như nhận dạng sinh trắc qua dấu vân tay, mống mắt, token bằng phần cứng ...
Keith Graham - giám đốc công nghệ tại SecureAuth đánh giá cao đề xuất của NIST. SecureAuth là công ty chuyên cung cấp giải pháp xác thực dựa trên nhiều yếu tố và Graham cho biết các hacker đang ráo riết tìm cách tấn công mã bảo mật chứa tron tin nhắn SMS. Anh khẳng định rằng: "Phương pháp bảo mật 2 lớp không còn đủ an toàn nữa".
Tuy nhiên, xác thực thông qua tin nhắn SMS vẫn là sự lựa chọn phổ biến đối với nhiều công ty muốn bảo vệ tài khoản người dùng của mình. Kevin Panzavecchia - giám đốc công nghệ của HAUD cho biết: "Không có nền tảng nào khác có được độ bao phủ lớn như tin nhắn SMS," và anh cho rằng những lỗ hổng của hệ thống này có thể được khắc phục nếu sử dụng tường lửa trên mạng di động, lọc bỏ những nguy cơ tấn công.
Theo: Computerworld
