Xác thực hai yếu tố (2FA) là lớp bảo mật quan trọng giúp bảo vệ tài khoản trực tuyến của bạn. Tuy nhiên, không phải phương pháp 2FA nào cũng an toàn như nhau. Nhiều người vẫn tin tưởng và sử dụng 2FA qua SMS, nhưng thực tế đây lại là một lựa chọn tiềm ẩn nhiều rủi ro. Với tư cách là chuyên gia bảo mật, tôi đã ngừng sử dụng SMS cho 2FA và sẽ chia sẻ lý do cũng như giải pháp thay thế hiệu quả hơn.
Rủi Ro Từ SIM Swapping (Hoán Đổi SIM)
Một trong những nguy cơ đáng báo động nhất khi sử dụng SMS cho 2FA là tấn công hoán đổi SIM (SIM swapping). Đây là kỹ thuật mà kẻ tấn công lừa nhà cung cấp dịch vụ di động chuyển số điện thoại của bạn sang một SIM vật lý mới thuộc quyền kiểm soát của chúng. Khi đã chiếm được số điện thoại, chúng có thể dễ dàng chặn mọi tin nhắn SMS gửi đến, bao gồm cả mã 2FA.
Kẻ tấn công thực hiện chiêu trò này bằng cách liên hệ với nhà mạng, giả mạo là bạn. Chúng sử dụng các thông tin cá nhân bị đánh cắp – như địa chỉ hoặc bốn số cuối của CMND/CCCD – để thuyết phục nhà mạng chuyển số điện thoại của bạn sang thẻ SIM của chúng. Ngay khi việc chuyển đổi hoàn tất, kẻ tấn công sẽ chặn các tin nhắn văn bản gửi đến số của bạn, bao gồm cả các mã 2FA vốn được dùng để bảo vệ tài khoản. Việc hoán đổi SIM thành công có thể cho phép kẻ tấn công truy cập vào nhiều tài khoản liên kết với số điện thoại của bạn, từ email đến các ứng dụng ngân hàng.
SMS Có Thể Bị Chặn Hoặc Gián Điệp
Màn hình máy tính xách tay hiển thị tin nhắn smishing và biểu tượng phong bì, minh họa nguy cơ tin nhắn SMS bị chặn
Ngay cả khi bạn không phải nạn nhân của SIM swapping, bản thân tin nhắn SMS cũng không an toàn. Chúng truyền tải qua các mạng có thể dễ bị tấn công và chặn lại. Tin tặc có thể khai thác lỗ hổng trong Hệ thống Báo hiệu Số 7 (SS7), giao thức viễn thông toàn cầu cho phép các nhà mạng định tuyến cuộc gọi và tin nhắn. Bằng cách khai thác SS7, kẻ tấn công có thể chặn tin nhắn SMS của bạn mà không cần truy cập trực tiếp vào điện thoại vật lý.
Đây không chỉ là lý thuyết; tấn công SIM đã được ghi nhận rõ ràng. Tội phạm mạng và thậm chí một số nhóm được nhà nước bảo trợ đã sử dụng lỗ hổng SS7 để theo dõi liên lạc và đánh cắp thông tin nhạy cảm. Vì SMS thiếu mã hóa, nội dung tin nhắn, bao gồm cả mã OTP (mã dùng một lần), bị lộ trong quá trình truyền tải. Ngoài ra, tin nhắn cũng có thể bị xâm phạm thông qua các ứng dụng độc hại hoặc phần mềm gián điệp được cài đặt trên thiết bị của bạn, có khả năng giám sát tin nhắn SMS đến và chuyển tiếp mã 2FA cho kẻ tấn công mà bạn không hề hay biết.
Sự Phụ Thuộc Vào Số Điện Thoại Và Tín Hiệu Di Động
Người đàn ông đang cố gắng nhập số điện thoại trên iPhone, thể hiện sự phụ thuộc của SMS 2FA vào tín hiệu di động
Một nhược điểm đáng kể khác của 2FA dựa trên SMS là sự phụ thuộc vào số điện thoại của bạn. Khả năng nhận mã xác thực của bạn liên quan trực tiếp đến dịch vụ di động. Nếu bạn ở trong khu vực có sóng kém, 2FA qua SMS trở nên hoàn toàn vô dụng, ngay cả khi bạn có kết nối Wi-Fi. Không giống như các phương pháp xác thực khác có thể hoạt động qua kết nối internet, SMS yêu cầu tín hiệu di động ổn định.
Sự phụ thuộc này có thể khiến bạn gặp khó khăn trong những tình huống cần truy cập tài khoản nhưng không thể nhận mã. Cho dù bạn đang đi du lịch ở một địa điểm xa xôi hay chỉ đơn giản là ở trong một tòa nhà có sóng yếu, hạn chế này khiến SMS kém tin cậy hơn so với các lựa chọn thay thế.
Giải Pháp Thay Thế: Ứng Dụng Xác Thực (Authenticator Apps)
Người dùng nhập mã xác thực hai yếu tố trên điện thoại, minh họa việc sử dụng Google Authenticator thay thế SMS 2FA
Thay vì dựa vào SMS cho 2FA, tôi đã chuyển sang sử dụng các ứng dụng xác thực 2FA chuyên dụng. Các ứng dụng như Google Authenticator, Microsoft Authenticator và Authy tạo mã OTP dựa trên thời gian (TOTP) trực tiếp trên thiết bị của bạn, mang lại một lựa chọn an toàn và đáng tin cậy hơn nhiều so với SMS.
Bảo Mật Vượt Trội
Ưu điểm chính của các ứng dụng xác thực là tính bảo mật. Không giống như SMS, các ứng dụng này tạo mã cục bộ trên điện thoại của bạn, nghĩa là chúng không được truyền qua các mạng có thể bị chặn hoặc khai thác. Chúng cũng được bảo vệ bởi các lớp bảo mật bổ sung – nhiều ứng dụng yêu cầu mật khẩu, vân tay hoặc quét khuôn mặt để truy cập mã.
Hoạt Động Offline
Một lý do khác khiến tôi ưa chuộng các ứng dụng xác thực là khả năng hoạt động ngoại tuyến. Vì mã được tạo trực tiếp trên thiết bị, bạn không cần kết nối di động để sử dụng chúng. Dù bạn đang ở khu vực xa xôi không có dịch vụ hay chỉ đơn giản là trong nhà với sóng kém, bạn vẫn có thể truy cập mã của mình miễn là có thiết bị bên mình.
Tính Năng Sao Lưu
Tôi đặc biệt thích Authy hơn các ứng dụng xác thực khác vì nó cung cấp tính năng sao lưu đám mây, giúp tôi dễ dàng khôi phục tài khoản nếu bị mất điện thoại. Đồng thời, nó bảo mật các bản sao lưu này bằng mã hóa, đảm bảo rằng chỉ tôi mới có thể truy cập chúng. Google Authenticator cũng là một lựa chọn phổ biến khác. Cả hai đều miễn phí, được hỗ trợ rộng rãi và dễ cài đặt.
Sử dụng ứng dụng xác thực rất đơn giản. Sau khi thiết lập, thường là bằng cách quét mã QR do trang web cung cấp trong quá trình cài đặt 2FA, bạn chỉ cần mở ứng dụng để lấy mã mỗi khi đăng nhập. Các mã này sẽ tự động làm mới sau mỗi 30 giây, vì vậy ngay cả khi ai đó cố gắng đánh cắp một mã, nó sẽ trở nên vô dụng gần như ngay lập tức.
Xác thực hai yếu tố là yếu tố cần thiết để giữ an toàn cho tài khoản của bạn, nhưng phương pháp bạn sử dụng thực sự quan trọng. Mặc dù 2FA dựa trên SMS có vẻ tiện lợi, nó lại chứa đựng nhiều lỗ hổng – từ các cuộc tấn công hoán đổi SIM đến các phương pháp chặn tin nhắn và thậm chí là các vấn đề thực tế như sóng di động kém. Những rủi ro này khiến SMS trở thành một biện pháp bảo vệ không đáng tin cậy cho an ninh trực tuyến của bạn.
