Xác thực 2 yếu tố dựa trên SMS sẽ trở thành quá khứ

xac-thuc-2-yeu-to-dua-tren-sms-se-tro-thanh-qua-khuBiện pháp xác thực 2 yếu tố dựa trên SMS đã được tuyên bố là không an toàn và có thể sẽ chỉ còn là quá khứ.

Viện Quốc gia Hoa Kỳ Tiêu chuẩn và Công nghệ (NIST) đã đưa ra một bản thảo mới Hướng dẫn xác thực kỹ thuật số nói rằng xác thực hai yếu tố dựa trên SMS nên bị cấm trong thời gian tới do lo ngại vấn đề an ninh.

Xác thực 2 yếu tố dựa trên SMS là không an toàn

Do càng ngày càng có nhiều vụ rò rỉ dữ liệu xảy ra nên xác thực 2 yếu tố trở thành 1 công cụ hữu ích để tránh cho tin tặc có thể xâm nhập vào tài khoản của người dung chỉ dựa vào mật khẩu bị rò rỉ.

Tuy nhiên, NIST khẳng định rằng xác thực 2 yếu tố dựa trên SMS là 1 quá trình không an toàn bởi vì các nha cung cấp thường không biết có đúng chính chủ nhân của tài khoản là người nhận được mã xác thực.

Trên thực tế, xác thực 2 yếu tố dựa trên SMS cũng hoàn toàn có thể bị tấn công nếu cá nhân sử dụng dịch vụ VoIP. Kể từ khi một số dịch vụ VoIP cho phép chiếm quyền điều khiển tin nhắn SMS, tin tặc vẫn có thể truy cập vào tài khoản của bạn được bảo vệ bởi xác thực hai yếu tố dựa trên SMS.

Ngoài ra, các lỗ hổng thiết kế trong SS7 cũng cho phép tin tặc chuyển các tin nhắn SMS có chứa mã xác thực (OTP) đến thiết bị của chúng, cho phép kẻ tấn công chiếm quyền điều khiển bất kỳ dịch vụ nào sử dụng SMS để gửi mã bí mật để thiết lập lại mật khẩu tài khoản, bao gồm cả Twitter, Facebook hay Gmail.
NIST gợi ý về phương án Biometric thay thế xác thực dựa trên SMS

Dự thảo trên của NIST lưu ý thêm rằng xác thực hai yếu tố thông qua một ứng dụng bảo mật, giống như một máy quét dấu vân tay, vẫn có thể được sử dụng để đảm mật tài khoản của bạn.

Hơn nữa, nhiều công ty công nghệ như Facebook và Google cung cấp mã xác thực ngay trong ứng dụng như  một giải pháp thay thế để xác thực hai yếu tố, mà không dựa trên tin nhắn SMS nhà cung cấp mạng.

Tháng trước, Google đã xác thực hai yếu tố của nó dễ dàng hơn và nhanh hơn bằng cách giới thiệu phương pháp mới – Google Prompt chỉ cầnsử dụng một thông báo đẩy đơn giản.

Theo THN

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.