Xác thực hai yếu tố có ở khắp mọi nơi. Từ thời điểm bạn đăng nhập vào tài khoản Gmail của mình cho đến khi truy cập thông tin tài chính của bạn qua PayPal, 2FA luôn sẵn sàng chào đón bạn như một cách đăng nhập an toàn hơn. Bạn thậm chí sẽ tìm thấy nó khi thiết lập PS5 hoặc Xbox Series X. Heck , rất có thể, bạn đã quen với ngày hôm nay.
Còn được gọi là xác thực đa yếu tố, 2FA là một lớp bảo mật bổ sung - được hầu như mọi nền tảng trực tuyến sử dụng - ngăn chặn nhiều tin tặc cấp thấp theo dõi của họ, bảo vệ tất cả thông tin cá nhân có giá trị của bạn không bị vi phạm.
- Giao dịch điện thoại tốt nhất trong 2022-2023
- Tìm ra điện thoại thông minh tốt nhất trong 2022-2023
Than ôi, các chiến thuật hack mãi mãi phát triển và chỉ cần một tên tội phạm mạng xảo quyệt tìm ra một lỗ nhỏ trên áo giáp và cướp đoạt những gì từng là tài khoản không thể xuyên thủng đối với nội dung trái tim của chúng. Tuy nhiên, bạn không cần phải quá lo lắng khi giải mã mã để có quyền truy cập vào tài khoản của nạn nhân không nghi ngờ.
Trên thực tế, theo Báo cáo điều tra vi phạm dữ liệu của Verizon 2022-2023, 61% trong số 5.250 vi phạm bảo mật được xác nhận mà nhà khai thác mạng Mỹ đã phân tích liên quan đến thông tin đăng nhập bị đánh cắp. Tất nhiên, mục đích của xác thực đa yếu tố là ngăn chặn những kẻ độc hại truy cập vào tài khoản ngay cả khi họ phát hiện ra mật khẩu siêu bí mật.
Nhưng cũng giống như cách Scar để Mufasa rơi vào cảnh diệt vong trong một trong những vụ phản bội lớn nhất mọi thời đại, phương pháp bảo mật cũng có thể là nguyên nhân sâu xa của hoạt động tội phạm mạng. Kẻ phản bội thực sự? Số điện thoại cũ của bạn.
Để hiểu rõ hơn về cách những kẻ tấn công có thể dễ dàng sử dụng xác thực hai yếu tố chống lại bạn, tốt nhất bạn nên biết phương thức bảo mật trực tuyến là gì và cách thức hoạt động của nó. Nếu nó hữu ích, hãy nghĩ đến số điện thoại cũ của bạn là Vết sẹo trong suốt phần này.
Xác thực hai yếu tố là gì?
Xác thực đa yếu tố (MFA) là một phương pháp xác thực kỹ thuật số được sử dụng để xác nhận danh tính của người dùng để cho phép họ truy cập vào trang web hoặc ứng dụng thông qua ít nhất hai phần bằng chứng. Xác thực hai yếu tố, phổ biến hơn được gọi là 2FA, là phương pháp được sử dụng phổ biến nhất.
Để 2FA hoạt động, người dùng phải có ít nhất hai phần thông tin xác thực quan trọng để đăng nhập vào tài khoản (với nhiều yếu tố thường liên quan đến hơn ba chi tiết khác nhau). Điều này có nghĩa là nếu người dùng trái phép có được mật khẩu, họ sẽ vẫn cần quyền truy cập vào email hoặc số điện thoại được liên kết với tài khoản nơi mã đặc biệt được gửi để có thêm cấp độ bảo vệ.
Ví dụ: ngân hàng sẽ yêu cầu tên người dùng và mật khẩu để người dùng truy cập vào tài khoản của họ, nhưng ngân hàng cũng cần hình thức xác thực thứ hai như mã duy nhất hoặc nhận dạng vân tay để xác nhận danh tính của người dùng. Yếu tố thứ hai này cũng có thể được sử dụng trước khi thực hiện giao dịch.
Theo giải thích của công ty phần mềm Ping Identity, thông tin đăng nhập bắt buộc của 2FA được chia thành ba loại khác nhau: “những gì bạn biết”, “những gì bạn có” và “bạn là ai”. Về “những gì bạn biết” hoặc kiến thức của bạn, điều này liên quan đến mật khẩu, số PIN hoặc câu trả lời cho một câu hỏi bảo mật chẳng hạn như “tên thời con gái của mẹ bạn là gì?” (điều mà tôi dường như không bao giờ nhớ).
“Bạn là gì” được cho là danh mục an toàn nhất, vì nó xác nhận danh tính của bạn từ một đặc điểm ngoại hình chỉ có ở bạn. Điều này thường thấy trên điện thoại thông minh, chẳng hạn như iPhone hoặc điện thoại Samsung Galaxy, sử dụng xác thực sinh trắc học như quét vân tay hoặc khuôn mặt để có quyền truy cập.
Đối với “những gì bạn có”, điều này đề cập đến những gì bạn sở hữu, có thể là bất cứ thứ gì từ thiết bị thông minh đến thẻ thông minh. Nói chung, phương pháp này có nghĩa là nhận được thông báo bật lên trên điện thoại của bạn qua SMS cần được xác nhận trước khi có quyền truy cập vào tài khoản. Đối với bất kỳ chuyên gia nào sử dụng Gmail của Google dành cho doanh nghiệp, bạn sẽ gặp phải danh mục này.
Thật không may, danh mục cuối cùng đó là nguyên nhân đáng lo ngại, đặc biệt là khi bạn ném tái chế số điện thoại vào hỗn hợp.
Tái chế số điện thoại
Theo Ủy ban Truyền thông Liên bang (FCC), hơn 35 triệu số ở Hoa Kỳ bị ngắt kết nối và hoạt động trở lại bằng cách gán lại chúng cho một thuê bao mới mỗi năm. Chắc chắn, các con số là vô hạn và tất cả, nhưng chỉ có rất nhiều tổ hợp 10 hoặc 11 chữ số mà một mạng di động có thể cung cấp cho khách hàng của mình.
Văn phòng Truyền thông của Vương quốc Anh (Ofcom), tổ chức chỉ định số điện thoại di động cho các nhà cung cấp mạng ở Vương quốc Anh, tuyên bố (thông qua The Evening Standard) rằng họ có chính sách nghiêm ngặt "sử dụng nó hoặc mất nó" đối với hình thức trả tiền khi mang đi số điện thoại di động. Vodafone ngắt kết nối và tái chế một số điện thoại chỉ sau 90 ngày không hoạt động, trong khi O2 thực hiện điều này sau 12 tháng.
Tại Hoa Kỳ, các nhà cung cấp mạng bao gồm Verizon và T-Mobile cho phép khách hàng thay đổi và chọn các số có sẵn được hiển thị trên giao diện thay đổi số trực tuyến thông qua trang web hoặc ứng dụng của họ. Có hàng triệu số điện thoại được tái chế, với số lượng nhiều hơn mỗi ngày.
Các số tái chế có thể gây hại cho những người ban đầu sở hữu chúng, vì nhiều nền tảng, bao gồm cả Gmail và Facebook, được liên kết với số điện thoại di động của bạn để khôi phục mật khẩu hoặc và đây là công cụ khởi động, xác thực hai yếu tố.
2FA khiến bạn gặp rủi ro như thế nào
Một nghiên cứu tại Đại học Princeton đã phát hiện ra cách dễ dàng mà bất kỳ ai cũng có thể lấy được số điện thoại tái chế và sử dụng nó cho một số cuộc tấn công mạng phổ biến, bao gồm cả việc chiếm đoạt tài khoản và thậm chí từ chối quyền truy cập vào tài khoản bằng cách giữ nó làm con tin và yêu cầu tiền chuộc để đổi lấy quyền truy cập.
Theo nghiên cứu, kẻ tấn công có thể tìm thấy các số có sẵn và kiểm tra xem có bất kỳ số nào trong số đó được liên kết với các tài khoản trực tuyến từ chủ sở hữu trước đó hay không. Bằng cách xem hồ sơ trực tuyến của họ và kiểm tra xem số cũ của họ có được liên kết hay không, những kẻ tấn công có thể mua số tái chế (chỉ $ 15 tại T-Mobile) và đặt lại mật khẩu trên tài khoản. Sử dụng 2FA, sau đó họ sẽ nhận và nhập mã đặc biệt được gửi qua SMS.
Các nhà nghiên cứu đã kiểm tra 259 con số mà họ thu được thông qua hai nhà cung cấp dịch vụ di động của Hoa Kỳ và phát hiện ra rằng 171 người trong số họ có tài khoản được liên kết trên ít nhất một trong sáu trang web thường được sử dụng: Amazon, AOL, Facebook, Google, PayPal và Yahoo. Đây được gọi là "cuộc tấn công tra cứu ngược".
Các nhà nghiên cứu đã tìm thấy một biến thể khác của cuộc tấn công cho phép các kẻ xấu chiếm đoạt tài khoản mà không cần phải đặt lại mật khẩu. Sử dụng dịch vụ tìm kiếm người trực tuyến BeenVerified, một tin tặc có thể tìm kiếm địa chỉ email bằng cách sử dụng số điện thoại đã được tái chế, sau đó kiểm tra xem các địa chỉ email đó có liên quan đến vi phạm dữ liệu hay không bằng cách sử dụng Have I Been Pwned ?. Nếu có, kẻ tấn công có thể mua mật khẩu trên chợ đen của tội phạm mạng và đột nhập vào tài khoản hỗ trợ 2FA mà không cần đặt lại mật khẩu.
Để làm cho vấn đề tồi tệ hơn, những kẻ tấn công cũng có thể lấy tài khoản của bạn làm con tin. Một thủ thuật khó chịu cho thấy tin tặc có được số để đăng ký một số dịch vụ trực tuyến yêu cầu số điện thoại. Sau khi hoàn tất, họ ngừng dịch vụ để số có thể được tái chế cho một thuê bao mới bắt đầu sử dụng. Khi người dùng mới cố gắng đăng ký các dịch vụ tương tự, tin tặc sẽ được thông báo qua 2FA và từ chối họ cách sử dụng dịch vụ. Sau đó, kẻ đe dọa sẽ yêu cầu nạn nhân trả tiền chuộc nếu họ muốn sử dụng các dịch vụ trực tuyến này.
Sử dụng 2FA theo cách này là hành động tàn bạo, nhưng điều đó không ngăn được việc đó. T-Mobile đã xem xét nghiên cứu vào tháng 12 và hiện nhắc người đăng ký cập nhật số liên lạc của họ trên tài khoản ngân hàng và hồ sơ mạng xã hội trên trang hỗ trợ thay đổi số của mình. Nhưng đó là tất cả những gì mà nhà mạng có quyền làm, có nghĩa là những người không được thông báo sẽ sẵn sàng tấn công.
Các cách thay thế để sử dụng 2FA
Nếu có bất cứ điều gì, số điện thoại và 2FA không ổn lắm. Tuy nhiên, tin tốt là hiện có nhiều tùy chọn hơn khi chọn sử dụng 2FA, bao gồm các phương pháp sinh trắc học hoặc ứng dụng xác thực đã nói ở trên.
Tuy nhiên, các tùy chọn này không phải lúc nào cũng có sẵn và đôi khi, các dịch vụ trực tuyến chỉ cung cấp cho bạn hai tùy chọn cho 2FA: số điện thoại hoặc địa chỉ email của bạn. Nếu bạn không muốn tin tặc lục lọi thông tin cá nhân của mình, tốt nhất bạn nên chọn xác thực email. Tất nhiên, có những người không phải lúc nào cũng sử dụng email của họ và theo thời gian, họ thường có thể quên mật khẩu của mình. Không có mật khẩu, nghĩa là không có cách nào lấy được mã xác thực.
Để giải quyết vấn đề này, tốt nhất bạn nên tìm một trình quản lý mật khẩu. LastPass đã từng là ứng cử viên hàng đầu trong nhiều năm nhờ dịch vụ cấp miễn phí, nhưng có những ứng cử viên khác đáng để thử.
“Nhưng điều gì sẽ xảy ra nếu tôi đã sử dụng số điện thoại của mình cho 2FA?” Tôi nghe bạn hỏi. Nếu bạn đang cân nhắc thay đổi số điện thoại của mình, hãy đảm bảo hủy liên kết số điện thoại của bạn khỏi các dịch vụ trực tuyến mà nó được kết nối trước khi thực hiện chuyển đổi. Và, nếu bạn đã thực hiện chuyển đổi, rất đáng để bạn dành thời gian cập nhật tài khoản của mình để loại bỏ bất kỳ Sẹo (số điện thoại) nào đang chờ đợi tấn công bạn khi bạn ít ngờ tới nhất.
Quan điểm
Xác thực hai yếu tố có ở khắp mọi nơi và nó luôn tồn tại. Trên thực tế, Google sẽ sớm buộc bạn sử dụng 2FA khi đăng nhập, với việc gã khổng lồ công nghệ bảo đảm cho một “tương lai an toàn hơn mà không cần mật khẩu”. Đây không phải là một ý tưởng kinh khủng, nhưng nhiều người có thể sử dụng số điện thoại của họ như một cách để được nhận dạng. Chúng tôi chắc chắn rằng các tin tặc cấp thấp thích âm thanh của điều đó.
Để ngăn chặn bất kỳ điều này xảy ra, một khi 2FA bắt đầu tiếp quản tất cả các nền tảng trực tuyến, tất cả những gì bạn phải làm là đọc tiêu đề của bài viết này và làm theo lời khuyên của chúng tôi.