会员登录 - 用户注册 - 设为首页 - 加入收藏 - 网站地图 【kèo mỹ】Rủi ro khi nhận mã OTP qua tin nhắn SMS!

【kèo mỹ】Rủi ro khi nhận mã OTP qua tin nhắn SMS

时间:2025-01-11 05:17:29 来源:Nhà cái uy tín 作者:Nhà cái uy tín 阅读:857次
(VTC News) -

Nhận mã OTP qua SMS rất tiện lợi khi đăng nhập tài khoản hoặc thanh toán thẻ tín dụng,ủirokhinhậnmãOTPquatinnhắkèo mỹ nhưng một số chuyên gia đang khuyến cáo rằng hình thức này không đủ bảo mật.

Một trong những cách nhận xác thực 2 lớp tiện dụng và phổ biến nhất là qua tin nhắn văn bản (SMS). Không chỉ nhiều dịch vụ, tài khoản được xác thực đăng nhập thông qua cách này, mà cả một số cổng thanh toán. Tuy nhiên, theo CNBC, đang có sự đồng thuận ngày càng tăng giữa các chuyên gia an ninh mạng rằng OTP, giống như mật khẩu truyền thống, nên bị loại bỏ, mặc dù họ nhận định điều đó khó có thể xảy ra trong thời gian sớm.

Việc nhận thức được các dạng OTP khác nhau và các rủi ro bảo mật tương đối so với lợi ích mà mỗi loại mang lại ngày càng trở nên quan trọng khi tội phạm mạng đang có xu hướng tinh vi hơn. Kinh nghiệm cho thấy các phương thức xác thực luôn có lỗ hổng, nhưng một số phương pháp được coi là mạnh hơn những phương pháp khác. Nói như Ant Allan, phó chủ tịch phân tích tại Gartner Research: "Không có phương pháp xác thực nào là hoàn hảo".

Tracy C. Kitten, giám đốc bộ phận chống gian lận và bảo mật tại Javelin Strategy & Research, cho biết OTP qua SMS dễ bị kẻ gian tấn công thông qua nhiều phương tiện như phishing, SIM swapping và đánh cắp tin nhắn, ngay cả khi bạn vẫn đang cầm điện thoại.

Mã OTP nhận qua SMS vẫn phổ biến trong giao dịch trực tuyến.

Mã OTP nhận qua SMS vẫn phổ biến trong giao dịch trực tuyến.

Vấn đề trở nên trầm trọng hơn khi tài khoản di động hoặc trang web của bạn bị chiếm đoạt và bạn có thể không biết ngay. "Ví dụ, bạn có thể yêu cầu ngân hàng gửi tin nhắn xác nhận rồi gửi lại mà không nhận ra rằng có người khác cũng đã nhận được tin nhắn. Có thể mất 45 phút trước khi bạn nhận ra có điều gì đó không ổn và lúc đó thì đã quá muộn", Kitten cho biết.

Một kỹ thuật đánh cắp tin nhắn phổ biến là SIM swapping hay hoán đổi SIM. Thông thường, các nhà mạng cung cấp dịch vụ tiện lợi giúp khách hàng đổi số điện thoại từ SIM này sang SIM khác trong trường hợp mất điện thoại hoặc thẻ SIM. Bằng kỹ thuật này, kẻ tấn công sẽ lợi dụng việc này để chuyển số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát. Điều này thường được thực hiện thông qua các phương thức mạo danh hoặc ăn cắp thông tin cá nhân.

Các chuyên gia bảo mật cho biết một lựa chọn tốt hơn, mặc dù cũng không phải là giải pháp tối ưu, là sử dụng ứng dụng xác thực, như Google Authenticator hoặc Microsoft Authenticator, trên thiết bị di động. Allan cho biết các ứng dụng xác thực vẫn có thể dễ bị một số loại tấn công như "adversary in the middle (AITM)" nhưng chúng vẫn an toàn hơn SMS.

Với ứng dụng xác thực, người dùng sẽ nhận được một mã duy nhất mỗi khi họ đăng nhập và mã sẽ hết hạn, thường là sau 30 đến 60 giây. Không có thông tin nào được gửi đến số điện thoại. Kitten cho biết trình xác thực nằm trên thiết bị di động của bạn, vì vậy nếu điện thoại được bảo vệ bằng mật khẩu và bạn đã bật tính năng nhận dạng khuôn mặt, thì điều đó sẽ giảm đáng kể nguy cơ ai đó có thể truy cập vào các mã đó.

Tất nhiên, vẫn có những lỗ hổng tiềm ẩn, Cedric Thevenet, Phó chủ tịch kiêm Giám đốc bán hàng và giải pháp mạng tại Capgemini Americas cho biết. Ví dụ, một người nhận được email có vẻ như đến từ một công ty hoặc nhà cung cấp mà họ thường xuyên giao dịch, nhưng thực tế, đó là một email mạo danh ngụy trang khéo léo. Nhờ AI, các loại email lừa đảo này ngày càng khó phát hiện hơn, Thevenet cho biết.

Nếu người dùng không nghi ngờ mà nhấp vào liên kết trong email, họ có thể được chuyển đến một trang web trông có vẻ là thật, nhưng không phải vậy. Nạn nhân sau đó nhập tên người dùng và mật khẩu của mình vào trang web của tin tặc, nghĩ rằng đó là trang web của nhà cung cấp. Khi được yêu cầu nhập mã xác thực OTP, họ cũng nhập mã đó vào. Thevenet giải thích rằng đến thời điểm đó, tin tặc đã có quyền truy cập vào tài khoản.

Hiện nay đã nhiều lựa chọn khác nhau để người dùng quản lý thông tin đăng nhập trực tuyến của mình với mức bảo mật cao hơn, tuy nhiên tất cả đều có rủi ro và ở một mức độ nào đó, người tiêu dùng bị hạn chế bởi các phương thức xác thực mà các nhà cung cấp khác nhau đưa ra.

Dusty Anderson, CEO tại công ty tư vấn quản lý Protiviti, cho biết có một khách hàng chi hàng chục nghìn USD mỗi tháng để nhận OTP qua SMS. Bất chấp những lo ngại về bảo mật, khách hàng này vẫn kiên quyết không chịu thay đổi vì sợ làm đảo lộn mọi quy trình, đặc biệt là khi họ không am hiểu công nghệ và có thể không muốn sử dụng một loại xác thực khác có cảm giác kém tiện dụng hơn.

Vì nhiều lý do khác nữa, Thevenet cho biết OTP vẫn sẽ tồn tại dưới một hình thức nào đó trong tương lai gần. Mặc dù có một số rủi ro nhất định, phương pháp này vẫn tốt hơn so với chỉ sử dụng mật khẩu đơn thuần, Thevenet cho biết. 

Thạch Anh

(责任编辑:Nhận Định Bóng Đá)

相关内容
  • 90 triệu dân, 128 triệu thuê bao di động
  • Bộ Tài chính tăng cường kỷ luật, kỷ cương hành chính trong thực thi công vụ
  • Thủ tướng kết thúc tham dự Hội nghị cấp cao ASEAN 35
  • UBND TP Cần Thơ phạt một doanh nghiệp nhập lậu vàng
  • Loạt nhà dân ở TP.HCM bị sụp lún vì robot đào cống thoát nước
  • Quảng Ninh: Chặn hàng mất an toàn thực phẩm tại gốc
  • Tạo lập hệ thống kế toán, kiểm toán tương đối hoàn chỉnh
  • Mong dân thông cảm vì giá thịt lợn cao, Bộ Nông nghiệp cam kết không để khủng hoảng
推荐内容
  • Công điện của Thủ tướng về việc tai nạn trong diễn tập tại Quân khu 7
  • Các chuyên gia bàn giải pháp về phòng, chống rửa tiền
  • Thẩm định giá tài sản vô hình như thế nào?
  • Nhiều giải pháp từ kho bạc giúp đẩy nhanh giải ngân vốn đầu tư công
  • Nhận định, soi kèo Nagaworld vs Svay Rieng, 18h00 ngày 3/1: Cửa trên ‘ghi điểm’
  • Đã miễn, giảm, gia hạn thuế, phí khoảng 172,1 nghìn tỷ đồng