【kết quả bóng đá của】Rủi ro khi nhận mã OTP qua tin nhắn SMS
Nhận mã OTP qua SMS rất tiện lợi khi đăng nhập tài khoản hoặc thanh toán thẻ tín dụng,ủirokhinhậnmãOTPquatinnhắkết quả bóng đá của nhưng một số chuyên gia đang khuyến cáo rằng hình thức này không đủ bảo mật.
Một trong những cách nhận xác thực 2 lớp tiện dụng và phổ biến nhất là qua tin nhắn văn bản (SMS). Không chỉ nhiều dịch vụ, tài khoản được xác thực đăng nhập thông qua cách này, mà cả một số cổng thanh toán. Tuy nhiên, theo CNBC, đang có sự đồng thuận ngày càng tăng giữa các chuyên gia an ninh mạng rằng OTP, giống như mật khẩu truyền thống, nên bị loại bỏ, mặc dù họ nhận định điều đó khó có thể xảy ra trong thời gian sớm.
Việc nhận thức được các dạng OTP khác nhau và các rủi ro bảo mật tương đối so với lợi ích mà mỗi loại mang lại ngày càng trở nên quan trọng khi tội phạm mạng đang có xu hướng tinh vi hơn. Kinh nghiệm cho thấy các phương thức xác thực luôn có lỗ hổng, nhưng một số phương pháp được coi là mạnh hơn những phương pháp khác. Nói như Ant Allan, phó chủ tịch phân tích tại Gartner Research: "Không có phương pháp xác thực nào là hoàn hảo".
Tracy C. Kitten, giám đốc bộ phận chống gian lận và bảo mật tại Javelin Strategy & Research, cho biết OTP qua SMS dễ bị kẻ gian tấn công thông qua nhiều phương tiện như phishing, SIM swapping và đánh cắp tin nhắn, ngay cả khi bạn vẫn đang cầm điện thoại.
Vấn đề trở nên trầm trọng hơn khi tài khoản di động hoặc trang web của bạn bị chiếm đoạt và bạn có thể không biết ngay. "Ví dụ, bạn có thể yêu cầu ngân hàng gửi tin nhắn xác nhận rồi gửi lại mà không nhận ra rằng có người khác cũng đã nhận được tin nhắn. Có thể mất 45 phút trước khi bạn nhận ra có điều gì đó không ổn và lúc đó thì đã quá muộn", Kitten cho biết.
Một kỹ thuật đánh cắp tin nhắn phổ biến là SIM swapping hay hoán đổi SIM. Thông thường, các nhà mạng cung cấp dịch vụ tiện lợi giúp khách hàng đổi số điện thoại từ SIM này sang SIM khác trong trường hợp mất điện thoại hoặc thẻ SIM. Bằng kỹ thuật này, kẻ tấn công sẽ lợi dụng việc này để chuyển số điện thoại của nạn nhân sang thẻ SIM do chúng kiểm soát. Điều này thường được thực hiện thông qua các phương thức mạo danh hoặc ăn cắp thông tin cá nhân.
Các chuyên gia bảo mật cho biết một lựa chọn tốt hơn, mặc dù cũng không phải là giải pháp tối ưu, là sử dụng ứng dụng xác thực, như Google Authenticator hoặc Microsoft Authenticator, trên thiết bị di động. Allan cho biết các ứng dụng xác thực vẫn có thể dễ bị một số loại tấn công như "adversary in the middle (AITM)" nhưng chúng vẫn an toàn hơn SMS.
Với ứng dụng xác thực, người dùng sẽ nhận được một mã duy nhất mỗi khi họ đăng nhập và mã sẽ hết hạn, thường là sau 30 đến 60 giây. Không có thông tin nào được gửi đến số điện thoại. Kitten cho biết trình xác thực nằm trên thiết bị di động của bạn, vì vậy nếu điện thoại được bảo vệ bằng mật khẩu và bạn đã bật tính năng nhận dạng khuôn mặt, thì điều đó sẽ giảm đáng kể nguy cơ ai đó có thể truy cập vào các mã đó.
Tất nhiên, vẫn có những lỗ hổng tiềm ẩn, Cedric Thevenet, Phó chủ tịch kiêm Giám đốc bán hàng và giải pháp mạng tại Capgemini Americas cho biết. Ví dụ, một người nhận được email có vẻ như đến từ một công ty hoặc nhà cung cấp mà họ thường xuyên giao dịch, nhưng thực tế, đó là một email mạo danh ngụy trang khéo léo. Nhờ AI, các loại email lừa đảo này ngày càng khó phát hiện hơn, Thevenet cho biết.
Nếu người dùng không nghi ngờ mà nhấp vào liên kết trong email, họ có thể được chuyển đến một trang web trông có vẻ là thật, nhưng không phải vậy. Nạn nhân sau đó nhập tên người dùng và mật khẩu của mình vào trang web của tin tặc, nghĩ rằng đó là trang web của nhà cung cấp. Khi được yêu cầu nhập mã xác thực OTP, họ cũng nhập mã đó vào. Thevenet giải thích rằng đến thời điểm đó, tin tặc đã có quyền truy cập vào tài khoản.
Hiện nay đã nhiều lựa chọn khác nhau để người dùng quản lý thông tin đăng nhập trực tuyến của mình với mức bảo mật cao hơn, tuy nhiên tất cả đều có rủi ro và ở một mức độ nào đó, người tiêu dùng bị hạn chế bởi các phương thức xác thực mà các nhà cung cấp khác nhau đưa ra.
Dusty Anderson, CEO tại công ty tư vấn quản lý Protiviti, cho biết có một khách hàng chi hàng chục nghìn USD mỗi tháng để nhận OTP qua SMS. Bất chấp những lo ngại về bảo mật, khách hàng này vẫn kiên quyết không chịu thay đổi vì sợ làm đảo lộn mọi quy trình, đặc biệt là khi họ không am hiểu công nghệ và có thể không muốn sử dụng một loại xác thực khác có cảm giác kém tiện dụng hơn.
Vì nhiều lý do khác nữa, Thevenet cho biết OTP vẫn sẽ tồn tại dưới một hình thức nào đó trong tương lai gần. Mặc dù có một số rủi ro nhất định, phương pháp này vẫn tốt hơn so với chỉ sử dụng mật khẩu đơn thuần, Thevenet cho biết.
Thạch Anh(责任编辑:Cúp C2)
- ·Quốc hội phê chuẩn Hiệp định thương mại tự do Việt Nam
- ·Đẩy nhanh tiêm chủng, sử dụng hiệu quả vắc
- ·BTS tiếp tục có thêm 3 kỷ lục Guinness
- ·Việt Nam và Campuchia thúc đẩy hợp tác nông nghiệp, du lịch
- ·Tài xế taxi Mai Linh bị đánh nhập viện: Khởi tố chủ xe Mercedes
- ·TP. Hồ Chí Minh: Sắp diễn ra ngày hội việc làm cho hơn 20 nghìn sinh viên
- ·Khai mạc triển lãm ảnh quan hệ Việt Nam
- ·Loạt vai diễn của Bảo Bảo 'Gạo nếp gạo tẻ' vừa qua đời tuổi 19
- ·Văn hóa doanh nghiệp là nền tảng để phát triển bền vững
- ·Cuốn sách dạy xây dựng đội nhóm tuyệt đỉnh
- ·Chính phủ sẽ có nghị quyết riêng để gỡ khó cho các “ông lớn” tại “siêu Ủy ban”
- ·'Báo đen' Naomi Campbell khoe dáng chuẩn tuổi 52 sau khi sinh con
- ·Giám sát chặt, phòng chống dịch bệnh Marburg nguy hiểm xâm nhập
- ·HoSE tiếp tục ngừng giao dịch trong ngày 24/1 để thử nghiệm toàn thị trường
- ·Thủ tướng yêu cầu kiểm tra, xử lý thông tin chậm đơn giản hóa điều kiện kinh doanh
- ·Quy định cụ thể về tiêu chuẩn, định mức sử dụng trang thiết bị văn phòng
- ·Gái hư 'Hương vị tình thân' e ấp bên bạn trai
- ·Xuất hiện thông tin giả mạo HoSE về việc điều chỉnh bù giờ và thời gian giao dịch tiếp theo
- ·Nâng cao chất lượng, hiệu quả hoạt động của Quốc hội trong giai đoạn mới
- ·Philippines sẽ giảm nhập khẩu cá tra Việt Nam