Cảnh báo: Nên ngừng nhận mã xác thực OTP qua tin nhắn

08:10 19/03/2021

Việc dùng mật khẩu để đăng nhập hay xác nhận giao dịch đã trở nên quá quen thuộc với người dùng mạng. Song các cách đặt mật khẩu thông dụng lại quá dễ dàng để các tin tặc tìm ra, truy cập vào thông tin của bạn.

 
Lấy mã xác thực qua tin nhắn nhiều khả năng dễ bị đánh cắp thông tin. (Ảnh: Tuổi Trẻ)
Lấy mã xác thực qua tin nhắn nhiều khả năng dễ bị đánh cắp thông tin. (Ảnh: Tuổi Trẻ)

Do đó, các công ty công nghệ đã phát triển thêm một bước xác thực kép, đó là sử dụng mã OTP (One Time Password) hay còn gọi là mật khẩu một lần để tăng tính bảo mật.

Hiện nay, rất nhiều ứng dụng của các trang mạng, trang thương mại điện tử, ngân hàng đang sử dụng phương thức lấy mã OTP qua tin nhắn để xác nhận, thực hiện giao dịch, đăng nhập tài khoản. Loại mã này sẽ chỉ cấp một lần, có hiệu lực trong một thời hạn nhất định để không bị người khác đánh cắp.

 
Khi đăng nhập vào một số ứng dụng, trang mạng sẽ cần bạn phải lấy mã OTP để xác nhận tài khoản. (Ảnh: Chụp màn hình)
Khi đăng nhập vào một số ứng dụng, trang mạng sẽ cần bạn phải lấy mã OTP để xác nhận tài khoản. (Ảnh: Chụp màn hình)

Về lý thuyết là vậy, song cách làm này cũng chưa hẳn đem lại sự bảo mật tối ưu. Các tin tặc vẫn có thể tìm ra lỗ hổng để chuyển hướng tin nhắn của bạn sang điện thoại của chúng rồi chiếm đoạt các thông tin quan trọng. Và quan trọng hơn là việc thông tin SMS của bạn được bảo mật tốt hay không lại phụ thuộc vào bên bạn yêu cầu cấp mã OTP này.

Theo Viện tiêu chuẩn và kỹ thuật Quốc gia Mỹ (NIST), xác thực qua tin nhắn SMS là không đủ an toàn. Tin tặc có thể thực hiện thủ thuật chuyển hướng nói trên tinh vi đến mức, nhiều khi bạn còn không nhận ra tin nhắn của mình đã bị đánh cắp.

NIST cũng cảnh báo, việc đăng ký số điện thoại trên các trang mạng xã hội hay ứng dụng chat tin nhắn sẽ có khả năng làm lộ mã OTP hiện trong tin nhắn.

 
Mã OTP sẽ có hiệu lực trong thời gian nhất định, tương đối an toàn nếu không lấy qua tin nhắn. (Ảnh: Chụp màn hình)
Mã OTP sẽ có hiệu lực trong thời gian nhất định, tương đối an toàn nếu không lấy qua tin nhắn. (Ảnh: Chụp màn hình)

Trước những rủi ro bảo mật đang hiện hữu này, NIST đã đưa ra khuyến cáo các công ty công nghệ nên tìm phương pháp thay thế. Một trong số đó là sử dụng ứng dụng tạo mã xác thực một lần.

Chẳng hạn như hiện nay, một số ngân hàng đã dùng phương pháp Smart OTP, khi đó, mã OTP sẽ hiện ngay trong ứng dụng trên điện thoại chứ không thông qua tin nhắn.

Tin tặc khi đó sẽ không thể chuyển hướng mã được. Mặt khác, chúng cũng không thể liều lĩnh đánh cắp điện thoại của ai đó chỉ để lấy mã xác thực.

Ngoài ra còn có ứng dụng Google Authenticator cũng có hiệu quả tương tự và đang được một số công ty đưa vào sử dụng. Bên cạnh đó, bạn cũng có thể sử dụng Google Voice để tạo số điện thoại trên dịch vụ đám mây và dùng cho việc đăng nhập bởi như vậy, số điện thoại sẽ khó bị tra ra hơn.

 
Lấy mã OTP qua Google Authenticator sẽ an toàn hơn cách lấy bằng SMS. (Ảnh: Chụp màn hình)
Lấy mã OTP qua Google Authenticator sẽ an toàn hơn cách lấy bằng SMS. (Ảnh: Chụp màn hình)

Tuy nhiên, trong trường hợp một số trang web chỉ cho phép xác thực theo phương thức truyền thống là thông qua tin nhắn thì bạn vẫn nên sử dụng. Ít ra nó vẫn tốt hơn chỉ đăng nhập vào bằng mật khẩu cơ bản dù không đảm bảo an toàn 100%.

Như vậy, để người dùng có thể thay đổi được cách thức lấy mã OTP còn phụ thuộc nhiều vào các trang web, ứng dụng yêu cầu cấp mã. Chỉ khi những nơi này cho phép lấy mã qua ứng dụng thì việc làm này mới trở nên an toàn hơn.

Các thông tin đời sống xã hội sẽ được liên tục cập nhật tại YAN!

CÁCH ĐỂ BẢO VỆ TÀI SẢN VÀ THÔNG TIN CÁ NHÂN ONLINE

Việc thực hiện các giao dịch online đòi hỏi người dùng phải cung cấp thông cá nhân của mình. Vậy làm cách nào để giảm thiểu nguy cơ bị đánh cắp thông tin?

Mọi người hay có thói quen sử dụng chung một mật khẩu cho rất nhiều trang mạng cần đăng ký tài khoản. Song việc làm này khá sai lầm vì sẽ càng làm cho tin tặc dễ tấn công thông tin cá nhân hơn.

Đừng vì sợ phải nhớ mật khẩu mà đặt chúng quá dễ dàng. Việc dùng các tổ hợp bao gồm chữ cái thường, chữ cái in hoa, số, kí tự đặc biệt sẽ an toàn hơn.

Hãy lưu ý trước các địa chỉ website xem có chính xác với cái bạn đang cần truy cập hay không. Các web giả mạo thường sẽ có tên miền bị chèn thêm chữ thì cần phải thoát ngay.

Xem thêm tại đây!