Tại sao bạn gặp rủi ro nếu bạn sử dụng SMS để xác minh hai bước

Google trong tháng này đã bắt đầu di chuyển mọi người khỏi việc nhận mã xác minh hai bước qua SMS. Bắt đầu từ tuần trước khi đăng nhập vào tài khoản của bạn, bạn có thể đã nhận được lời mời từ Google để bắt đầu nhận lời nhắc qua ứng dụng Google thay vì mã sáu chữ số thông qua ứng dụng nhắn tin của bạn.

Google đang thực hiện động thái này vì các lời nhắc mới của nó an toàn hơn SMS. Họ cũng làm cho quá trình đăng nhập vào tài khoản của bạn nhanh chóng và dễ dàng hơn. Thời gian để hỏi đáp nhanh:

Chờ đã, xác minh hai bước là gì?

Xác minh hai bước (2SV nếu bạn tham gia vào toàn bộ điều ngắn gọn, mặc dù nó cũng được gọi là xác thực hai yếu tố hoặc 2FA) thêm một lớp bảo mật cho các tài khoản trực tuyến của bạn, từ Amazon, Apple và Google đến Facebook, Instagram và Twitter. Thay vì chỉ nhập mật khẩu của bạn để truy cập tài khoản, bạn cần nhập mật khẩu của mình - yếu tố xác minh đầu tiên - và sau đó là mã được gửi qua SMS hoặc lời nhắc qua ứng dụng xác thực - yếu tố thứ hai. Điều này có nghĩa là một hacker sẽ cần đánh cắp cả mật khẩu và điện thoại của bạn để xâm nhập vào tài khoản của bạn.

Vì vậy, tại sao di chuyển từ SMS?

Vì thực tế đơn giản là việc nhận mã 2SV qua SMS sẽ kém an toàn hơn so với sử dụng ứng dụng xác thực. Tin tặc đã có thể lừa các nhà mạng chuyển số điện thoại sang thiết bị mới trong một động thái gọi là trao đổi SIM. Có thể dễ dàng như biết số điện thoại của bạn và bốn chữ số cuối của số an sinh xã hội của bạn, dữ liệu có xu hướng bị rò rỉ theo thời gian từ các ngân hàng và các tập đoàn lớn. Khi tin tặc đã chuyển hướng số điện thoại của bạn, họ không còn cần điện thoại của bạn để có quyền truy cập vào mã 2SV của bạn.

Ngoài ra, nếu bạn đồng bộ hóa tin nhắn văn bản với máy tính xách tay hoặc máy tính bảng của mình, thì tin tặc có thể có quyền truy cập vào mã SMS bằng cách tắt đi với một thiết bị như vậy của bạn.

Sau đó, có những điểm yếu trong chính hệ thống viễn thông di động. Trong cuộc tấn công SS7, tin tặc có thể theo dõi hệ thống điện thoại di động, nghe cuộc gọi, chặn tin nhắn văn bản và xem vị trí của điện thoại của bạn.

Tất cả các tình huống trên là tin xấu cho những người nhận mã 2SV qua SMS.

Tôi nên sử dụng cái gì thay thế?

Một ứng dụng xác thực như Google Authenticator, Microsoft Authenticator hoặc Authy. Nó có lợi thế là không cần phải dựa vào nhà cung cấp dịch vụ của bạn; mã vẫn tồn tại với ứng dụng ngay cả khi tin tặc quản lý để chuyển số của bạn sang điện thoại mới. Và mã hết hạn nhanh chóng, thường sau 30 giây hoặc lâu hơn.

Ngoài việc bảo mật hơn SMS, một ứng dụng xác thực còn nhanh hơn; bạn chỉ cần nhấn vào một nút để xác minh danh tính của mình thay vì phiền phức khi nhập mã sáu chữ số theo cách thủ công.

Google Nhắc là gì?

Google Prompt cho phép bạn nhận mã mà không cần sử dụng SMS hoặc ứng dụng xác thực riêng biệt. Nó được đưa vào Google Hiện hành trên Android và ứng dụng Google Tìm kiếm cho iOS. Tìm hiểu cách thiết lập Google Prompt.

Tôi thậm chí có cần xác minh hai bước nếu SMS rất dễ bị tổn thương không?

Vâng! Ngoài việc tạo mật khẩu mạnh và sử dụng các mật khẩu khác nhau cho mỗi tài khoản của bạn, thiết lập xác minh hai bước là cách tốt nhất bạn có thể thực hiện để bảo mật tài khoản trực tuyến của mình - ngay cả khi bạn khăng khăng nhận mã qua SMS. Xác minh hai bước qua SMS tốt hơn xác minh một bước trong đó tin tặc chỉ cần lấy hoặc đoán mật khẩu của bạn để có quyền truy cập vào dữ liệu của bạn. Đừng là trái cây treo thấp với tài khoản là mục tiêu dễ dàng nhất cho tin tặc.

Nhưng xác minh hai bước là một rắc rối

Đó không phải là một câu hỏi, nhưng đối tác của tôi sẽ ít gặp rắc rối hơn khi được thực hiện đúng và bạn đang nhận được mã thông qua Google Prompt hoặc một ứng dụng xác thực mà bạn không cần nhập mã sáu chữ số. Chắc chắn, thậm chí sau đó nó buộc bạn phải thực hiện thêm một bước lấy và chạm vào điện thoại của bạn sau khi nhập mật khẩu để đăng nhập vào một trong các tài khoản của bạn. Tuy nhiên, tôi sẽ lập luận rằng rắc rối của bước thứ hai của việc xác minh hai bước so với rắc rối của việc bị hack. Tốt nhất, bị hack là một rắc rối. Thường xuyên hơn, đó là sự pha trộn của sự tức giận, đau đớn và nhầm lẫn.

 

Để LạI Bình LuậN CủA BạN