Mặc dù vậy, xác thực hai yếu tố được cho là chưa thực sự an toàn. Điều này bắt nguồn từ việc nhiều hệ thống xác thực hai yếu tố hiện nay gửi mã xác nhận một lần qua tin nhắn SMS. Sau khi nhận mã, người dùng nhập vào và tiếp tục đăng nhập như bình thường.
Hai yếu tố xác thực là hình thức phổ biến được nhiều dịch vụ trực tuyến sử dụng
ẢNH: REUTERS
Tuy nhiên, điểm yếu của SMS là người dùng không thể biết ai đã nhìn thấy mã trước khi nó đến hộp thư đến của mình. Theo thông tin từ Bloomberg, nhiều công ty hiện nay thuê ngoài dịch vụ 2FA cho các bên trung gian để tiết kiệm chi phí và việc tin tưởng sai đối tác có thể dẫn đến những hậu quả nghiêm trọng.
Lỗ hổng nghiêm trọng của hệ thống xác thực hai yếu tố hiện nay
Để minh chứng cho mối đe dọa này, một người tố giác trong ngành đã cung cấp cho Bloomberg khoảng 1 triệu tin nhắn chứa mã 2FA được gửi vào tháng 6.2023. Mỗi tin nhắn đều đi qua một công ty Thụy Sĩ có tên Fink Telecom Services và chứa mã đăng nhập tự động cùng với thông tin về đường dẫn từ người gửi đến người nhận.
Danh sách người gửi bao gồm nhiều tên tuổi lớn trong ngành công nghệ như Amazon, Google, Meta, Snapchat, Tinder, Signal và WhatsApp. Bloomberg đã xác minh dữ liệu này với các chuyên gia độc lập, sau đó đối chiếu với thông tin công khai và nhận thấy dữ liệu có vẻ hợp lệ.
Người dùng được khuyến cáo chuyển sang các giải pháp bảo mật tiên tiến hơn
ẢNH: TECHSPOT
Về phần mình, CEO Fink Telecom Andreas Fink cho biết công ty của ông bị ràng buộc bởi các hạn chế pháp lý nên không thể xem xét nội dung tin nhắn mà họ xử lý, đồng thời khẳng định rằng họ không còn hoạt động trong lĩnh vực giám sát.
Để tăng cường bảo mật, người dùng được khuyến khích xem xét các giải pháp an toàn hơn như xác minh sinh trắc học hoặc sử dụng ứng dụng xác thực chuyên dụng. Các ứng dụng này tạo mã cục bộ trên điện thoại hoặc thiết bị phần cứng độc lập giúp loại bỏ sự phụ thuộc vào SMS.
Đây không phải là lần đầu tiên các vấn đề liên quan đến 2FA được đề cập. Vào tháng trước, Valve xác nhận rằng tin tặc đã truy cập vào số điện thoại và hồ sơ SMS 2FA của hầu hết tài khoản. Nếu chưa thay đổi mật khẩu Steam, bây giờ là thời điểm thích hợp để người dùng thực hiện điều đó.
