Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) vừa ra tuyên bố cho rằng xác thực hai yếu tố sử dụng tin nhắn SMS làm yếu tố thứ hai là không an toàn và lỗi thời.
Xác thực hai yếu tố là sự kết hợp của hai lớp bảo vệ, nhưng vẫn có những lỗ hổng nhất định nếu sử dụng SMS làm yếu tố xác thực thứ hai
Khái niệm về xác thực hai yếu tố được hiểu như là sự kết hợp của một thứ mà người dùng biết (yếu tố đầu tiên), với một thứ mà người dùng luôn sử hữu (yếu tố thứ hai) để xác nhận việc đăng nhập hoặc truy cập dịch vụ an toàn. Trong hầu hết trường hợp, yếu tố đầu tiên là mật khẩu hoặc mã PIN. Còn yếu tố thứ hai liên quan đến một tập hợp ngẫu nhiên các chữ số hoặc ký tự kết hợp, và chúng được gửi qua các phương tiện khác nhau, như ứng dụng chứng thực hoặc tin nhắn SMS.
Vấn đề là, theo phương châm của NIST, tin nhắn SMS được xem là kênh rất mong manh. Ví dụ, nếu smartphone được sử dụng cho xác thực hai yếu tố bị đánh cắp, sau đó yếu tố thứ hai được gửi qua SMS có thể bị thu thập. Ngoài ra, tin nhắn SMS cũng có thể dễ dàng bị giả mạo, ngăn chặn và chuyển hướng, cho phép tin tặc và bên thứ ba truy cập vào mã bí mật.
Chính vì vậy mà NIST đã có những kế hoạch có thể dẫn đến việc loại bỏ hoàn toàn chức năng xác thực qua tin nhắn SMS, bởi các chỉ dẫn của NIST sẽ buộc các công ty công nghệ cao ở Mỹ phải thực hiện theo, chẳng hạn như Google hay Apple.
NIST khuyến cáo mọi người sử dụng một ứng dụng bảo mật xác thực, hoặc sinh trắc học như dấu vân tay sẽ rất tốt cho việc sử dụng xác thực hai yếu tố. Tuy nhiên, tin nhắn SMS vẫn được xem là phương pháp thuận tiện nhất và phổ biến nhất, vì không phải tất cả mọi người đang sở hữu smartphone tích hợp máy quét vân tay.
Phương Thu theo SlashGear
