Khi sử dụng các loại tài khoản mạng xã hội, tài khoản ngân hàng... cách đăng nhập thuận tiện nhất được nhiều người sử dụng là dùng mã OTP (mật khẩu dùng một lần). Mã OTP thường được gửi qua tin nhắn văn bản trên điện thoại (SMS).
Tuy nhiên, việc nhận OTP qua SMS càng ngày càng bị nhiều chuyên gia an ninh mạng đánh giá rằng không còn an toàn và nên được loại bỏ.
Để hiểu được vấn đề này, người dùng cần nắm được các loại OTP khác nhau và đánh giá rủi ro bảo mật so với lợi ích mà mỗi loại này có thể mang lại trong quá trình sử dụng.
Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, chia sẻ rằng theo kinh nghiệm cho thấy luôn tồn tại các cách để vượt qua các biện pháp xác thực. Tuy nhiên, cũng có một số phương được đánh giá là tốt hơn, an toàn hơn các phương thức khác. Cần phải nhấn mạnh rằng không có phương pháp xác thực nào là an toàn tuyệt đối.
OTP nhận qua tin nhắn SMS đặc biệt dễ bị tấn công qua nhiều hình thức khác nhau như đánh cắp SIM điện thoại, chặn tin nhắn, lừa đảo qua email. Các tình huống này có thể xảy ra ngay cả khi điện thoại vẫn đang trong tay bạn. Đây là quan điểm được Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research chia sẻ.
Việc nhận mã OTP qua tin nhắn điện thoại hiện đã xuất hiện nhiều rủi ro và không còn được các chuyên gia an ninh mạng đánh giá cao.
Trong khoảng thời gian ngắn, người dùng có thể không nhận thấy tài khoản của mình bị xâm nhập là một vấn đề cực kỳ nghiêm trọng. Ví dụ, người dùng yêu cầu ngân hàng gửi lại mã OTP nhưng không biết rằng kẻ xấu mới là người nhận được mã này. Phải sau một khoảng thời gian dài, người dùng mới phát hiện có vấn đề bất thường xảy ra. Lúc này, mọi chuyện đã quá muộn.
Dù không đạt được sự an toàn tuyệt đối nhưng các chuyên gia bảo mật cho rằng sử dụng ứng dụng xác thực (authenticator app) là phương án an toàn hơn. Để tránh rủi ro của SMS, người dùng có thể chuyển sang sử dụng các ứng dụng xác thực như Google Authenticator hay Microsoft Authenticator.
Các ứng dụng này vẫn có thể bị tấn công kiểu "kẻ trung gian" (adversary in the middle) nhưng Ant Allan vẫn đánh giá nó an toàn hơn nhiều so với việc nhận OTP qua tin nhắn SMS.
Khi sử dụng ứng dụng xác thực, người dùng chỉ nhận được một mã duy nhất cho mỗi lần đăng nhập. Sau khoàng 30-60 giây, mã này sẽ tự động hết hạn. Mã nằm ngay trên thiết bị, không có thông tin nào được gửi đến số điện thoại. Nguy cơ bị tấn công giảm mạnh khi thiết bị được bảo vệ bằng mật khẩu, ngận diện khuôn mặt.
Tuy nhiên, người dùng vẫn phải đối mặt với những rủi ro. Chặng hạn như, kẻ xấu có thể tạo ra các email giả mạo có giao diện trong rất thật. Trong email này có chứa các liên kết độc hại. Nếu người dùng bấm vào liên kết này, nhập tên đăng nhập, mật khẩu và mã xác thực, hacker có thể nhanh chóng chiếm đoạt các dữ liệu quan trọng, tiến tới chiếm đoạt tài sản của con mồi.
Sử dụng thông báo xác thực qua ứng dụng (mobile app push) là một lựa chọn bảo mật cao hơn. Người dùng đăng nhập vào các ứng dụng như ngân hàng hoặc dịch vụ khác. Khi đó, hệ thông sẽ gửi thông báo đến điện thoại để xác nhận danh tính. Phương thức này không phụ thuộc vào thiết bị đăng nhập. Chuyên gia cho rằng nó an toàn so với khi nhận OTP qua SMS điện thoại hoặc qua ứng dụng xác thực.
Tuy nhiên, như đã nói ở trên, không có phương pháp nào là an toàn tuyệt đối. Các hacker cũng luôn tìm kiếm những phương pháp mới để tấn công, lấy cắp thông tin, chiếm đoạt tài sản của người dùng.
