Xác thực bảo mật hai lớp (2FA) vẫn có 5 nguy cơ mất an toàn

Ngày nay, chỉ sử dụng mật mã thôi là chưa đủ. Trong hầu hết các trường hợp, chúng ta tốt hơn nên sử dụng thêm một lớp bảo mật nữa, đặc biệt nếu bạn có ý định sử dụng cùng một mật mã cho mọi tài khoản trực tuyến của mình.

Xác thực hai lớp (2FA) thường là lựa chọn đầu tiên cần nghĩ đến để đảm bảo an toàn cho các tài khoản quan trọng. Nhưng dù 2FA bổ sung thêm một lớp bảo mật, nó không phải là một giải pháp toàn diện như bạn tưởng.

Tại sao lại như vậy? Những nguy cơ bảo mật nào vẫn hiện hữu mặc cho bạn đã sử dụng tính năng xác thực bổ sung này?

Xác thực hai lớp là gì?

Đúng như tên gọi, 2FA là việc sử dụng hai cấp độ xác thực cho các tài khoản trực tuyến. Cấp độ cơ bản là mật mã. Sau khi đặt mật mã, bạn sẽ cần xác thực danh tính theo một cách khác nữa. Những phương thức phổ biến để làm việc này bao gồm:

- Gửi mã qua tin nhắn SMS

- Nhận dạng vân tay hay khuôn mặt

- Xác thực qua thông báo đẩy

Những nguy cơ bảo mật của 2FA

Ý tưởng đằng sau 2FA khá đơn giản. Bất kỳ ai cũng có thể đoán được mật mã của bạn, nhưng chỉ có bạn mới tiếp cận được với cấp độ xác thực thứ hai.

Không may là điều đó không phải lúc nào cũng đúng. Dưới đây là 5 nguy cơ bạn cần lưu ý.

1. Đổi SIM

Đổi SIM không phải là tháo thẻ SIM trong điện thoại của bạn ra và lắp nó vào thiết bị của kẻ gian. Thay vào đó, kẻ gian sẽ gọi điện thoại cho nhà mạng và giả vờ như chúng là bạn. Sau đó, chúng tìm cách thuyết phục nhà mạng đưa số của bạn vào thẻ SIM chúng đang giữ.

Để đổi SIM thành công, kẻ đang tìm cách đánh cắp danh tính của bạn sẽ phải biết một vài chi tiết về tài khoản của bạn - ví dụ như mật mã hoặc câu trả lời đối với các câu hỏi bí mật.

Sau khi nắm được thông tin này, kẻ gian sẽ chờ đợi người bên kia đầu dây (nhân viên nhà mạng) mắc lừa. Nếu mọi chuyện thuận lợi, số của bạn đã rơi vào tay kẻ gian - có nghĩa là chúng có thể sử dụng 2FA để đăng nhập vào tài khoản của bạn.

2. Ai đó có thể sử dụng thiết bị của bạn

Đôi lúc, những tên tội phạm mạng không nhất thiết phải bỏ công sức để đổi SIM như trên. Có thể bạn vô tình để quên điện thoại ở đâu đó, hoặc ai đó có thể đánh cắp nó từ bạn.

Khi đã nắm trong tay điện thoại của bạn, có khả năng chúng sẽ tìm được cách mở khoá thiết bị rồi sử dụng nó để đăng nhập vào các tài khoản của bạn bằng 2FA.

Nếu bạn đánh mất thiết bị, bạn cần ra tay để hạn chế rủi ro. Gọi ngay cho nhà mạng để yêu cầu huỷ SIM, và làm điều tương tự với bất kỳ thẻ ngân hàng hay những thứ quan trọng khác bạn đang lưu trữ trên điện thoại.

Ngoài ra, đừng quên xoá sạch dữ liệu smartphone từ xa trong trường hợp biết chắc khó mà tìm lại được. Quy trình này có thể khác nhau tuỳ thuộc bạn dùng điện thoại Android hay iPhone.

3. Tấn công Man-in-the-Middle (MITM)

Bất kỳ khi nào bạn chia sẻ thông tin lên mạng, bạn cũng sẽ không bao giờ được an toàn 100% - kể cả khi sử dụng 2FA. Nhiều hacker sử dụng phương thức tấn công MITM để đánh cắp thông tin của bạn sau khi bạn đã chia sẻ nó.

Quá trình tấn công MITM bao gồm việc hacker xâm nhập vào đường truyền dữ liệu của bạn và đóng vai cả hai bên truyền/nhận dữ liệu. Một vấn đề đáng chú ý với phương thức này là bạn sẽ không biết nó đang diễn ra.

May thay, có nhiều cách giúp bạn tự bảo vệ trước các cuộc tấn công MITM. Sử dụng một VPN có độ bảo mật cao sẽ mã hoá thông tin của bạn, đồng nghĩa hacker không còn cách nào để chiếm giữ nó.

Bạn cũng có thể tự bảo vệ mình trước một cuộc tấn công MITM bằng cách ngừng sử dụng mạng Wi-Fi công cộng. Nhiều mạng như vậy không bảo mật và việc thu thập thông tin người dùng sẽ dễ dàng hơn nhiều đối với các hacker. Thay vào đó, chỉ sử dụng các mạng không dây bảo mật, như mạng Wi-Fi tại nhà hay văn phòng.

4. Đăng nhập vào các website phishing

Phishing là một trong những chiêu thức lừa đảo lâu đời nhất trên internet, tuy nhiên lý do các hacker vẫn sử dụng nó là bởi tính hiệu quả khá cao. Dù việc nhận biết một email phishing là tương đối dễ dàng, xác định một website phishing lại phức tạp hơn một chút.

Thông thường, các website phishing sẽ trông tương tự - nếu không muốn nói là giống hệt - website mà bạn đang muốn truy cập. Nếu bạn sử dụng các website phishing này và nhập vào thông tin cá nhân, như tài khoản ngân hàng, hacker có thể chiếm đoạt và gây ra những hậu quả khôn lường.

Dù các website phishing khó bị phát hiện, bạn có thể quan sát những dấu hiệu nhỏ nhặt để tự bảo vệ mình, như:

-Địa chỉ URL hơi bất thường (ví dụ: sử dụng tên miền .co trong khi website chính thức là .com)

-Thiết kế trang web trông hơi khác bình thường

-Lỗi chính tả

Nếu phát hiện vừa truy cập một website phishing, hãy đóng ngay lập tức. Bạn có thể sử dụng một số phần mở rộng dành cho các trình duyệt để kiểm tra liệu website mình sắp truy cập có an toàn hay không.

5. Đánh mất thông tin định danh

Gần như tất cả chúng ta đều từng một lần vất vả tìm cách thay đổi mật mã sau khi vô tình quên mất thông tin quan trọng này. Và dù bạn cho rằng 2FA sẽ giúp bản thân tránh được (hoặc ít nhất cũng giảm thiểu) vấn đề, mọi chuyện không phải lúc nào cũng suôn sẻ.

Kể cả khi sử dụng 2FA, bạn vẫn có thể đánh mất thông tin định danh của mình. Ví dụ, bạn có thể phải cập nhật số điện thoại sau khi đổi sang số mới.

Nếu không cập nhật các thông tin phục vụ 2FA ngay khi đánh mất, bạn sẽ đứng trước nguy cơ bị ai đó lấy được chúng và đăng nhập vào tài khoản. Luôn đảm bảo rằng số điện thoại, địa chỉ email, và bất kỳ thứ gì khác mà bạn sử dụng cho 2FA luôn được cập nhật kịp thời.

Đừng chỉ dựa dẫm vào phương thức bảo mật xác thực hai lớp

Nếu những thông tin nói trên khiến bạn lo ngại việc sử dụng 2FA, hãy bình tĩnh nào! Có thêm các lớp bảo mật cho tài khoản của mình là điều cần thiết, và 2FA là một trong những phương thức hữu hiệu nhất để đối phó với những kẻ có dụng ý xấu.

Tuy nhiên, điều quan trọng không kém là đừng xem phương thức này như giải pháp duy nhất. 2FA không “vô đối”, và thông tin của bạn hoàn toàn có thể rơi vào tay kẻ gian nếu không cẩn thận.

Hãy xác định những mối nguy khi duyệt web, giữ thông tin cẩn thận và luôn cập nhật kịp thời những thay đổi, đồng thời thông báo cho các bên liên quan trong trường hợp có sự cố xảy ra hoặc có thay đổi từ phía bạn. Khi đảm bảo được những yêu cầu đó, bạn có thể an tâm hơn một chút khi vi vu trên mạng rồi!