2FA an toàn như thế nào với mã một lần? Ưu nhược điểm của hình thức xác thực 2 yếu tố này (Phần 2)

www.tuoitre.vn -   03/03/2023 08:00:00 298

Trong bài viết trước, Kaspersky đã nói về cách mà hình thức bảo mật xác thực 2 yếu tố bằng ứng dụng xác thực hoạt động. Trong bài viết này hãy cùng Kaspersky tiếp tục phân tích ưu nhược điểm của hình thức này nhé!

2FA an toàn như thế nào với mã một lần? Ưu nhược điểm của hình thức xác thực 2 yếu tố này (Phần 2)

Bạn có thể xem lại bài viết trước tại đây.

Những ưu điểm chính của xác thực mã một lần từ ứng dụng:

Bảo vệ tốt chống rò rỉ: chỉ mật khẩu thôi là chưa đủ để có quyền truy cập vào tài khoản — bạn cũng cần có mã dùng một lần.

Bảo vệ tốt chống lại việc chặn mã một lần này. Vì mã này chỉ có hiệu lực trong 30 giây nên tin tặc không có nhiều thời gian để sử dụng nó.

Không thể khôi phục khóa bí mật từ mã dùng một lần, vì vậy ngay cả khi mã bị chặn, kẻ tấn công sẽ không thể sao chép trình xác thực.

Không cần kết nối internet trên thiết bị tạo mã một lần. Nó có thể được giữ hoàn toàn cách ly với nó.

Như bạn có thể thấy, hệ thống được cân nhắc kỹ lưỡng. Các nhà phát triển của nó đã làm mọi thứ trong khả năng của họ để làm cho nó an toàn nhất có thể. Nhưng không có giải pháp nào là hoàn toàn an toàn. Vì vậy, ngay cả khi sử dụng xác thực bằng mã từ một ứng dụng, vẫn có một số rủi ro cần xem xét và các biện pháp phòng ngừa cần thực hiện.

Rò rỉ, hack email và cách giải quyết

Có một vấn đề quan trọng bắt nguồn từ thực tế là các dịch vụ thường không muốn mất người dùng của họ chỉ vì một chi tiết nhỏ khó chịu như mất trình xác thực (điều này có thể xảy ra với bất kỳ ai); do đó, họ thường cung cấp một cách khác để đăng nhập vào tài khoản: gửi mã một lần hoặc liên kết xác nhận tới một địa chỉ email được liên kết.

Điều này có nghĩa là nếu xảy ra rò rỉ và những kẻ tấn công biết cả mật khẩu và địa chỉ email được liên kết đến, chúng có thể thử sử dụng phương pháp thay thế này để đăng nhập vào tài khoản. Và nếu e-mail của bạn được bảo vệ kém (đặc biệt nếu bạn sử dụng cùng một mật khẩu cho nó và không bật xác thực hai yếu tố) thì rất có khả năng tin tặc có thể bỏ qua việc nhập mã một lần từ ứng dụng.

Cách giải quyết :

Hãy để mắt đến những rò rỉ dữ liệu và kịp thời thay đổi mật khẩu cho các dịch vụ bị ảnh hưởng.

Không sử dụng cùng một mật khẩu cho các dịch vụ khác nhau. Điều này đặc biệt quan trọng đối với e-mail mà các tài khoản khác được liên kết.

Một số dịch vụ cho phép bạn vô hiệu hóa các phương pháp đăng nhập thay thế. Đối với các tài khoản đặc biệt có giá trị, bạn nên thực hiện việc này (nhưng đừng quên sao lưu trình xác thực — có thêm thông tin về điều này bên dưới).

Tiếp cận vật lý

Ai đó có thể nhìn qua vai bạn khi bạn đang sử dụng ứng dụng xác thực và xem mã một lần. Và không chỉ một mã, vì trình xác thực thường hiển thị nhiều mã liên tiếp. Vì vậy, kẻ xâm nhập có thể đăng nhập vào bất kỳ tài khoản nào trong số đó nếu chúng nhìn thấy mã. Tất nhiên, tin tặc sẽ không có nhiều thời gian để tận dụng những gì chúng bắt gặp. Nhưng tốt hơn hết là không nên mạo hiểm — 30 giây có thể là đủ thời gian cho một kẻ lừa đảo trên mạng nhanh nhẹn…

Tình hình sẽ nguy hiểm hơn nếu ai đó xoay sở để có được một chiếc điện thoại thông minh đã mở khóa bằng trình xác thực. Trong trường hợp này, ai đó có thể tận dụng cơ hội để đăng nhập vào tài khoản của bạn mà không gặp nhiều rắc rối hoặc vội vàng.

Làm thế nào để giảm thiểu rủi ro :

Sử dụng ứng dụng xác thực không hiển thị mã trên màn hình theo mặc định (có khá nhiều mã).

Đặt mật khẩu mạnh để mở khóa điện thoại thông minh đã cài đặt ứng dụng xác thực và bật khóa màn hình tự động sau một thời gian ngắn không hoạt động.

Sử dụng ứng dụng mà bạn có thể đặt thêm mật khẩu đăng nhập (cũng có những ứng dụng như vậy).

Trên đây là những rủi ro bạn có thể gặp phải khi sử dụng 2FA (Xác thực 2 yếu tố) cho tài khoản của mình cũng như một số lời khuyên từ chuyên gia để giảm thiểu rủi ro. Mời bạn xem bài viết tiếp theo tại đây.

2FA thật sự an toàn? Những rủi ro có thể gặp phải và giải pháp giảm thiểu (Phần 3)

Hương

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 118
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 103
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 104
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 91
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 95
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 67
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ