Google gần đây công bố sẽ loại bỏ tin nhắn SMS khỏi phương thức xác thực hai yếu tố cho Gmail và chuyển sang phương pháp an toàn hơn bằng mã QR.
Giảm thiểu tình trạng lạm dụng SMS
Trong cuộc trò chuyện qua email với Forbes được đăng vào ngày 23/2 vừa qua, người phát ngôn của Gmail, Ross Richendrfer đã mô tả về thay đổi sắp tới này. Thay vì nhập số điện thoại của bạn và nhận mã xác thực sáu chữ số qua tin nhắn SMS, bạn sẽ thấy mã QR để quét bằng camera điện thoại. Ross Richendrfer cho biết Google đang thực hiện thay đổi này để "giảm tác động của tình trạng lạm dụng SMS tràn lan trên toàn cầu".
Trong email gửi tới trang Zdnet, Ross Richendrfer đã cung cấp thêm thông tin chi tiết.
Sử dụng xác thực hai yếu tố với các tài khoản trực tuyến được coi là cách để xác minh danh tính và bảo mật cho người dùng trước nguy cơ bị hacker tấn công. Nhưng có một số hình thức xác thực hai yếu tố tốt hơn những hình thức khác. Một phương pháp phổ biến là nhận mã xác nhận qua tin nhắn văn bản SMS. Tuy nhiên, loại giao tiếp không được mã hóa đó có thể bị tội phạm mạng khai thác.
Tại sao lại là mã QR?
Nếu bạn đang thắc mắc tại sao mã QR, Ross Richendrfer và giám đốc truyền thông bảo mật của Google Kimberly Samra đã tập trung vào các lỗ hổng của xác thực SMS.
Kẻ lừa đảo có thể giả mạo một tin nhắn như vậy để lừa bạn chia sẻ mã xác minh chính xác. Bạn có thể không phải lúc nào cũng có quyền truy cập vào thiết bị mà bạn nhận được mã. Và thông qua việc hoán đổi SIM, nhà mạng di động có thể bị lừa chuyển số điện thoại của nạn nhân, cho phép kẻ lừa đảo nhận được tin nhắn SMS làm mất đi giá trị bảo mật của xác thực.
Đó là lý do tại sao một ứng dụng xác thực chuyên dụng, chẳng hạn như Microsoft Authentication hoặc Google Authenticator, là một giải pháp thay thế an toàn hơn. Khóa bảo mật vật lý cũng an toàn hơn nhiều so với tin nhắn SMS. Nhưng các phương pháp đó có thể mất thời gian để thiết lập, đó có thể là lý do tại sao Google đang lựa chọn phương pháp tiếp cận mã QR đơn giản hơn nhưng vẫn mạnh mẽ hơn là tin nhắn SMS.
Hiện tại, Google sử dụng xác minh SMS cho hai mục đích: bảo mật và kiểm soát lạm dụng, Ross Richendrfer nói với Forbes và ZDNET. Mục đích đầu tiên là đảm bảo rằng công ty đang giao dịch với cùng một người dùng như trong các tương tác trước đó. Thứ hai là đảm bảo rằng những kẻ lừa đảo không lạm dụng các dịch vụ của Google. Một ví dụ về điều sau xảy ra khi tội phạm mạng tạo tài khoản Google để gửi thư rác và phần mềm độc hại.
Một thủ thuật khác mà những kẻ lừa đảo sử dụng là thứ gọi là bơm lưu lượng truy cập, còn được gọi là "lạm phát lưu lượng truy cập nhân tạo" hoặc "gian lận phí cầu đường". Theo Ross Richendrfer, xuất hiện trong hai đến ba năm qua, "đó là nơi những kẻ lừa đảo cố gắng khiến các nhà cung cấp dịch vụ trực tuyến tạo ra một số lượng lớn tin nhắn SMS đến các số mà chúng kiểm soát, do đó được trả tiền mỗi khi một trong những tin nhắn này được gửi đi".
Những lợi ích của việc xác thực bằng mã QR
Mặc dù mã QR có thể không lý tưởng như các ứng dụng xác thực hoặc khóa bảo mật vật lý, nhưng chúng mang lại một số lợi ích, theo Google.
Đầu tiên, mã QR loại bỏ mã xác thực số, do đó không có mã nào để kẻ lừa đảo chặn hoặc khai thác. Thứ hai, chúng không phụ thuộc vào bất kỳ biện pháp bảo vệ chống lạm dụng hoặc chống hoán đổi SMS nào có thể được áp dụng với nhà mạng di động.
"Mã SMS là nguồn rủi ro cao hơn đối với người dùng", Richendrfer nói thêm, theo Forbes. "Chúng tôi rất vui mừng giới thiệu một phương pháp tiếp cận mới mang tính sáng tạo để thu hẹp diện tích bề mặt cho những kẻ tấn công và giữ cho người dùng an toàn hơn khỏi các hoạt động độc hại".
Khi nào thì quá trình chuyển đổi này có thể diễn ra?
Ross Richendrfer không cung cấp khung thời gian cụ thể cho quá trình chuyển đổi nhưng cho biết, "Trong vài tháng tới, chúng tôi sẽ hình dung lại cách chúng tôi xác minh số điện thoại" và yêu cầu mọi người "tìm hiểu thêm về vấn đề này từ chúng tôi trong tương lai gần". Với những điểm yếu và hạn chế của xác thực SMS, quá trình chuyển đổi này có lẽ không dễ để diễn ra sớm hơn được.
Giảm thiểu tình trạng lạm dụng SMS
Trong cuộc trò chuyện qua email với Forbes được đăng vào ngày 23/2 vừa qua, người phát ngôn của Gmail, Ross Richendrfer đã mô tả về thay đổi sắp tới này. Thay vì nhập số điện thoại của bạn và nhận mã xác thực sáu chữ số qua tin nhắn SMS, bạn sẽ thấy mã QR để quét bằng camera điện thoại. Ross Richendrfer cho biết Google đang thực hiện thay đổi này để "giảm tác động của tình trạng lạm dụng SMS tràn lan trên toàn cầu".
Trong email gửi tới trang Zdnet, Ross Richendrfer đã cung cấp thêm thông tin chi tiết.
Sử dụng xác thực hai yếu tố với các tài khoản trực tuyến được coi là cách để xác minh danh tính và bảo mật cho người dùng trước nguy cơ bị hacker tấn công. Nhưng có một số hình thức xác thực hai yếu tố tốt hơn những hình thức khác. Một phương pháp phổ biến là nhận mã xác nhận qua tin nhắn văn bản SMS. Tuy nhiên, loại giao tiếp không được mã hóa đó có thể bị tội phạm mạng khai thác.
Tại sao lại là mã QR?
Nếu bạn đang thắc mắc tại sao mã QR, Ross Richendrfer và giám đốc truyền thông bảo mật của Google Kimberly Samra đã tập trung vào các lỗ hổng của xác thực SMS.
Kẻ lừa đảo có thể giả mạo một tin nhắn như vậy để lừa bạn chia sẻ mã xác minh chính xác. Bạn có thể không phải lúc nào cũng có quyền truy cập vào thiết bị mà bạn nhận được mã. Và thông qua việc hoán đổi SIM, nhà mạng di động có thể bị lừa chuyển số điện thoại của nạn nhân, cho phép kẻ lừa đảo nhận được tin nhắn SMS làm mất đi giá trị bảo mật của xác thực.
Đó là lý do tại sao một ứng dụng xác thực chuyên dụng, chẳng hạn như Microsoft Authentication hoặc Google Authenticator, là một giải pháp thay thế an toàn hơn. Khóa bảo mật vật lý cũng an toàn hơn nhiều so với tin nhắn SMS. Nhưng các phương pháp đó có thể mất thời gian để thiết lập, đó có thể là lý do tại sao Google đang lựa chọn phương pháp tiếp cận mã QR đơn giản hơn nhưng vẫn mạnh mẽ hơn là tin nhắn SMS.
Hiện tại, Google sử dụng xác minh SMS cho hai mục đích: bảo mật và kiểm soát lạm dụng, Ross Richendrfer nói với Forbes và ZDNET. Mục đích đầu tiên là đảm bảo rằng công ty đang giao dịch với cùng một người dùng như trong các tương tác trước đó. Thứ hai là đảm bảo rằng những kẻ lừa đảo không lạm dụng các dịch vụ của Google. Một ví dụ về điều sau xảy ra khi tội phạm mạng tạo tài khoản Google để gửi thư rác và phần mềm độc hại.
Một thủ thuật khác mà những kẻ lừa đảo sử dụng là thứ gọi là bơm lưu lượng truy cập, còn được gọi là "lạm phát lưu lượng truy cập nhân tạo" hoặc "gian lận phí cầu đường". Theo Ross Richendrfer, xuất hiện trong hai đến ba năm qua, "đó là nơi những kẻ lừa đảo cố gắng khiến các nhà cung cấp dịch vụ trực tuyến tạo ra một số lượng lớn tin nhắn SMS đến các số mà chúng kiểm soát, do đó được trả tiền mỗi khi một trong những tin nhắn này được gửi đi".
Những lợi ích của việc xác thực bằng mã QR
Mặc dù mã QR có thể không lý tưởng như các ứng dụng xác thực hoặc khóa bảo mật vật lý, nhưng chúng mang lại một số lợi ích, theo Google.
Đầu tiên, mã QR loại bỏ mã xác thực số, do đó không có mã nào để kẻ lừa đảo chặn hoặc khai thác. Thứ hai, chúng không phụ thuộc vào bất kỳ biện pháp bảo vệ chống lạm dụng hoặc chống hoán đổi SMS nào có thể được áp dụng với nhà mạng di động.
"Mã SMS là nguồn rủi ro cao hơn đối với người dùng", Richendrfer nói thêm, theo Forbes. "Chúng tôi rất vui mừng giới thiệu một phương pháp tiếp cận mới mang tính sáng tạo để thu hẹp diện tích bề mặt cho những kẻ tấn công và giữ cho người dùng an toàn hơn khỏi các hoạt động độc hại".
Khi nào thì quá trình chuyển đổi này có thể diễn ra?
Ross Richendrfer không cung cấp khung thời gian cụ thể cho quá trình chuyển đổi nhưng cho biết, "Trong vài tháng tới, chúng tôi sẽ hình dung lại cách chúng tôi xác minh số điện thoại" và yêu cầu mọi người "tìm hiểu thêm về vấn đề này từ chúng tôi trong tương lai gần". Với những điểm yếu và hạn chế của xác thực SMS, quá trình chuyển đổi này có lẽ không dễ để diễn ra sớm hơn được.
