Khóa hai lớp bảo vệ tài khoản an toàn tuyệt đối

3 giờ trướcBài gốc

Authenticator là ứng dụng xác thực hoàn toàn không cần kết nối mạng. Đồ họa: Thái Bình

Hiểu đúng về ổ khóa thứ hai trên không gian mạng

Thói quen thông thường của đa số người dùng là đặt mật khẩu rất đơn giản như ngày sinh, dãy số dễ nhớ hoặc tên người thân để thuận tiện cho việc truy cập. Chính sự tiện lợi này lại trở thành lỗ hổng chết người, khiến kẻ xấu dễ dàng dò tìm và chiếm quyền kiểm soát tài khoản. Ngay cả khi người dùng đặt mật khẩu phức tạp, nguy cơ bị lộ vẫn rất cao, nếu vô tình truy cập vào các đường dẫn lạ hoặc thiết bị bị cài phần mềm gián điệp. Khi kẻ gian có được mật khẩu, tài khoản đó coi như đã mất và hậu quả để lại thường rất nặng nề, từ việc mất tiền trong tài khoản ngân hàng cho đến việc bị mạo danh để lừa đảo người thân, bạn bè.

Để ngăn chặn tình trạng này, giải pháp xác thực hai yếu tố, hay còn gọi tắt là 2FA, đã ra đời. Mật khẩu đăng nhập chỉ đóng vai trò là lớp cổng gác đầu tiên; người dùng chưa thể tiếp cận ngay được tài sản bên trong mà phải vượt qua lớp cửa thứ hai, yêu cầu một mã số đặc biệt chỉ xuất hiện và có hiệu lực trong một khoảng thời gian rất ngắn, thường là 30 giây đến một phút. Mã số này được gọi là mã xác thực. Nếu kẻ gian đánh cắp được mật khẩu đăng nhập nhưng không có trong tay thiết bị để nhận hoặc tạo ra mã xác thực này thì cũng không thể nào xâm nhập được vào tài khoản.

Cơ chế hoạt động của xác thực hai lớp dựa trên nguyên tắc kết hợp “những gì người dùng biết” và “những gì người dùng sở hữu”. Mật khẩu là thứ người dùng biết và ghi nhớ trong đầu, mã xác thực là thứ người dùng nhận được thông qua một thiết bị mà họ đang sở hữu, thường là điện thoại di động. Đối với cán bộ, chiến sĩ lực lượng vũ trang thường xuyên phải thực hiện nhiệm vụ, việc bảo mật thông tin cá nhân càng trở nên quan trọng hơn bao giờ hết để tránh lộ, lọt thông tin nhạy cảm.

Mã xác thực qua tin nhắn

Phương thức phổ biến nhất hiện nay để nhận mã xác thực lớp thứ hai là thông qua tin nhắn văn bản, hay còn gọi là SMS OTP. Khi người dùng đăng nhập vào tài khoản ngân hàng hoặc mạng xã hội trên một thiết bị mới, hệ thống sẽ tự động gửi một dãy số ngẫu nhiên gồm 4 đến 6 chữ số về số điện thoại đã đăng ký. Người dùng chỉ cần nhập đúng dãy số này vào ô yêu cầu trên màn hình là có thể hoàn tất quá trình đăng nhập. Ưu điểm lớn nhất của phương thức này là sự quen thuộc và dễ sử dụng, nên việc tiếp cận phương thức bảo mật này không gặp nhiều rào cản về mặt thao tác. Hơn nữa, phương thức này không yêu cầu người dùng phải cài đặt thêm bất kỳ ứng dụng nào khác hay phải sở hữu điện thoại thông minh cấu hình cao.

Tuy nhiên, đối với đặc thù địa bàn biên giới, hải đảo, nơi cán bộ, chiến sĩ lực lượng vũ trang đóng quân và đồng bào sinh sống, phương thức nhận mã qua tin nhắn SMS bộc lộ nhiều nhược điểm chí mạng như phụ thuộc hoàn toàn vào sóng di động. Tại các khu vực vùng sâu, vùng xa, sóng điện thoại thường chập chờn, không ổn định; thậm chí có những nơi hoàn toàn không có sóng hoặc sóng bị chuyển vùng sang mạng di động của nước bạn. Khi thực hiện giao dịch chuyển tiền hoặc đăng nhập tài khoản quan trọng, việc tin nhắn đến chậm vài phút, khi người dùng nhập vào thì mã đã hết hiệu lực, buộc phải thực hiện lại quy trình từ đầu, rất dễ gây ức chế và mất thời gian.

Một rủi ro khác của phương thức SMS OTP nằm ở khía cạnh an ninh viễn thông. Tin nhắn văn bản không được mã hóa đầu cuối một cách chặt chẽ, do đó, tin tặc có trình độ cao có thể sử dụng các thiết bị chuyên dụng để đánh chặn nội dung tin nhắn hoặc thực hiện kỹ thuật hoán đổi SIM để chiếm đoạt số điện thoại của nạn nhân, từ đó dễ dàng nhận được mã OTP và chiếm đoạt tài khoản, dù người dùng vẫn đang giữ điện thoại bên mình. Ngoài ra, hiện nay, tình trạng tin nhắn giả mạo thương hiệu ngân hàng hay các tổ chức uy tín đang diễn biến phức tạp. Kẻ xấu có thể gửi tin nhắn giả mạo kèm đường dẫn độc hại ngay vào luồng tin nhắn thật của ngân hàng, khiến người dùng thiếu cảnh giác dễ dàng mắc bẫy. Do đó, dù tiện lợi, SMS OTP không còn được coi là phương thức bảo mật tối ưu nhất, đặc biệt là tại các khu vực có hạ tầng viễn thông chưa hoàn thiện.

SMS OTP không còn được coi là phương thức bảo mật tối ưu nhất, đặc biệt là tại các khu vực có hạ tầng viễn thông chưa hoàn thiện. Đồ họa: Thái Bình

Ứng dụng tạo mã tự động

Để khắc phục hoàn toàn nhược điểm của việc phụ thuộc vào sóng điện thoại, các nhà lập trình đã phát triển một công cụ thay thế hiệu quả hơn, đó là ứng dụng tạo mã xác thực, hay còn gọi là Authenticator. Các ứng dụng phổ biến và uy tín nhất hiện nay có thể kể đến như Google Authenticator hay Microsoft Authenticator. Ứng dụng này sẽ tự động sinh ra mã xác thực ngay trên chính chiếc điện thoại của người dùng dựa trên một thuật toán thời gian thực đã được đồng bộ hóa từ trước, gồm 6 chữ số và thay đổi liên tục cứ mỗi 30 giây một lần. Khi mã cũ hết hạn, một mã mới sẽ lập tức xuất hiện, đảm bảo tính duy nhất và bảo mật cao độ.

Điểm ưu việt tuyệt đối của ứng dụng Authenticator chính là khả năng hoạt động ngoại tuyến. Ứng dụng này không cần kết nối Internet, không cần sóng Wifi, không cần sóng điện thoại và thậm chí hoạt động bình thường khi điện thoại đang ở chế độ máy bay. Điều này có nghĩa là dù đang ở khu vực không có sóng, người dùng vẫn có thể lấy được mã xác thực để đăng nhập vào các ứng dụng cần thiết trên thiết bị đã cài đặt sẵn. Việc này đảm bảo tính liên tục và chủ động trong mọi hoàn cảnh, xóa bỏ nỗi lo tắc nghẽn mạng hay chậm trễ tin nhắn. Đồng thời, vì mã được sinh ra ngay trên máy, kẻ gian không thể đánh chặn từ xa qua mạng viễn thông như đối với tin nhắn SMS.

Người dùng tải ứng dụng về điện thoại, sau đó, trong phần cài đặt bảo mật của tài khoản, chọn mục xác thực hai yếu tố qua ứng dụng. Hệ thống sẽ hiện ra một mã QR, cho phép dùng ứng dụng Authenticator quét mã này để thiết lập liên kết. Từ đó, ứng dụng sẽ liên tục tạo ra mã khóa cho tài khoản đó mà không cần bất kỳ kết nối nào nữa. Khi cài đặt, hệ thống thường cung cấp một bộ mã dự phòng hoặc mã khôi phục, cần được ghi chép cẩn thận ra giấy và cất giữ ở nơi an toàn như cất giữ sổ tiết kiệm. Nếu chẳng may bị mất điện thoại hoặc hỏng điện thoại, việc khôi phục lại quyền truy cập vào tài khoản sẽ rất khó khăn, nếu không có các mã dự phòng này.

Tuyệt đối không bao giờ cung cấp mã xác thực OTP hay mã từ ứng dụng Authenticator cho bất kỳ ai, kể cả người tự xưng là công an, nhân viên ngân hàng hay cán bộ Nhà nước. Các cơ quan chức năng và ngân hàng không bao giờ yêu cầu người dân đọc mã này qua điện thoại. Nếu có ai đó yêu cầu cung cấp mã, chắc chắn đó là hành vi lừa đảo. Hãy coi mã xác thực như chìa khóa két sắt riêng, chỉ một mình bản thân được biết và sử dụng.

Thái Bình

Nguồn Biên Phòng : https://bienphong.com.vn/khoa-hai-lop-bao-ve-tai-khoan-an-toan-tuyet-doi-post499838.html