Phương thức xác thực 2 yếu tố đã không còn an toàn

14:00 | 16/01/2019 | HACKER / MALWARE

Hầu hết người dùng khi sử dụng các thiết bị thông minh hay các tài khoản mạng xã hội, ngân hàng, thanh toán trực tuyến đều áp dụng tính năng xác thực 2 yếu tố, với sự tin tưởng đây là một phương pháp hiệu quả để ngăn chặn tin tặc. Tuy nhiên, theo một công bố mới đây, phương thức này đã không còn thực sự an toàn.

Phương thức xác thực 2 yếu tố đã không còn an toàn

Mới đây, một nhóm tin tặc đã dễ dàng vượt qua phương thức xác thực 2 yếu tố. Chúng đã đánh lừa được hơn 1.000 người ở khu vực Trung Đông và Bắc Phi thông qua việc sử dụng thư điện tử và các trang web giả mạo để lừa nạn nhân đăng nhập, lấy cắp thông tin.

Xác thực 2 yếu tố là giải pháp bảo mật được thiết kế để bảo vệ các tài khoản trực tuyến trong trường hợp mật khẩu bị đánh cắp. Phương thức xác thực này được hoạt động như sau: Khi truy cập vào tài khoản, người dùng không chỉ điền thông tin đăng nhập như bình thường, mà còn phải cung cấp thêm một mã xác thực gồm nhiều chữ số được gửi qua số điện thoại cá nhân.

Tuy nhiên, chuỗi mã xác thực thường chỉ là một chuỗi các số ngẫu nhiên được tạo, đây cũng chính là lỗ hổng của phương thức bảo mật này. Vì thế, tin tặc đã tìm cách chiếm quyền sử dụng đoạn mã xác thực đó.

Nhóm tin tặc đã vượt qua phương thức xác thực hai yếu tố bằng cách gửi các cảnh báo bảo mật giả mạo. Nội dung các cảnh báo đánh lừa nạn nhân rằng, tài khoản của họ có thể đã bị đăng nhập trái phép và yêu cầu họ đặt lại mật khẩu trong trang đăng nhập của Google.

Các tin tặc đã tạo ra một quy trình giả mạo để lừa đảo chiếm đoạt mật khẩu và mã xác thực 2 yếu tố của nạn nhân. Theo các chuyên gia, các tin tặc đã xây dựng một hệ thống tự động. Hệ thống này sẽ khởi chạy trên trình duyệt Chrome và tự động đánh cắp các chi tiết đăng nhập của người dùng, rồi gửi đến các dịch vụ được chỉ định, bao gồm cả các mã xác thực 2 yếu tố được gửi qua SMS.

Các chuyên gia khuyến nghị người dùng nên áp dụng phương thức xác thực 2 yếu tố, nhưng cũng cần nhận thức rằng hệ thống này vẫn còn những hạn chế nhất định chứ không thực sự hoàn hảo, do đó cần cẩn trọng bảo vệ thông tin của mình.

ĐT

Theo SecurityBox

‹ › ×

Tin liên quan

WatchGuard AuthPoint - công cụ xác thực đa yếu tố

16:00 | 08/11/2018

Rủi ro an toàn thông tin mà hầu hết các doanh nghiệp đều gặp phải không chỉ là vấn đề về mặt kỹ thuật mà còn xuất phát từ yếu tố con người và cách sử dụng mật khẩu. Để giúp cho các doanh nghiệp tránh được vấn đề này, hãng bảo mật WatchGuard đã ra mắt sản phẩm AuthPoint.

Ứng dụng xác thực hai lớp có khả năng cài đặt trojan độc hại trên thiết bị của người dùng

15:00 | 17/02/2022

Một ứng dụng xác thực hai lớp trên Google Play Store có khả năng cài đặt trojan độc hại trên thiết bị của người dùng.

Kết hợp các phương pháp xác thực trong ngân hàng để tăng tính bảo mật

13:00 | 18/09/2018

Một trong những yêu cầu quan trọng của của an toàn thông tin là xác thực danh tính (authentication) của đối tượng được cấp quyền sử dụng các tài nguyên điện toán (authorization digital resources) như truy nhập tài khoản, thực hiện giao dịch trực tuyến, hay truy nhập máy tính… Phương thức xác thực trực tuyến phổ biến nhất là dùng mật khẩu (được đảm bảo bởi giao thức mật mã TLS) kết hợp với http để tạo thành giao thức https. Tuy nhiên, độ an toàn của phương thức này không cao, vì mật khẩu cần không quá khó nhớ đối với người dùng nhưng phải đảm bảo tính khó bị phá. Cho nên, các phương thức xác thực trực tuyến hiện đại thường kết hợp mật khẩu với các yếu tố khác để tạo nên xác thực đa yếu tố (multi-factor authentication).

Xác thực đa nhân tố liệu có an toàn tuyệt đối? (Phần hai)

15:00 | 22/01/2021

Trong phần 2 của bài báo, tác giả Hieupc tập trung chia sẻ về những vấn đề và giải pháp mà người dùng nên quan tâm trong sự thay đổi của xu hướng công nghệ hiện nay.

Xác thực đa nhân tố liệu có an toàn tuyệt đối? (Phần ba)

09:00 | 26/01/2021

Phần 3 và cũng là phần cuối trong chuỗi bài về nâng cao nhận thức về bảo mật đối với người dùng MFA của tác giả Hieupc sẽ giúp người dùng có phương pháp cụ thể để tự bảo vệ mình trước sự thiếu hoàn hảo của MFA.

Định danh và xác thực điện tử - yêu cầu tất yếu để xây dựng thành công Chính phủ điện tử

08:00 | 27/03/2019

Sáng ngày 22/3/2019, tại Hà Nội đã diễn ra Hội thảo “Định danh và xác thực điện tử trong phát triển Chính phủ điện tử hướng tới Chính phủ số và nền kinh tế số”. Hội thảo do Văn phòng Chính phủ, Bộ TT&TT, Ngân hàng Thế giới và Cơ quan phát triển quốc tế Australia phối hợp tổ chức. Bộ trưởng, Chủ nhiệm Văn phòng Chính phủ Mai Tiến Dũng và Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đồng chủ trì Hội nghị.

U2F – Phương thức xác thực 2 yếu tố chống phishing và MitM

09:00 | 21/08/2018

Nhóm nghiên cứu và phát triển của Công ty cổ phần An ninh mạng Việt Nam (VSEC) chuyên nghiên cứu các công nghệ kỹ thuật về an toàn thông tin. Trong thời gian gần đây, nhóm đã nghiên cứu các khía cạnh về bảo mật và ứng dụng của phương thức xác thực bảo mật mới, trong đó có phương thức xác thực 2 yếu tố U2F, từ đó đưa ra sản phẩm U2F thương mại riêng sẽ được VSEC công bố trong thời gian tới. Với các cách thức tấn công người dùng ngày càng tinh vi, U2F sẽ giúp ích tích cực vào việc chống lại các rủi ro an toàn thông tin.

Tin cùng chuyên mục

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.