Xác thực hai yếu tố (2FA) đã trở thành “lá chắn” không thể thiếu giúp bảo vệ tài khoản trực tuyến khỏi sự xâm nhập của tin tặc. Trong nhiều năm qua, phương pháp phổ biến nhất mà các website lớn, bao gồm cả Google, tin dùng chính là gửi mã xác minh một lần (OTP) qua tin nhắn SMS. Tuy nhiên, Google vừa công bố một thay đổi lớn: họ sẽ loại bỏ hình thức 2FA qua SMS để chuyển sang sử dụng mã QR, hứa hẹn một hệ thống bảo mật mạnh mẽ hơn trước các mối đe dọa lừa đảo ngày càng tinh vi.
Tại Sao Google Lại “Khúc Từ” SMS 2FA?
Hầu hết các trang web lớn đều triển khai 2FA nhằm ngăn chặn tin tặc chiếm đoạt tài khoản đã bị lộ thông tin đăng nhập. Ý tưởng rất đơn giản: ngay cả khi hacker có được tên người dùng và mật khẩu của bạn, họ hiếm khi có quyền truy cập trực tiếp vào điện thoại thông minh hoặc hộp thư email của bạn. Do đó, thay vì chỉ dựa vào mật khẩu, các trang web sẽ gửi mã dùng một lần qua SMS hoặc email để đảm bảo nỗ lực đăng nhập là hợp lệ.
Xác thực hai yếu tố giúp tăng cường đáng kể an ninh tài khoản. Dù vậy, nó cũng khiến quy trình đăng nhập chậm hơn. Các nền tảng như Google hiểu rằng 2FA có thể gây phiền toái, nên họ thường chọn hình thức xác thực ít “đau đớn” nhất – đó là mã xác minh SMS một lần đơn giản.
Logo Windows 11 với chìa khóa và các biểu tượng bảo mật, nhận diện khuôn mặt, minh họa cho công nghệ xác thực tương lai như Passkey.
Chúng ta thường xem SMS là phương pháp 2FA “tối thiểu” – nó tốt hơn không có gì, nhưng còn xa mới đạt đến sự hoàn hảo. Giả sử một tin tặc đã đánh cắp tên người dùng và mật khẩu tài khoản ngân hàng của một người lớn tuổi. Kẻ tấn công có thể vượt qua xác minh SMS bằng cách gọi điện, mạo danh Google và trực tiếp yêu cầu nạn nhân cung cấp mã. Mặc dù xác thực SMS là tốt hơn không có gì, nó không thể ngăn chặn các hình thức tấn công xã hội. Trong một số trường hợp, nó thậm chí còn có thể tạo vỏ bọc đáng tin cậy cho kẻ lừa đảo – nếu tin tặc kích hoạt tin nhắn SMS 2FA trước khi gọi điện, chúng có thể dùng nó làm cái cớ để nói: “Chúng tôi đã phát hiện tài khoản của bạn đang bị tấn công, hãy cung cấp mã đó để chúng tôi khắc phục.”
Xác thực SMS đã trở thành yêu cầu đăng nhập mặc định cho tất cả tài khoản Google vào năm 2021. Giờ đây, với bốn năm kinh nghiệm, Google nói với Forbes rằng họ muốn triển khai một hệ thống 2FA mạnh mẽ hơn. Công ty chỉ ra tấn công lừa đảo (phishing), cũng như các lỗ hổng bảo mật phía nhà mạng, là lý do cho sự thay đổi này.
Mã QR: Lời Giải Hay Vấn Đề Mới Cho Bảo Mật Google?
Phương pháp thay thế được chọn cho xác thực SMS – mã QR – nên giúp tăng cường bảo mật tài khoản cho tất cả người dùng Google. Tin tặc có thể gặp khó khăn hơn trong việc thuyết phục người dùng quét một mã QR ngẫu nhiên, và vì hệ thống mã QR này không dựa vào SMS, nó không thể bị xâm phạm bởi các lỗ hổng bảo mật nổi tiếng của nhà mạng di động.
Google cho biết: “Trong vài tháng tới, chúng tôi sẽ định hình lại cách chúng tôi xác minh số điện thoại. Cụ thể, thay vì nhập số điện thoại và nhận mã 6 chữ số, bạn sẽ thấy một mã QR được hiển thị, bạn cần quét bằng ứng dụng camera trên điện thoại của mình.”
Nghe có vẻ khá đơn giản, nhưng vẫn còn nhiều câu hỏi về chi tiết triển khai. Chẳng hạn, hệ thống này giả định rằng bạn đã đăng nhập vào Google trên điện thoại của mình – điều gì sẽ xảy ra nếu bạn chưa đăng nhập? Google sẽ xử lý 2FA cho các lần đăng nhập trên thiết bị di động như thế nào?
Hơn nữa, mã QR không hoàn toàn miễn nhiễm với các cuộc tấn công lừa đảo. Có thể các mã QR này chỉ là các liên kết web, đưa bạn đến một trang web với thông báo như: “Thiết bị nào đó đang cố gắng đăng nhập vào tài khoản của bạn, bạn có muốn cấp quyền truy cập không?” Điều này tốt hơn mã SMS sáu chữ số, nhưng vẫn có khả năng kẻ tấn công thuyết phục người dùng nhấp vào nút “Xác nhận” nếu họ đủ khéo léo.
Mã QR mẫu, minh họa nguy cơ lừa đảo qua QR code (quishing) trong bối cảnh xác thực.
Tương Lai Của Xác Thực Đa Yếu Tố: Từ Khóa Bảo Mật Đến Passkey
Chúng ta đang rất cần một phương pháp 2FA an toàn, tinh vi và tiện lợi hơn. Các khóa bảo mật phần cứng là một giải pháp tuyệt vời, nhưng chúng không có sức hấp dẫn lớn với đại chúng và có thể khá phức tạp khi sử dụng. Passkey giúp loại bỏ nhu cầu xác thực hai yếu tố trong một số trường hợp, nhưng chúng không làm cho 2FA trở nên lỗi thời, và nhiều trang web sử dụng Passkey vẫn yêu cầu 2FA.
Tóm lại, việc đăng nhập vào tài khoản Google của bạn trong tương lai có thể sẽ giống như việc sử dụng mã QR thay cho menu ở một số nhà hàng hiện đại. Mặc dù có thể hơi bất tiện khi phải rút điện thoại ra và hướng vào màn hình để đăng nhập nhanh vào một cuộc họp Google Meet, nhưng quyết định của Google trong việc áp dụng một phương pháp 2FA bền vững hơn là điều hợp lý và cần thiết.
Nguồn: Google qua Forbes
