Có lẽ chúng ta đã quá quen thuộc với phương thức xác thực tài khoản 2 lớp bằng tin nhắn điện thoại. Từ lâu, các chuyên gia cho rằng đây là một phương pháp bảo mật an toàn, tiện lợi và họ luôn khuyến khích người dùng sử dụng nó. Nhưng giờ đây, điều đó đã trở thành quá khứ khi các chuyên gia bảo mật đã kêu gọi mọi người ngưng sử dụng phương thức trên.
Viện Tiêu chuẩn và Công nghệ (The National Institute of Standards and Technology - NIST) đang làm mọi cách để cảnh báo sự nguy hiểm của phương thức xác thực tài khoản 2 lớp bằng tin nhắn. Vào hôm thứ Hai tuần này trong một bài báo cáo, họ đã nói rằng các tin nhắn có thể bị can thiệp và chuyển hướng từ điện thoại này sang điện thoại khác, khiến phương thức bảo mật không còn an toàn nữa.
Phương thức xác thực tài khoản 2 lớp bằng tin nhắn sẽ hoạt động như sau: Để truy cập vào tài khoản, người dùng sẽ nhập vào mật khẩu của họ, nhưng họ phải nhập vào một đoạn mã đặc biệt được gửi đến số điện thoại đã đăng kí trước, đoạn mã ấy sẽ thay đổi liên tục và chỉ dùng một lần, nó có hiệu lực trong một thời gian nhất định (thường là 1 phút - 30 phút).
Tuy vậy, các hacker đã tìm cách đánh lừa hệ thống, bằng cách dùng các phần mềm gián điệp cài vào điện thoại để chuyển tiếp tin nhắn sang thiết bị khác. Hoặc gọi điện thoại đến trung tâm cung cấp số thuê bao, giả làm chủ thuê bao, và yêu cầu họ chuyển tiếp tin nhắn đến số điện thoại khác.
Để giải quyết tình trang trên, NIST đề nghị các công ty công nghệ sử dụng phương thức xác thực khác an toàn hơn, ví dụ như Google đã cung cấp ứng dụng có tên Authenticator dùng để xác thực không qua mạng di động, nó sẽ tự động tạo ra mã xác thực ngay trên điện thoại của người dùng. Không rõ các công ty công nghệ sẽ phản ứng thế nào trước tuyên bố trên của NIST, nhưng trước mắt đã có một vài công ty đang chuyển qua phương thức xác thực mới như vân tay, token phần cứng, v.v...
HIện tại, xác thực 2 lớp qua SMS vẫn là sự lựa chọn phổ biến nhất cho các công ty nếu họ muốn áp dụng phương thức xác thực hai lớp cho tài khoản người dùng. "Không có một nền tảng nào phổ biến và dễ dàng hơn SMS", Kevin Panzavecchia, giám đốc công nghệ công ty bảo mật HAUD, cho biết. Ông nói thêm sự yếu kém của SMS có thể được sửa chữa bằng cách yêu cầu nhà mạng lắp đặt các hệ thống tường lửa để cũng cố an ninh mạng.