Vì sao xác thực 2 yếu tố không thực sự an toàn?

Nhiều dịch vụ hiện cung cấp lựa chọn xác thực hai yếu tố nhằm giúp tài khoản trực tuyến an toàn hơn. Hệ thống này thường gửi mã đến điện thoại của người dùng, bổ trợ cho tên người dùng và mật khẩu để giúp họ đăng nhập.

Ứng dụng xác thực hai yếu tố Google Authenticator

Theo CNBC, giới chuyên gia an ninh mạng khuyên người dùng online nên bật xác thực hai yếu tố để thêm vào một lớp an ninh, bảo mật, song theo ít nhất một chuyên gia, đây không phải là cách tối an toàn. Ông Kevin Mitnick, người từng là tin tặc bị Cục Điều tra Liên bang Mỹ (FBI) truy nã gắt gao và hiện giúp nhiều doanh nghiệp tự vệ, cho rằng xác thực hai yếu tố có thể dễ bị tấn công.

“Chỉ bằng cách kích hoạt xác thực hai yếu tố, bạn không thể thư giãn. Kẻ tấn công thông minh vẫn có thể truy cập vào tài khoản của bạn”, ông Mitnick tiết lộ. Ông là giám đốc tại công ty hack KnowBe4, hãng an ninh mạng chuyên đào tạo nhân viên phát hiện email lừa đảo hoặc giả mạo.

Ông Kevin Mitnick, người từng là tin tặc bị FBI truy lùng, thể hiện cách hack tài khoản đã có xác thực hai yếu tố 

Mitnick cho biết mình nhận thấy điều này khi nó được đăng tải trên mạng để cư dân mạng phát hiện. “Công cụ thực sự loại bỏ các cuộc tấn công đã được công khai. Vì vậy một đứa trẻ 13 tuổi cũng có thể tải công cụ xuống và thực sự thực hiện tấn công tài khoản”, ông Mitnick nói.

Theo ông, đợt tấn công bắt đầu khi tội phạm mạng gửi email trông như thật, yêu cầu người nhận nhấn vào một liên kết. Một khi người dùng nhấn vào, họ được điều hướng đến trang web thực, bao gồm việc nhập mã được gửi đến điện thoại. Tuy nhiên, việc đăng nhập đi qua máy chủ của tin tặc và tin tặc có thể lấy cookie của đợt đăng nhập.

Đoạn code ông Kevin Mitnick cho biết có thể vượt qua được xác thực hai yếu tố

“Nếu chúng tôi có thể đánh cắp cookie phiên hoạt động tài khoản của người dùng, chúng tôi có thể trở thành họ. Chúng tôi không cần tên tài khoản, mật khẩu hoặc hai yếu tố. Khi nhấn refresh, tôi sẽ được đăng nhập một cách kỳ diệu vào tài khoản của nạn nhân”, ông Mitnick nói, thao tác thử để cho thấy rằng ông có thể nhập code vào trình duyệt của mình. 

Mitnick sử dụng LinkedIn để thực hiện tấn công thử cho khán giả kênh CNBC xem, song ông nói rằng rất nhiều trang web khác cũng dễ bị tấn công. Email mà ông nhấn vào trông như một yêu cầu kết nối LinkedIn thực thụ, song lại đến từ tên miền giả là lnked.com. Chuyên gia cho rằng có thể nhiều người không nhận ra sự khác biệt. 

Titan Security Key phiên bản Bluetooth 

Phát ngôn viên LinkedIn Mary-Katharine Juric cho biết bà xem đợt hack thử tài khoản của ông Mitnick “rất nghiêm túc”, cho biết thêm LinkedIn có một số biện pháp kỹ thuật để bảo vệ thành viên khỏi bị lừa. Kiểu tấn công như ông Mitnick “biểu diễn” là một phần của kỹ thuật xã hội, dùng để chỉ việc tin tặc lợi dụng hành vi của con người để khiến nạn nhân làm gì đó, chẳng hạn như nhấn vào liên kết. Một cách để tự vệ là chú ý đến email bạn nhận được, ngay cả khi đã dùng xác thực hai yếu tố.

Để bảo vệ người dùng mạng khỏi các cuộc tấn công dạng này, một số doanh nghiệp đang tạo công cụ gọi là khóa bảo mật. Thay vì gửi mã đến điện thoại, khóa bảo mật trông giống như móc khóa có chứa chip phần cứng. Nó dùng Bluetooth hoặc USB để thêm yếu tố bổ sung cần thiết giúp người dùng đăng nhập tài khoản. Mới đây, Google phát hành phiên bản riêng của thiết bị này với tên gọi Titan Security Key.

Giám đốc quản lý sản phẩm về bảo mật và quyền riêng tư Mark Risher của Google cho hay: “Khóa bảo mật lưu trữ mật khẩu của chính nó và yêu cầu trang web phải chứng minh mình là thật trước khi đưa ra mật khẩu, giúp người dùng đăng nhập. Hiện nó chưa có mặt ở mọi nơi nhưng chúng tôi được khuyến khích xem ngày càng nhiều trang web và ứng dụng hơn”.