CẢNH BÁO VỀ MỨC ĐỘ AN TOÀN CỦA OTP: BAO GIỜ ĐẾN LÚC BẠN NÊN THAY ĐỔI?
Theo CNBC, mã OTP (mật khẩu dùng một lần) vẫn là một trong những phương thức đăng nhập tiện lợi và phổ biến nhất trên điện thoại di động. Thông thường, mã này được gửi qua tin nhắn văn bản (SMS), giúp người dùng xác nhận giao dịch nhanh chóng mà không cần tải thêm ứng dụng hay thực hiện các bước phức tạp. Tuy nhiên, các chuyên gia an ninh mạng ngày càng cảnh báo rằng OTP, đặc biệt là qua SMS, không còn đảm bảo an toàn như trước và cần được xem xét thay thế bằng các giải pháp mới.
NHIỀU VỤ TẤN CÔNG TẤN CÔNG TÀI KHOẢN BẰNG LỖ HỔNG CỦA OTP
Thực tế đã ghi nhận nhiều vụ xâm nhập tài khoản bắt nguồn từ lỗ hổng của phương thức này, gây thiệt hại nặng nề cho cả người dùng và doanh nghiệp. OTP không chỉ có nhiều dạng, mà mức độ an toàn của từng phương thức cũng có sự chênh lệch đáng kể. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhận định: “Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương pháp vẫn an toàn hơn. Không có phương pháp nào là tuyệt đối.”
ĐÁM PHÂN LOẠI VỀ ĐỘ AN TOÀN CỦA OTP QUA SMS
OTP qua SMS thường bị xem là dễ bị khai thác nhất. Tracy C. Kitten, Giám đốc an ninh tại Javelin Strategy & Research, cho biết kẻ gian có thể dùng các thủ đoạn như lừa đảo qua email, cắp sim hoặc chặn tin nhắn bằng các công cụ chuyên dụng. Thêm vào đó, ngay cả khi điện thoại vẫn nằm trong tay người dùng, tin nhắn OTP vẫn có thể bị đọc trộm từ xa qua các lỗ hổng của mạng di động. Một rủi ro khác là người dùng khó phát hiện ngay lập tức khi tài khoản bị xâm nhập. Kitten cảnh báo: “Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận mã đó. Có thể mất 45 phút để nhận ra sự cố, và lúc đó đã quá muộn để hành động.”
CÁCH NÂNG CAO MỨC ĐỘ BẢO MẬT VỚI CÁC GIẢI PHÁP MỚI
Để tăng cường bảo mật, các chuyên gia khuyến nghị sử dụng các ứng dụng xác thực như Google Authenticator hoặc Microsoft Authenticator. Những ứng dụng này tạo mã dùng một lần (TOTP) trực tiếp trên thiết bị và tự động hết hạn sau 30–60 giây, giảm nguy cơ bị đánh cắp qua mạng di động. Ant Allan nhấn mạnh: “Dù các ứng dụng này vẫn có thể bị tấn công kiểu kẻ trung gian, chúng vẫn an toàn hơn nhiều so với OTP qua SMS.” Nếu điện thoại được bảo vệ bằng mật khẩu mạnh hoặc xác thực sinh trắc học như vân tay, khuôn mặt, mức độ rủi ro sẽ càng giảm.
NGƯỜI DÙNG NÊN XEM XÉT CÁC GIẢI PHÁP BẢO MẬT CAO HƠN
Cedric Thevenet, Phó Chủ tịch phụ trách an ninh mạng tại Capgemini Americas, đề xuất một phương án bảo mật cao hơn là xác thực qua thông báo trên ứng dụng. Khi đăng nhập, người dùng không cần nhập mã, mà chỉ xác nhận yêu cầu trên điện thoại. Phương pháp này không phụ thuộc vào thiết bị đăng nhập và chống lại nhiều hình thức tấn công hơn. Tuy nhiên, ông cũng cảnh báo rằng ngay cả giải pháp này cũng không hoàn toàn miễn nhiễm. Hacker có thể thực hiện các cuộc tấn công yêu cầu đăng nhập giả mạo nhiều lần để gây nhồi nhét yêu cầu, dẫn đến người dùng vô tình xác nhận và trao quyền truy cập.
MỘT SỐ GIẢI PHÁP MỚI ĐANG ĐƯỢC NHIỀU TẬP ĐOÀN TRIỂN KHAI
Ngoài ra, các chuyên gia cũng khuyến nghị người dùng nên làm quen với các công nghệ mới như khóa phần cứng (hardware key) hoặc passkeys—cơ chế xác thực không sử dụng mật khẩu, đang được nhiều tập đoàn lớn phát triển. Passkeys dựa trên mã hóa khóa công khai, giúp loại bỏ các rủi ro từ các trang web giả mạo và mang lại quá trình đăng nhập an toàn, dễ dàng hơn.
KẾT LUẬN: OTP QUA SMS KHÔNG CÒN LÀ LỰA CHỌN TỐI ƯU
Rõ ràng, OTP qua SMS không còn phù hợp trong bối cảnh các mối đe dọa mạng ngày càng tinh vi. Dù vẫn phổ biến và dễ sử dụng, người dùng cần chủ động chuyển sang các giải pháp bảo mật tiên tiến hơn như ứng dụng xác thực, xác nhận qua ứng dụng, khóa phần cứng hoặc passkeys. Các chuyên gia đều nhấn mạnh rằng không có phương pháp nào hoàn toàn đảm bảo an toàn. Tuy nhiên, hiểu rõ các rủi ro, áp dụng đa lớp bảo mật và cảnh giác với các chiêu trò lừa đảo sẽ giúp người dùng giảm thiểu đáng kể nguy cơ mất tài khoản và tránh những thiệt hại không đáng có.