Cẩn trọng cập nhật xác thực 2FA mới của Google
Trong bài đăng trên web, Google cho hay code sẽ được lưu trữ trong tài khoản Google của người dùng, từ đó tăng tính tiện lợi và bảo mật. Về cơ bản, thay đổi này sẽ hỗ trợ những người bị mất thiết bị chứa ứng dụng Authenticator. Tuy nhiên, ngày 26/4, tài khoản Reddit @pojut chỉ ra việc lưu trữ mật khẩu trong đám mây khiến người dùng dễ bị hacker tấn công hơn.
Do bộ nhớ đám mây được liên kết với tài khoản Google, bất kỳ ai có quyền truy cập vào mật khẩu Google của người dùng đều có thể tiếp cận các ứng dụng liên kết với ứng dụng Authenticator. Theo @pojut, phương án tiềm năng để giải quyết vấn đề bảo mật 2 lớp là sử dụng một chiếc điện thoại cũ dành riêng cho việc xác minh tài khoản.
"Nếu có thể, bạn nên có một thiết bị riêng (có thể là điện thoại cũ hoặc máy tính bảng cũ) với mục đích duy nhất là sử dụng phần mềm xác thực. Không giữ bất kỳ ứng dụng nào khác trên đó", tài khoản Reddit chia sẻ.
Tương tự, nhà phát triển an ninh mạng Mysk đã cảnh báo trên Twitter về rủi ro đi kèm với giải pháp 2FA trên bộ nhớ đám mây của Google. Đây có thể là mối lo ngại mới đối với những ai sử dụng Google Authenticator để đăng nhập vào các sàn giao dịch crypto và những dịch vụ tài chính khác.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
Ngoài Authenticator, một số phương pháp xác minh 2 lớp khác cũng chưa thực sự an toàn. Hình thức hack 2FA phổ biến nhất là hoán đổi SIM. Trong đó, những kẻ lừa đảo kiểm soát số điện thoại nạn nhân bằng cách lừa nhà cung cấp dịch vụ viễn thông liên kết số điện thoại với thẻ SIM của hacker.
Ngày 6/3, người dùng Jared Ferguson đã đệ đơn kiện Coinbase lên Tòa án quận phía Bắc California (Mỹ) sau khi bị mất 96,000 USD. Hacker đã dùng thủ đoạn hoán đổi SIM để thực hiện yêu cầu 2FA bằng SMS trên tài khoản của Ferguson, sau đó thực hiện giao dịch 96,000 USD.
Nạn nhân đã yêu cầu Coinbase bồi thường nhưng bị sàn chối bỏ mọi trách nhiệm. Trước đó, Coinbase khuyến khích sử dụng các ứng dụng xác thực 2FA thay vì SMS và cho rằng SMS là hình thức xác thực “kém an toàn nhất”.
Trên Reddit, cộng đồng đã tranh luận liệu có nên dùng SMS 2FA hay không. SMS hiện là tùy chọn xác thực duy nhất của một số dịch vụ liên quan đến fintech và crypto. “Thật không may, nhiều dịch vụ tôi sử dụng chưa cung cấp Authenticator 2FA. Nhưng tôi chắc chắn SMS đã được chứng minh là không an toàn và nên bị cấm”, tài khoản @PaulID244 viết.
Công ty bảo mật blockchain CertiK cũng từng cảnh báo về sự nguy hiểm của SMS 2FA. Chuyên gia bảo mật Jesse Leclere nhận xét “SMS 2FA tốt hơn là không có biện pháp bảo mật gì, nhưng đây là hình thức 2FA dễ bị tấn công nhất đang được sử dụng”.