Hơn 90% người dùng Gmail không sử dụng xác thực hai yếu tố
Hãy nghĩ về nó như thế này. Nói rằng bạn muốn đặt một khóa trên cửa trước của bạn để bảo vệ ngôi nhà của bạn. Các chuyên gia bảo mật đang tranh luận về loại khóa tốt nhất có sẵn là cách tốt hơn so với khóa rẻ hơn. Chắc chắn, có ý nghĩa. Nhưng nếu khóa đắt hơn đó không có sẵn cho bạn thì không có khóa rẻ hơn vẫn tốt hơn là không có khóa?
Có, xác thực hai yếu tố dựa trên ứng dụng tốt hơn xác thực dựa trên SMS. Tuy nhiên, nếu SMS là tất cả các dịch vụ được cung cấp, thì nó vẫn tốt hơn là không sử dụng nó.
Hai yếu tố dựa trên SMS có một số điểm yếu, nhưng thiếu điểm. Kẻ tấn công sẽ phải dành thời gian bỏ qua xác minh SMS của bạn. Và hầu hết các mục tiêu có lẽ không xứng đáng với nỗ lực đó.
Tại sao bạn cần xác thực hai yếu tố
Xác thực hai yếu tố được đặt tên bởi vì nó yêu cầu bạn có hai thứ để truy cập vào tài khoản của mình: thứ bạn biết (mật khẩu của bạn) và thứ bạn có (mã bảo mật bổ sung từ thiết bị di động hoặc mã thông báo vật lý).
Khi bạn bật xác thực hai yếu tố dựa trên SMS, dịch vụ sẽ gửi số điện thoại di động của bạn một tin nhắn văn bản chứa mã một lần bất cứ khi nào bạn đăng nhập từ một thiết bị mới. Vì vậy, ngay cả khi ai đó có tên người dùng và mật khẩu của bạn cho tài khoản đó, họ sẽ không thể đăng nhập vào tài khoản của bạn mà không truy cập vào tin nhắn văn bản của bạn.
Ngoài ra còn có các loại phương pháp hai yếu tố khác, bao gồm các ứng dụng trên điện thoại của bạn tạo mã bảo mật tạm thời và các khóa bảo mật vật lý mà bạn phải cắm vào máy tính của mình.
Bất kỳ loại xác thực hai yếu tố nào đều cung cấp một lượng bảo vệ lớn cho các tài khoản quan trọng như email, phương tiện truyền thông xã hội và tài khoản ngân hàng của bạn. Điều này đặc biệt đúng nếu bạn sử dụng lại mật khẩu. Nhiều người sử dụng lại mật khẩu tại nhiều trang web và khi cơ sở dữ liệu mật khẩu của một trang web bị rò rỉ, mật khẩu đó có thể được sử dụng để đăng nhập vào tài khoản email của họ. Xác thực hai yếu tố sẽ ngăn chặn quyền này trong các tuyến đường của nó.
Điều đó không có nghĩa là bạn nên sử dụng lại mật khẩu. Bạn không nên sử dụng lại mật khẩu. Bạn nên sử dụng trình quản lý mật khẩu tốt để theo dõi mật khẩu mạnh, độc đáo.
Tại sao mọi người nói SMS xác thực là xấu?
- Một kẻ tấn công có thể mạo danh bạn và di chuyển số điện thoại của bạn đến một điện thoại mới trong một số điện thoại porting scam. Đây là cuộc tấn công có khả năng nhất.
- Kẻ tấn công có thể chặn tin nhắn SMS dành cho bạn. Ví dụ, họ có thể giả mạo một tháp di động gần bạn, hoặc một chính phủ có thể sử dụng truy cập của nó vào mạng di động để chuyển tiếp tin nhắn.
Đó là lý do tại sao các chuyên gia khuyên bạn nên sử dụng phương pháp hai yếu tố khác, một phương pháp không dễ bị lạm dụng bởi các quốc gia và không dễ bị tổn thương nếu nhà cung cấp dịch vụ di động cung cấp số điện thoại cho người khác. Nếu bạn lấy mã của mình từ một ứng dụng trên điện thoại hoặc khóa bảo mật vật lý bạn cắm vào, hai yếu tố của bạn không dễ bị ảnh hưởng bởi các vấn đề với mạng điện thoại. Kẻ tấn công sẽ cần điện thoại đã mở khóa của bạn hoặc khóa bảo mật vật lý mà bạn phải đăng nhập.
Chắc chắn, trong một thế giới hoàn hảo, SMS không phải là giải pháp lý tưởng. Chúng tôi đã giải thích lý do tại sao các chuyên gia bảo mật không thích xác thực hai bước dựa trên SMS. Nhưng, ngay cả khi chúng tôi trình bày trường hợp đó, chúng tôi đã cố gắng làm rõ một điều: xác thực hai yếu tố dựa trên SMS là nhiều, tốt hơn nhiều so với không có gì.
Một số người cần bảo mật hơn so với cung cấp tin nhắn SMS
Người trung bình là tốt với xác thực dựa trên SMS cho bây giờ. Xác thực dựa trên SMS khiến những kẻ tấn công gặp nhiều rắc rối khi truy cập vào tài khoản của bạn và có thể bạn không đáng để gặp rắc rối khi có các mục tiêu dễ dàng và dễ dàng hơn ngoài kia. Hầu hết mọi người thậm chí không sử dụng xác thực SMS và web sẽ là một nơi an toàn hơn nhiều nếu mọi người đã làm.
Những người có khả năng được nhắm mục tiêu bởi những kẻ tấn công tinh vi nên tránh xác thực dựa trên SMS. Ví dụ: nếu bạn là chính trị gia, nhà báo, người nổi tiếng hoặc nhà lãnh đạo doanh nghiệp, bạn có thể được nhắm mục tiêu. Nếu bạn là người có quyền truy cập vào dữ liệu nhạy cảm của công ty, quản trị viên hệ thống có quyền truy cập sâu vào các hệ thống nhạy cảm hoặc chỉ một người có nhiều tiền trong ngân hàng, SMS có thể quá nguy hiểm.
Tuy nhiên, nếu bạn là người trung bình có tài khoản Gmail hoặc Facebook và không ai có lý do để dành nhiều thời gian truy cập vào tài khoản của bạn, xác thực SMS là tốt và bạn hoàn toàn nên kích hoạt nó thay vì không sử dụng gì cả.
Bạn chỉ an toàn khi liên kết yếu nhất
Nói cách khác, nhiều dịch vụ - thậm chí có thể hầu hết các dịch vụ cho phép bạn truy cập vào tài khoản của mình bằng số điện thoại, ngay cả khi bạn sử dụng mã do ứng dụng tạo hoặc khóa bảo mật vật lý hầu hết thời gian. Bạn chỉ an toàn như liên kết yếu nhất trong hệ thống. Hãy thử kiểm tra các cách khác bạn có thể đăng nhập nếu bạn không có phương pháp thông thường.
Đó là lý do tại sao, để thực sự khóa tài khoản Google, bạn không chỉ cần tránh xác thực hai bước dựa trên SMS. Bạn cũng cần đăng ký Chương trình bảo vệ nâng cao của Google, Google quảng cáo cho “nhà báo, nhà hoạt động, nhà lãnh đạo doanh nghiệp và các nhóm chiến dịch chính trị.” Chương trình miễn phí này yêu cầu bạn sử dụng khóa bảo mật vật lý để đăng nhập, nhưng nó cũng đòi hỏi nhiều hơn thông tin để khôi phục tài khoản của bạn.
Vui lòng sử dụng SMS nếu bạn hiện không sử dụng 2FA ngay bây giờ
Chúng tôi không muốn ru bạn vào một cảm giác an toàn giả dối: Nếu bạn có thể bị nhắm mục tiêu bởi chính phủ nước ngoài, gián điệp của công ty hoặc tội phạm có tổ chức, bạn hoàn toàn nên tránh xác thực hai yếu tố dựa trên SMS và khóa tài khoản với một cái gì đó an toàn hơn.
Tuy nhiên, nếu bạn là người trung bình chưa bật xác thực hai yếu tố, đừng bị thuyết phục: hai yếu tố dựa trên SMS sẽ giúp bạn an toàn hơn rất nhiều so với không có hai yếu tố nào cả. Đó là một đường cơ sở quan trọng để bảo mật.
Mọi người nên sử dụng xác minh SMS trừ khi họ đang sử dụng một cái gì đó tốt hơn.
