-
06/07/2013
-
796
-
1.304 bài viết
Xác thực 2 yếu tố có thực sự an toàn?
Xác thực 2 yếu tố là gì?
Xác thực 2 yếu tố (Two-factor authentication) là giải pháp tăng cường thêm lớp bảo mật cho tài khoản bổ sung cho phương pháp xác thực đã cũ là nhập tên người dùng và mật khẩu.
Một trong những ví dụ tiêu biểu của xác thực 2 yếu tố là khi bạn đăng nhập vào một trang web quen thuộc từ một IP, địa điểm khác thường. Khi xác thực 2 yếu tố đã được bật, trước tiên bạn sẽ nhập tên người dùng và mật khẩu sau đó nhập mã xác thực được gửi về số điện thoại đã được thiết lập trước đó.
Xác thực 2 yếu tố có thể bị tấn công như thế nào?
Mặc dù xác thực 2 yếu tố được phát minh để tăng cường bảo mật và được kỳ vọng là một giải pháp tuyệt vời có thể hạn chế tối đa vấn đề tài khoản người dùng bị tấn công, tuy nhiên giải pháp này vẫn có thể bị tấn công. Tin tặc có thể sử dụng phương pháp brute force hoặc tấn công vào yếu tố con người bằng kỹ thuật xã hội (social engineering).
Phishing
Phishing là một hình thức lừa nạn nhận truy cập vào một trang web giả mạo, khi nạn nhân điền thông tin tài khoản, kẻ tấn công sẽ chiếm lấy thông tin đồng thời chuyển tiếp đến trang đăng nhập thật, lúc này hệ thống sẽ gửi mã xác thực đến số điện thoại/email nạn nhân, khi nạn nhân tiếp tục nhập mã xác thực nhận được vào trang web giả mạo, kẻ tấn công sẽ có được mã xác thực là lớp bảo vệ thứ 2 và có thể truy cập vào tài khoản nạn nhân để thay đổi số điện thoại/vô hiệu xác thực 2 yếu tố cũng như có toàn quyền với tài khoản nạn nhân.
Brute force
Một số hệ thống xác thực 2 yếu tố khi triển khai không tốt có thể bị tấn công bởi phương pháp brute force. Việc sử dụng mã xác thực ngắn và không giới hạn số lần nhập mã là một điểm yếu để những kẻ tấn công lợi dụng để brute force nhằm chiếm quyền truy cập tài khoản người dùng. Sử dụng mã xác thực có hiệu lực trong thời gian giới hạn (TOTP) là một giải pháp có thể cân nhắc để chống lại kiểu tấn công này.
Lợi dụng lỗ hổng hệ thống báo hiệu số 7 (Signalling System No. 7)
Hệ thống báo hiệu số 7 (Signalling System No. 7) gọi tắt SS7 là tập hợp các giao thức báo hiệu điện thoại được sử dụng để thiết lập, kết thúc các cuộc gọi chuyển đổi số, tính cước, SMS. Theo các nghiên cứu đã được công bố thì SS7 tồn tại nhiều lỗ hổng nguy hiểm có thể ảnh hưởng đến quyền riêng tư của người dùng. Bằng cách lợi dụng lỗ hổng của SS7, tin tặc có thể chuyển hướng các tin nhắn chứa mã thực để xem trộm từ đó truy cập vào tài khoản người dùng.
Đăng nhập thông qua bên thứ ba
Với một vài hệ thống, người dùng sẽ được cung cấp tùy chọn đăng nhập bằng tài khoản bên thứ ba, bằng cách này có thể bỏ qua quá trình xác thực 2 yếu tố. Ví dụ thường gặp với hình thức này là một số trang web cho phép đăng nhập với tài khoản Google, Facebook. Với hình thức đăng nhập này người dùng có thể bị truy cập trái phép khi bị kẻ xấu chiếm tài được tài khoản Google, Facebook.
Những vụ tấn công trong thực tế
Cảnh báo chiêu lừa đảo: nhờ nhận tiền qua Facebook
Reddit bị tấn công - Email, mật khẩu, tin nhắn cá nhân bị đánh cắp
...
Làm thế nào để bảo vệ chính mình?
Nếu theo dõi tin tức chúng ta có thể thấy những năm qua có khá nhiều vụ đánh cắp tài khoản số lượng lớn được công khai tuy nhiên đó chỉ là bề nổi do có những vụ đánh cắp khi bị phát hiện thì các công ty tìm cách giấu để tránh ảnh hưởng uy tín. Để tăng cường bảo mật thì xác thực 2 yếu tố ngày càng được nhiều hệ thống triển khai, dù giải pháp này cũng tiềm ẩn những nguy cơ bị tấn công tuy nhiên vẫn an toàn hơn so với phương thức xác thực truyền thống là chỉ dùng tài khoản và mật khẩu. Để sử dụng xác thực 2 yếu tố có hiệu quả và để bảo vệ tài khoản chúng ta nên chú ý những vấn đề sau:
Xác thực 2 yếu tố (Two-factor authentication) là giải pháp tăng cường thêm lớp bảo mật cho tài khoản bổ sung cho phương pháp xác thực đã cũ là nhập tên người dùng và mật khẩu.
Một trong những ví dụ tiêu biểu của xác thực 2 yếu tố là khi bạn đăng nhập vào một trang web quen thuộc từ một IP, địa điểm khác thường. Khi xác thực 2 yếu tố đã được bật, trước tiên bạn sẽ nhập tên người dùng và mật khẩu sau đó nhập mã xác thực được gửi về số điện thoại đã được thiết lập trước đó.
Xác thực 2 yếu tố có thể bị tấn công như thế nào?
Mặc dù xác thực 2 yếu tố được phát minh để tăng cường bảo mật và được kỳ vọng là một giải pháp tuyệt vời có thể hạn chế tối đa vấn đề tài khoản người dùng bị tấn công, tuy nhiên giải pháp này vẫn có thể bị tấn công. Tin tặc có thể sử dụng phương pháp brute force hoặc tấn công vào yếu tố con người bằng kỹ thuật xã hội (social engineering).
Phishing
Phishing là một hình thức lừa nạn nhận truy cập vào một trang web giả mạo, khi nạn nhân điền thông tin tài khoản, kẻ tấn công sẽ chiếm lấy thông tin đồng thời chuyển tiếp đến trang đăng nhập thật, lúc này hệ thống sẽ gửi mã xác thực đến số điện thoại/email nạn nhân, khi nạn nhân tiếp tục nhập mã xác thực nhận được vào trang web giả mạo, kẻ tấn công sẽ có được mã xác thực là lớp bảo vệ thứ 2 và có thể truy cập vào tài khoản nạn nhân để thay đổi số điện thoại/vô hiệu xác thực 2 yếu tố cũng như có toàn quyền với tài khoản nạn nhân.
Brute force
Một số hệ thống xác thực 2 yếu tố khi triển khai không tốt có thể bị tấn công bởi phương pháp brute force. Việc sử dụng mã xác thực ngắn và không giới hạn số lần nhập mã là một điểm yếu để những kẻ tấn công lợi dụng để brute force nhằm chiếm quyền truy cập tài khoản người dùng. Sử dụng mã xác thực có hiệu lực trong thời gian giới hạn (TOTP) là một giải pháp có thể cân nhắc để chống lại kiểu tấn công này.
Lợi dụng lỗ hổng hệ thống báo hiệu số 7 (Signalling System No. 7)
Hệ thống báo hiệu số 7 (Signalling System No. 7) gọi tắt SS7 là tập hợp các giao thức báo hiệu điện thoại được sử dụng để thiết lập, kết thúc các cuộc gọi chuyển đổi số, tính cước, SMS. Theo các nghiên cứu đã được công bố thì SS7 tồn tại nhiều lỗ hổng nguy hiểm có thể ảnh hưởng đến quyền riêng tư của người dùng. Bằng cách lợi dụng lỗ hổng của SS7, tin tặc có thể chuyển hướng các tin nhắn chứa mã thực để xem trộm từ đó truy cập vào tài khoản người dùng.
Đăng nhập thông qua bên thứ ba
Với một vài hệ thống, người dùng sẽ được cung cấp tùy chọn đăng nhập bằng tài khoản bên thứ ba, bằng cách này có thể bỏ qua quá trình xác thực 2 yếu tố. Ví dụ thường gặp với hình thức này là một số trang web cho phép đăng nhập với tài khoản Google, Facebook. Với hình thức đăng nhập này người dùng có thể bị truy cập trái phép khi bị kẻ xấu chiếm tài được tài khoản Google, Facebook.
Những vụ tấn công trong thực tế
Cảnh báo chiêu lừa đảo: nhờ nhận tiền qua Facebook
Reddit bị tấn công - Email, mật khẩu, tin nhắn cá nhân bị đánh cắp
...
Làm thế nào để bảo vệ chính mình?
Nếu theo dõi tin tức chúng ta có thể thấy những năm qua có khá nhiều vụ đánh cắp tài khoản số lượng lớn được công khai tuy nhiên đó chỉ là bề nổi do có những vụ đánh cắp khi bị phát hiện thì các công ty tìm cách giấu để tránh ảnh hưởng uy tín. Để tăng cường bảo mật thì xác thực 2 yếu tố ngày càng được nhiều hệ thống triển khai, dù giải pháp này cũng tiềm ẩn những nguy cơ bị tấn công tuy nhiên vẫn an toàn hơn so với phương thức xác thực truyền thống là chỉ dùng tài khoản và mật khẩu. Để sử dụng xác thực 2 yếu tố có hiệu quả và để bảo vệ tài khoản chúng ta nên chú ý những vấn đề sau:
- Không chia sẻ mã xác thực với người khác.
- Không nhập mã xác thực vào các trang web không liên quan đến dịch vụ mà bạn sử dụng.
- Kiểm tra cẩn thận trang web mà bạn có ý định đăng nhập và nhập mã xác thực 2 yếu tố.
- Dùng các ứng dụng tạo mã xác thực như Authy, Microsoft Authenticator, Lastpass Authenticator... thay cho nhận mã qua điện thoại.
- Để sử dụng xác thực 2 yếu tố an toàn hơn chúng ta có thể cân nhắc sử dụng khóa bảo mật Universal 2nd Factor (U2F) thay cho nhận mã qua điện thoại.
- Chú ý các email cảnh báo tài khoản đăng nhập từ thiết bị, vị trí khác thường từ Facebook, Gmail... email báo yêu cầu đổi mật khẩu tài khoản mà không phải bạn thực hiện.