Vì sao không nên nhận mã OTP qua tin nhắn?

Theo CNBC, mã OTP (mật khẩu dùng một lần) hiện vẫn là một trong những phương thức đăng nhập tiện lợi và phổ biến nhất đối với người dùng điện thoại. Thông thường, mã này được gửi qua tin nhắn văn bản (SMS), người dùng chỉ cần nhập đúng mã là có thể xác thực giao dịch mà không phải tải thêm ứng dụng hay thực hiện những thao tác phức tạp.

Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng cho rằng OTP, cũng như mật khẩu truyền thống, không còn đủ an toàn và cần sớm được thay thế. Thực tế đã ghi nhận không ít vụ tấn công dẫn đến việc chiếm đoạt tài khoản xuất phát từ những lỗ hổng của phương thức này, gây thiệt hại nghiêm trọng cho cả người dùng lẫn doanh nghiệp.

Người dùng cũng cần hiểu rằng OTP không chỉ có một loại và mức độ an toàn giữa các phương thức có thể khác biệt rất lớn. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: "Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn những phương thức khác. Không có giải pháp nào tuyệt đối an toàn".

Trong các hình thức OTP hiện nay, OTP qua SMS được đánh giá là dễ bị khai thác nhất. Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, kẻ gian có thể sử dụng nhiều thủ đoạn như lừa đảo qua email, đánh cắp SIM hoặc chặn tin nhắn bằng các công cụ chuyên dụng. Đáng lo ngại hơn, ngay cả khi điện thoại vẫn nằm trong tay người dùng, tin nhắn OTP vẫn có thể bị đọc trộm từ xa thông qua các lỗ hổng của mạng di động.

Một rủi ro khác là người dùng rất khó phát hiện tài khoản bị xâm nhập ngay từ đầu. Kitten cảnh báo: "Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không hề biết rằng kẻ gian đang nhận được mã đó. Có thể mất tới 45 phút để nhận ra sự cố và khi ấy thì đã quá muộn".

Để tăng cường bảo mật, các chuyên gia khuyến nghị sử dụng ứng dụng xác thực (authenticator app) như Google Authenticator hoặc Microsoft Authenticator. Những ứng dụng này tạo mã dùng một lần (TOTP) trực tiếp trên thiết bị và tự động hết hạn sau 30–60 giây. Do không truyền qua mạng di động, nguy cơ bị đánh cắp cũng giảm đi đáng kể.

Ant Allan cho biết, dù các ứng dụng này vẫn có thể trở thành mục tiêu của các cuộc tấn công theo kiểu "kẻ trung gian", chúng vẫn an toàn hơn nhiều so với OTP qua SMS. Kitten cũng bổ sung rằng nếu điện thoại được bảo vệ bằng mật khẩu mạnh hoặc xác thực sinh trắc học như vân tay, nhận diện khuôn mặt, nguy cơ bị xâm nhập sẽ tiếp tục giảm thêm một mức.

Theo Cedric Thevenet, Phó Chủ tịch kiêm Trưởng bộ phận an ninh mạng tại Capgemini Americas, một lựa chọn bảo mật cao hơn là xác thực thông qua thông báo trên ứng dụng. Với phương thức này, khi đăng nhập, người dùng không cần nhập mã mà chỉ cần xác nhận thông báo hiển thị trên điện thoại. Cách làm này không phụ thuộc vào thiết bị đăng nhập và có khả năng chống lại nhiều hình thức tấn công hiệu quả hơn.

Dù vậy, ngay cả giải pháp này cũng không hoàn toàn miễn nhiễm với rủi ro. Hacker có thể thực hiện kiểu tấn công bằng cách gửi liên tục nhiều yêu cầu đăng nhập giả mạo, khiến người dùng mất cảnh giác và vô tình nhấn "xác nhận", từ đó trao quyền truy cập cho kẻ xấu.

Ngoài hai phương thức trên, một số chuyên gia khuyến nghị người dùng nên dần làm quen với các giải pháp mới như khóa bảo mật phần cứng (hardware key) hoặc passkeys - công nghệ xác thực không cần mật khẩu đang được nhiều tập đoàn lớn triển khai. Passkeys sử dụng cơ chế mã hóa khóa công khai, giúp loại bỏ nguy cơ bị lừa đảo qua các trang web giả mạo, đồng thời khiến quá trình đăng nhập vừa an toàn vừa thuận tiện hơn.

Rõ ràng, OTP qua SMS không còn là lựa chọn tối ưu trong bối cảnh các mối đe dọa mạng ngày càng tinh vi. Dù vẫn phổ biến và dễ sử dụng, người dùng nên chủ động chuyển sang những biện pháp bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua ứng dụng, khóa bảo mật phần cứng hoặc passkeys.

Các chuyên gia nhấn mạnh rằng không có phương pháp nào tuyệt đối an toàn. Tuy nhiên, khi hiểu rõ các rủi ro, áp dụng nhiều lớp bảo mật và luôn cảnh giác trước những chiêu thức lừa đảo ngày càng tinh vi, người dùng hoàn toàn có thể giảm đáng kể nguy cơ mất tài khoản và tránh được những thiệt hại không đáng có.