Bản cập nhật Authenticator của Google làm tăng mối lo ngại về bảo mật

Người dùng đặt nhầm thiết bị chứa ứng dụng xác thực vẫn có thể truy cập vào quy trình xác thực hai yếu tố bằng mã này. Việc lưu trữ mã dùng một lần trong Tài khoản Google của người dùng, theo khuyến nghị của Google, được cho là cải thiện cả sự thuận tiện và bảo mật, đồng thời bảo vệ người dùng khỏi bị khóa tài khoản của họ. Tuy nhiên, cách làm này đang khiến người dùng lo lắng về sự an toàn của họ.

Trong một bài đăng trên diễn đàn r/Cryptocurrency, một người dùng đã chỉ ra rằng việc giữ mã dùng một lần trong bộ nhớ đám mây được kết nối với tài khoản Google của người dùng có thể khiến người dùng dễ bị tội phạm mạng tấn công hơn. Nếu một tin tặc lấy được mật khẩu Google của người dùng, họ sẽ có thể có toàn quyền truy cập vào tất cả các ứng dụng được liên kết với xác thực của người dùng. Người dùng đề xuất một chiếc điện thoại lỗi thời được sử dụng chỉ với mục đích chứa ứng dụng xác thực như một giải pháp cho vấn đề này.

Các nhà phát triển phần mềm an ninh mạng có tên Mysk cũng đã tweet đưa ra cảnh báo về các vấn đề khác xảy ra khi sử dụng phương pháp xác thực hai yếu tố (2FA) dựa trên bộ nhớ đám mây của Google. Người dùng sử dụng Google Authenticator làm yếu tố xác thực thứ hai để đăng nhập vào tài khoản trao đổi tiền điện tử của họ và các dịch vụ khác được liên kết với tài chính có thể thấy đây là nguyên nhân đáng lo ngại. Hệ thống xác thực hai yếu tố (2FA) dễ bị tấn công bởi nhiều loại tấn công, trong đó phổ biến nhất là "hoán đổi SIM". Loại hành vi trộm danh tính này cho phép những kẻ lừa đảo chiếm quyền kiểm soát số điện thoại bằng cách đánh lừa nhà điều hành viễn thông liên kết số đó với thẻ SIM của chính họ.

Một ví dụ gần đây về điều này có thể được nhìn thấy trong một vụ kiện đã được đệ trình chống lại sàn giao dịch tiền điện tử Coinbase, có trụ sở tại Hoa Kỳ. Trong trường hợp này, một khách hàng tuyên bố rằng anh ta đã mất "90% số tiền tiết kiệm cả đời" do trở thành nạn nhân của một vụ tấn công như vậy. Đáng chú ý, chính Coinbase khuyến nghị sử dụng các ứng dụng xác thực để xác thực hai yếu tố thay vì gửi mã xác minh bằng tin nhắn văn bản. Công ty gọi xác thực hai yếu tố SMS là loại xác thực "kém an toàn nhất".

Việc nâng cấp lên Google Authenticator có thể mang lại lợi ích cho những người dùng đã đặt nhầm ứng dụng xác thực của họ, nhưng nó khiến một số người dùng lo ngại về mức độ bảo mật của dịch vụ. Việc sử dụng lưu trữ đám mây để lưu trữ mã một lần khiến người dùng dễ bị tấn công bởi tội phạm mạng, những kẻ sau đó có thể khám phá mật khẩu Google của người dùng và do đó, có được quyền truy cập đầy đủ vào tất cả các ứng dụng được liên kết với ứng dụng xác thực được sử dụng bởi người dùng. Người dùng sử dụng Google Authenticator để xác thực hai yếu tố nên thực hiện các biện pháp phòng ngừa để tự bảo vệ mình, chẳng hạn như cài đặt ứng dụng xác thực của họ trên một thiết bị khác và tránh xác thực hai yếu tố qua SMS.

VIC Crypto tổng hợp

Bài viết liên quan:

Các loại rủi ro tiềm ẩn trong Web3

Vụ hack 10 triệu USD trên giao thức DeFi Yearn Finance có dính líu đến Aave?

Google Authenticator là gì? Cách sử dụng Google Authenticator