Google đang thực hiện một bước tiến lớn trong việc tăng cường bảo mật tài khoản người dùng bằng cách loại bỏ phương pháp xác thực hai yếu tố (2FA) qua tin nhắn SMS truyền thống, chuyển sang sử dụng mã QR. Phương pháp 2FA mới này hứa hẹn sẽ mang lại khả năng bảo vệ tốt hơn đáng kể trước các mối đe dọa lừa đảo (phishing) và các hình thức tấn công phổ biến khác. Tuy nhiên, tùy thuộc vào cách Google triển khai, nó cũng có thể kém tiện lợi hơn so với việc xác minh qua SMS quen thuộc. Vậy, đâu là những thay đổi cụ thể và người dùng cần chuẩn bị gì cho việc nâng cấp bảo mật quan trọng này?
Hiểu Rõ Về Xác Thực Hai Yếu Tố (2FA) và Tầm Quan Trọng Của Nó
Hầu hết các website lớn hiện nay đều sử dụng xác thực hai yếu tố (2FA) để ngăn chặn tin tặc chiếm đoạt tài khoản đã bị xâm nhập. Ý tưởng đằng sau 2FA khá đơn giản: một kẻ tấn công đánh cắp được tên người dùng và mật khẩu của bạn sẽ hiếm khi có quyền truy cập trực tiếp vào điện thoại thông minh hoặc hộp thư email của bạn. Do đó, thay vì chỉ dựa vào tên người dùng và mật khẩu làm hình thức xác minh đăng nhập duy nhất, các trang web sẽ gửi mã dùng một lần qua SMS hoặc email để đảm bảo rằng mọi nỗ lực đăng nhập đều hợp pháp.
Xác thực hai yếu tố giúp tăng cường đáng kể độ an toàn cho tài khoản. Tuy nhiên, nó cũng làm cho quá trình đăng nhập chậm hơn một chút. Các trang web như Google hiểu rằng 2FA có thể gây khó chịu, vì vậy họ thường lựa chọn hình thức xác thực ít phiền toái nhất – mã xác minh SMS một lần đơn giản.
Biểu tượng Windows 11 với khóa bảo mật, mật khẩu và nhận diện khuôn mặt, đại diện cho các phương pháp xác thực hiện đại.
Tại Sao SMS 2FA Không Còn Đủ An Toàn?
SMS thường được coi là phương pháp 2FA ở “mức tối thiểu”. Nó tốt hơn không có gì, nhưng còn lâu mới hoàn hảo. Hãy tưởng tượng một tin tặc đã đánh cắp tên người dùng và mật khẩu tài khoản ngân hàng của bà bạn. Kẻ tấn công có thể vượt qua xác minh SMS bằng cách gọi điện cho bà, giả mạo là Google, và yêu cầu bà cung cấp mã. Mặc dù xác thực SMS tốt hơn là không có gì, nhưng nó không thể ngăn chặn các cuộc tấn công lừa đảo xã hội (social engineering). Trong một số trường hợp, nó thậm chí có thể tạo vỏ bọc đáng tin cậy cho những kẻ lừa đảo – nếu một tin tặc kích hoạt tin nhắn SMS 2FA trước khi gọi cho bà, chúng có thể dùng đó làm lý do để nói: “Chúng tôi đã phát hiện tài khoản của bạn đang bị tấn công, hãy cung cấp mã đó để chúng tôi khắc phục.”
Xác thực SMS đã trở thành yêu cầu đăng nhập mặc định cho tất cả tài khoản Google vào năm 2021. Giờ đây, sau bốn năm kinh nghiệm, Google đã thông báo với Forbes rằng họ muốn triển khai một hệ thống 2FA mạnh mẽ hơn. Công ty chỉ ra các cuộc tấn công lừa đảo (phishing), cũng như các lỗ hổng bảo mật phía nhà mạng, là lý do cho sự thay đổi này.
Mã QR: Giải Pháp Mới Từ Google và Những Lợi Ích Bảo Mật Vượt Trội
Phương pháp thay thế được chọn cho xác thực SMS – mã QR – được kỳ vọng sẽ tăng cường bảo mật tài khoản cho tất cả người dùng Google. Tin tặc có thể khó thuyết phục “bà” rằng bà nên quét một mã QR ngẫu nhiên. Hơn nữa, vì hệ thống mã QR này không dựa vào SMS, nó không thể bị xâm phạm bởi các thực hành bảo mật được cho là yếu kém của các nhà mạng.
Google cho biết: “Trong vài tháng tới, chúng tôi sẽ định hình lại cách chúng tôi xác minh số điện thoại. Cụ thể, thay vì nhập số điện thoại và nhận mã 6 chữ số, bạn sẽ thấy một mã QR được hiển thị, bạn cần quét bằng ứng dụng camera trên điện thoại của mình.”
Thách Thức và Câu Hỏi Đặt Ra Về Hệ Thống QR Code Mới
Cách Google sẽ triển khai phương pháp 2FA mới này nghe có vẻ khá đơn giản. Tuy nhiên, vẫn còn nhiều câu hỏi về các chi tiết cụ thể. Chẳng hạn, hệ thống này giả định rằng bạn đã đăng nhập vào Google trên điện thoại của mình – điều gì sẽ xảy ra nếu bạn chưa đăng nhập? Google sẽ xử lý 2FA cho các lần đăng nhập trên điện thoại di động như thế nào?
Ngoài ra, mã QR cũng không hoàn toàn miễn nhiễm với các cuộc tấn công lừa đảo. Các mã QR này có thể chỉ là các liên kết web. Chúng có thể đưa bạn đến một trang web hiển thị thông báo “Thiết bị này đang cố gắng đăng nhập vào tài khoản của bạn, bạn có muốn cấp quyền không?” Dù tốt hơn mã SMS sáu chữ số, nhưng vẫn có thể thuyết phục người dùng nhấp vào nút “Xác nhận” màu xanh lam lớn nếu kẻ tấn công đủ tinh vi.
Mã QR code hiển thị trên màn hình điện thoại, minh họa cho phương pháp xác thực bằng QR và rủi ro lừa đảo quishing.
Tương Lai Của Bảo Mật 2FA: Ngoài SMS và Mã QR
Chúng ta đang rất cần một phương pháp 2FA an toàn, tinh vi và tiện lợi hơn. Các khóa bảo mật phần cứng là một giải pháp tuyệt vời, nhưng chúng không được đại chúng đón nhận rộng rãi và có thể khá phức tạp. Passkeys loại bỏ nhu cầu xác thực hai yếu tố trong một số trường hợp, nhưng chúng không làm cho 2FA trở nên lỗi thời, và nhiều trang web sử dụng passkeys vẫn yêu cầu 2FA.
Việc đăng nhập vào tài khoản Google của bạn có thể sẽ giống như trải nghiệm ở những nhà hàng lạ dùng mã QR thay vì menu. Mặc dù việc rút điện thoại ra và quét màn hình khi đang vội vàng tham gia cuộc gọi Google Meet có vẻ không mấy thú vị, và cá nhân tôi cũng không phải là người hâm mộ mã QR, nhưng tôi hoàn toàn đồng ý với quyết định của Google về việc áp dụng một phương pháp 2FA kiên cường hơn.
Kết luận
Việc Google chuyển từ xác thực 2 yếu tố bằng SMS sang mã QR là một bước đi cần thiết nhằm tăng cường bảo mật tài khoản người dùng trước các mối đe dọa ngày càng tinh vi như lừa đảo và lỗ hổng nhà mạng. Mặc dù phương pháp mới này có thể mang lại một số bất tiện và đặt ra những câu hỏi về cách triển khai, nhưng lợi ích về an toàn mà nó mang lại là không thể phủ nhận. Người dùng Việt Nam cần cập nhật thông tin và chuẩn bị thích nghi với thay đổi này để bảo vệ tốt nhất tài khoản Google của mình. Hãy chia sẻ ý kiến của bạn về sự thay đổi này và theo dõi tincongnghemoi.com để cập nhật những thông tin công nghệ mới nhất!
Tài liệu tham khảo:
- Google via Forbes
