Các nhà nghiên cứu bảo mật cho biết kỹ thuật xác thực hai yếu tố (2FA) vẫn còn lâu mới được bảo mật

Các kỹ thuật xác thực không cần mật khẩu tiếp tục đạt được động lực hơn bao giờ hết và người dùng ngày nay đã bắt đầu dựa vào xác thực đa yếu tố (MFA), xác thực hai yếu tố (2FA), OTP và một số cách khác để tự xác thực với số lượng lớn.


2FA không an toàn

Tin tặc đang thử các kỹ thuật mới và tiên tiến hơn để xâm nhập vào tài khoản của bạn. Do đó, các phương pháp này có thể yêu cầu đẩy mạnh trò chơi của họ để tăng cường bảo mật.

Theo CheckPoint, đặc biệt xác thực hai yếu tố (2FA) vẫn chưa được bảo mật:
While 2FA has proved to be far more secure than just user names and passwords – very often the subject of phishing attacks allowed by password re-use, or by brute-force attacks – 2FA is still far from being secure.
Các kỹ thuật xác thực hai yếu tố hoặc xác thực đa yếu tố nhằm giải quyết các mối lo ngại về bảo mật được nêu ra sau khi một loạt các vi phạm dữ liệu lớn trong đó mật khẩu (xác thực một yếu tố) bị xâm phạm với số lượng lớn.

Giải thích xác thực đa yếu tố (MFA)

Xác thực đa yếu tố (MFA) yêu cầu người dùng xác minh danh tính của họ bằng nhiều phương tiện. Ngoài việc nhập tên người dùng và mật khẩu, MFA yêu cầu thông tin đăng nhập bổ sung, chẳng hạn như OTP, câu hỏi bí mật, xác thực sinh trắc học hoặc kết hợp tất cả chúng.

Xác thực hai yếu tố (2FA) là phương pháp phổ biến nhất của MFA yêu cầu hai loại thông tin từ người dùng. Ví dụ: xác thực mật khẩu một lần (OTP) qua SMS ngoài tên người dùng và mật khẩu.

Có gì sai với 2FA?

Chúng tôi sử dụng xác thực hai yếu tố (2FA) để xác thực quyền truy cập vào tài khoản ngân hàng trực tuyến, xác minh giao dịch thanh toán và hơn thế nữa. Nhưng một số lượng lớn các giao dịch thẻ tín dụng gian lận diễn ra mặc dù có 2FA và điều này đã làm suy yếu quá trình này.

Các chiến dịch lừa đảo và các kỹ thuật kỹ thuật xã hội lừa người dùng từ bỏ thông tin đăng nhập tài khoản và mật khẩu một lần (OTP) đặt câu hỏi về độ tin cậy của phương thức xác thực hai yếu tố (2FA).

Các nhà nghiên cứu nói rằng hành vi trộm cắp thông tin dễ dàng bỏ qua 2FA những ngày này. Các cuộc tấn công như vậy có thể được ngăn chặn bằng cách sử dụng một cách tiếp cận nhiều lớp.
A multi-layered approach to Mobile Security is needed in order to prevent attacks that aim to abuse accessibility permissions and ex-filtrate data from the device, with disastrous consequences to the end user and the service provider.
Các nhà nghiên cứu gần đây đã bắt được một biến thể mới của các chiến dịch TrickBot nhắm vào thông tin nhạy cảm và đóng vai trò là người thả cho các phần mềm độc hại khác. Trước đây, các nhà nghiên cứu của IBM đã tiết lộ cách các nhà khai thác TrickBot quản lý để chặn các mã xác thực OTP được gửi từ các ngân hàng, nhờ một ứng dụng độc hại có tên TrickMo.