Bảo mật xác thực 2 lớp hiện nay đang là biện pháp bảo vệ tài khoản trực tuyến của người dùng hiệu quả và thuận tiện nhất. Nhưng nhiều trường hợp hình thức xác nhận này lại khiến người dùng bị mất quyền truy cập tài khoản của mình vĩnh viễn.
Bảo mật xác thực 2 lớp hiện nay đang rất phổ biến. Xuất hiện nhiều nhất với người dùng trong nước là tin nhắn OTP từ ngân hàng mỗi khi khách hàng muốn thực hiện giao dịch. Gmail khi muốn đăng nhập từ một thiết bị mới, người dùng phải nhập mã xác nhận trên các thiết bị đã cài ứng dụng Google trước đó.
Như vậy phương pháp bảo mật này là sử dụng một thiết bị của người dùng để xác nhận cho hoạt động trên thiết bị khác. Như vậy, sẽ thế nào nếu người dùng bị mất điện thoại?
Tin nhắn OTP sẽ không thể nhận được hay nguy hiểm hơn mã OTP rơi vào tay tin tặc. Cả 2 điều này đều dẫn đến những thiệt hại lớn cho người dùng.
Làm thế nào để an toàn nhất với tài khoản trực tuyến?
Nhiều dịch vụ trực tuyến hiện nay có hỗ trợ phương pháp bảo mật 2 lớp đều cung cấp cho người dùng một mã an toàn để khôi phục tài khoản nếu phương thức nhập OTP có vấn đề.
Google cung cấp cho người dùng mã số Backup code và yêu cầu cất kỹ
Những mã an toàn này được gọi là Backup codes. Những mã này thường không thể thay đổi và không được cấp lại nên các dịch vụ thường khuyến cáo người dùng nên in mã này ra giấy và cất ở nơi an toàn.
Như vậy trong trường hợp ứng dụng xác nhận của người dùng không hoạt động hay không có cách nào để nhận mã OTP thì mã khôi phục này sẽ phát huy tác dụng. Tài khoản trực tuyến của người dùng vẫn được bảo vệ tốt nhất trong khi việc truy cập vào tài khoản vẫn có thể thực hiện.
Một cách nhận OTP khác cũng được áp dụng hiện nay là nhận qua email. Khác với số điện thoại, email cho phép người dùng đăng nhập từ mọi nơi. Nhiều dịch vụ còn cho phép nhận OTP qua vài địa chỉ email khác nhau. Do đó sử dụng nhiều email để nhận mã OTP cũng là một cách đề phòng khi người dùng bị mất điện thoại.
Cẩn trọng hơn với tài khoản ngân hàng
Trước đây tại Việt Nam đã có một số trường hợp tin tặc có được cả tên đăng nhập, mật khẩu và mã OTP tài khoản ngân hàng của người dùng để trộm tiền. Tuy nhiên việc điều hướng OTP của tin tặc được thực hiện nhờ vào lỗ hổng trong quy trình hoạt động ứng dụng xác nhận.
Ngay khi phát hiện vụ việc, nhiều chuyên gia bảo mật trong nước khi đó đã đưa ra khuyến cáo người dùng nên chuyển từ việc nhận mã OTP qua ứng dụng sang sử dụng thiết bị nhận OTP chuyện dụng, được gọi là token.
So với việc nhận mã OTP trên điện thoại qua tin nhắn, mã OTP nhận trên thiết bị di động vẫn có thể bị sao chép bằng các mã độc trên điện thoại Android. Token vật lý sẽ cho hiệu quả bảo mật cao hơn.
Tuy nhiên việc sử dụng và mang theo token này với nhiều người vẫn bị coi là quá phức tạp. Nếu muốn tiếp tục duy trì việc nhận mã trên thiết bị di động, ngay khi bị mất điện thoại hay hỏng SIM, người dùng nên lập tức tới ngân hàng để yêu cầu đổi số điện thoại nhận OTP. Điều này sẽ giúp bảo mật và các giao dịch tiếp theo được thực hiện thuận tiện hơn.