Mỗi khi quên mật khẩu tài khoản Google, người dùng đối diện với một số lựa chọn phục hồi tài khoản quen thuộc, nhưng sớm thôi, chúng ta sẽ thấy một trong số chúng biến mất.
Trong một cuộc trò chuyện với nguồn tin nội bộ Google, cây bút chuyên về an ninh mạng Davey Winder đã biết trước được một thông tin bất ngờ: Google sẽ sớm loại bỏ khả năng xác thực và phục hồi tài khoản bằng mã gửi qua tin nhắn SMS.
Sắp tới, Google sẽ bỏ xác thực tài khoản qua SMS – Ảnh: Google.
Ngành công nghệ đang dần thay đổi, chuyển từ sử dụng mật khẩu (password) sang khóa truy cập (passkey), tức là từ mật khẩu dạng ký tự sang mật khẩu được bảo vệ bằng mã PIN hoặc bằng các phương pháp xác thực sinh trắc học, như nhận diện khuôn mặt và vân tay.
“Tương tự với cách muốn bỏ lại mật khẩu phía sau bằng những công nghệ như khóa truy cập, chúng tôi cũng muốn loại bỏ xác thực qua tin nhắn SMS”, phát ngôn viên của Gmail, Ross Richendrfer nói với anh Winder. Cũng theo vị này, tập đoàn công nghệ Mỹ sẽ loại bỏ hình thức xác thực qua SMS, thay thế bằng mã QR nhằm “giảm thiểu tác động của tình trạng lạm dụng SMS trên toàn cầu”.
Hiện Google sử dụng xác minh qua SMS cho hai mục đích: bảo mật và kiểm soát lạm dụng. Về mặt bảo mật, Richendrfer giải thích rằng việc này giúp xác minh Google “đang làm việc với cùng một người dùng ”. Trong khi đó, mục đích kiểm soát lạm dụng nhằm ngăn kẻ gian lợi dụng các dịch vụ của Google.
Theo Google, có trường hợp tội phạm mạng tạo ra hàng nghìn tài khoản Gmail để phát tán thư rác và phần mềm độc hại.
Lý do Google ngừng xác thực bằng mã gửi qua SMS
Theo Richendrfer và các cộng sự, mã SMS chứa đựng một số rủi ro nhất định. Kẻ gian có thể đã đánh cắp được danh tính người dùng, đôi lúc người dùng đã làm mất máy, hay bản thân mức độ an toàn của mã SMS phụ thuộc vào mức độ bảo mật của các bên cung cấp dịch vụ di động.
“Nếu kẻ gian có thể đánh lừa nhà mạng để đánh cắp số điện điện thoại, thì giá trị bảo mật của SMS biến mất”, Richendrfer cho hay.
Passkey là một trong những hình thức bảo mật mới, thay thế cho password – Ảnh: Google.
Ngoài ra, mã xác minh qua SMS thường là một yếu tố mấu chốt trong các hoạt động phạm tội. Vài năm qua, Google đã theo dõi và phát hiện được một hình thường lừa đảo tương đối mới có tên “traffic pumping”, tạm dịch là “bơm lưu lượng truy cập”. Theo lời chuyên gia bảo mật Winder, trước đây, cách thức này có tên lạm phát lưu lượng nhân tạo (traffic inflation) hoặc gian lận cước phí (toll fraud), nhưng phương thức thực hiện thì vẫn vậy.
Theo giải thích của các chuyên gia Google: “Đây là thủ đoạn mà kẻ gian tìm cách khiến các nhà cung cấp dịch vụ trực tuyến gửi một lượng lớn tin nhắn SMS đến các số điện thoại do chúng kiểm soát, từ đó nhận tiền mỗi khi một tin nhắn được gửi đi”.
Những thay đổi trong thời gian tới
“Trong vài tháng tới, chúng tôi sẽ tìm một hướng đi mới trong phương pháp xác thực qua điện thoại ”, Richendrfer nói. “Đặc biệt, thay vì điền số điện thoại vào và nhận được một mã gồm 6 số, bạn sẽ thấy một mã QR xuất hiện, và rồi sẽ phải quét mã này bằng camera trên chính điện thoại của bạn”.
Google có thể sẽ sớm dùng mã QR để xác thực qua điện thoại, thay cho tin nhắn SMS – Ảnh: Wikipedia.
Theo khẳng định từ Google, mã QR đi kèm những lợi ích bảo mật như sau:
1. Giảm nguy cơ người dùng Gmail bị lừa chia sẻ mã bảo mật với kẻ gian. Hiển nhiên, không còn mã nữa thì không có gì để chia sẻ cho kẻ xấu..
2. Giảm sự phụ thuộc của người dùng Google vào nhà mạng trong việc bảo vệ chống lạm dụng. Điều này không áp dụng được với toàn bộ các trường hợp, nhưng ít nhất cũng hỗ trợ được phần lớn người dùng.
“Mã xác minh qua SMS ẩn chứa rủi ro cao đối với người dùng ”, phát ngôn viên Google kết luận “chúng tôi rất vui khi giới thiệu một phương pháp mới sáng tạo nhằm thu hẹp bề mặt tấn công và bảo vệ người dùng tốt hơn trước các hoạt động có hại”.
Tuy Google chưa ấn định ngày “khai tử” mã xác thực qua SMS, nhưng chắc chắn đây sẽ là thay đổi được người dùng nhiệt liệt đón nhận.
Nguồn tin: https://genk.vn/google-chuan-bi-khai-tu-hinh-thuc-lay-ma-xac-thuc-qua-sms-20250224144336561.chn