1 điểm bởi GN⁺ 2024-02-07 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tấn công SIM swap là hình thức khiến nhà mạng chuyển số điện thoại của nạn nhân sang thiết bị của kẻ tấn công, rồi chặn mã đăng nhập SMS và mã đặt lại mật khẩu; điểm tranh cãi cốt lõi là việc doanh nghiệp đã đưa kênh yếu này vào luồng xác thực
  • SMS được truyền dưới dạng văn bản thuần và không phải giao thức bảo mật, nên khi dùng cho đặt lại mật khẩu, khôi phục tài khoản, onboarding và đăng nhập thì mức độ an toàn số của người dùng cũng bị chuyển giao cùng với số điện thoại
  • Nhiều dịch vụ như Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, Bank of America đã hoặc đang dùng SMS cho đăng nhập, khôi phục, hoặc 2FA; các nhà cung cấp đám mây như Azure, AWS, Twilio, Google cũng cung cấp dịch vụ mã dùng một lần qua SMS
  • Giải pháp tốt hơn là đặt lại qua email và các ứng dụng xác thực như Authy, Google Authenticator; ngay cả khi SMS 2FA được dùng hạn chế cùng với lựa chọn mạnh hơn thì nó cũng không nên trở thành phương án fallback cho khôi phục tài khoản
  • Từ năm 2024 trở đi, khi các nhà mạng lớn của Mỹ như AT&T, T-Mobile, Verizon còn bị xâm nhập kéo dài bởi cuộc tấn công Salt Typhoon, giả định rằng SMS mang lại bảo mật thực chất trong luồng đăng nhập càng bị lung lay

Cấu trúc khiến xác thực dựa trên SMS làm trầm trọng thêm tấn công SIM swap

  • Tấn công SIM swap là cách kẻ tấn công yêu cầu nhà mạng port số điện thoại của nạn nhân sang điện thoại của chúng
    • Tại Mỹ, vì quy định về tính di động của số nhằm thúc đẩy cạnh tranh, nhà mạng phải xử lý việc chuyển số tương đối dễ dàng
    • Khi số đã bị chuyển, kẻ tấn công có thể nhận thông tin đăng nhập qua SMS hoặc mã đặt lại mật khẩu do doanh nghiệp gửi và truy cập tài khoản
  • Việc chỉ trích cơ chế bảo vệ số của nhà mạng là quá yếu là hợp lý, nhưng nhiều công ty cũng đã xây dựng luồng xác thực mang tính mission-critical trên chính mắt xích mong manh đó
  • Trọng tâm vấn đề là: “Chỉ vì ai đó thuyết phục được T-Mobile, AT&T hoặc Verizon port số của tôi, điều đó không có nghĩa là toàn bộ an toàn số của tôi cũng phải bị port theo”

SMS không được thiết kế làm phương thức xác thực

  • SMS là tin nhắn văn bản thuần không mã hóa, có thể bị đọc hoặc chặn giữa đường như một tấm bưu thiếp
  • Dùng SMS, vốn không phải giao thức bảo mật, cho đặt lại mật khẩu, khôi phục tài khoản, onboarding và đăng nhập là không phù hợp ngay từ cấu trúc
  • 2FA dựa trên SMS chỉ được xem là trường hợp “ít tệ nhất” trong các kịch bản bảo mật yếu, khi nó được cung cấp cùng với các lựa chọn 2FA mạnh hơn
    • Đối tượng bị chỉ trích chính là đặt lại mật khẩu bằng SMS, onboarding người dùng bằng SMS và khôi phục tài khoản bằng SMS
  • Lựa chọn tốt hơn là đặt lại mật khẩu qua email và các ứng dụng xác thực như Authy, Google Authenticator
  • Nếu SMS vẫn tồn tại như một phương án fallback cho khôi phục tài khoản, ngay cả triển khai 2FA mạnh hơn cũng có thể bị suy yếu

Cách các công ty đưa SMS vào luồng xác thực

  • Apple đã công bố tính năng tự động điền mã SMS trên iPhone vào năm 2018, qua đó củng cố luồng dùng SMS cho đặt lại mật khẩu và đăng nhập tài khoản
    • Có những kịch bản mà SMS có thể được dùng để đặt lại tài khoản Apple
    • Xác thực hai bước cho tài khoản nhà phát triển Apple cũng dùng SMS hoặc cuộc gọi
    • Triển khai 2FA gốc của Apple bị đánh giá là suy yếu vì có fallback SMS
  • Google đã cung cấp tính năng SMS autofill cho Android vào năm 2019 để tự động điền mã dùng một lần
  • Các nhà cung cấp đám mây và doanh nghiệp hạ tầng nhắn tin đã hình thành cả một ngành công nghiệp mã SMS
    • Azure, AWS, Twilio, Google và nhiều bên khác cung cấp dịch vụ liên quan đến mã dùng một lần qua SMS
    • Họ bị chỉ trích vì bán một công nghệ vốn hỏng từ gốc như thể đó là giải pháp bảo mật
  • Trong các dịch vụ tài chính và thanh toán, đặt lại qua SMS, đăng nhập bằng SMS, SMS 2FA và khôi phục tài khoản bằng SMS được dùng rất rộng rãi
    • Các ví dụ được nêu gồm Wells Fargo, Cash App, Robinhood, Schwab, PayPal, Bank of America
    • Những tùy chọn SMS này được cung cấp như cách để “xác minh đúng là bạn”, nhưng đồng thời cũng tạo điều kiện cho kẻ tấn công SIM swap
  • Trong các dịch vụ đặt đồ ăn, mạng xã hội, dịch vụ lưu trữ dữ liệu và nhiều lĩnh vực khác, SMS cũng thường là phương thức mặc định để đặt lại tài khoản
    • Ngay cả khi có cách tắt như Dropbox, người dùng vẫn phải tự opt-out theo từng dịch vụ
    • Nhiều dịch vụ thậm chí không cung cấp tùy chọn opt-out

Trách nhiệm thiết kế bảo mật quan trọng hơn sự tiện lợi

  • Người dùng có thể không hiểu được mức độ mong manh của việc đặt lại qua SMS, và đánh giá điều đó không nên là trách nhiệm của họ
  • SMS có thể tiện hơn email reset hoặc ứng dụng 2FA như Authy nên người dùng dễ ưu tiên
  • Tự động điền SMS trên iPhone đôi khi được khen là một tính năng hay của iOS, nhưng sự tiện lợi không đồng nghĩa với bảo đảm an toàn
  • Trách nhiệm đánh giá và thiết kế một hệ thống bảo mật an toàn thuộc về các công ty công nghệ
  • Nếu doanh nghiệp nói rằng họ ưu tiên an toàn và bảo mật cho khách hàng nhưng vẫn duy trì xác thực dựa trên SMS, thì họ đang để khách hàng trong trạng thái bị phơi bày rủi ro

Chỉ cải thiện giao thức và quy định là chưa đủ

  • Các nỗ lực tăng cường giao thức điện thoại như SHAKEN/STIR vẫn chưa đạt đến mức được áp dụng hoàn toàn và thực thi nghiêm ngặt, nên khó thể là cái cớ để tiếp tục gửi mã đặt lại mật khẩu qua SMS
  • Ngay cả khi giao thức điện thoại mạnh hơn được triển khai, điều đó cũng không tự nó ngăn được tấn công SIM swap
  • Sáng kiến Sim Verify của EU được nhắc đến như một cách để doanh nghiệp đang phụ thuộc vào SMS kiểm tra xem SIM có vừa bị port gần đây hay không
  • Chưa rõ những thay đổi như vậy có được triển khai ở Mỹ trong tương lai gần hay không; kinh nghiệm từ việc triển khai SHAKEN/STIR cho thấy thay đổi có thể mất rất lâu
  • Cũng có bình luận trên Hacker News cho biết NIST, tính đến tháng 10/2023, đã đưa ra hướng dẫn mạnh mẽ phản đối việc dùng SMS hoặc cuộc gọi điện thoại để nhận diện người dùng

Rủi ro từ nhà mạng còn tệ hơn sau năm 2024

  • Bản cập nhật cho biết các nhà mạng lớn của Mỹ như AT&T, T-Mobile, Verizon đã bị xâm nhập trong nhiều tháng bởi cuộc tấn công Salt Typhoon
  • Các nhà mạng này chuyển tiếp những tin nhắn SMS không mã hóa được dùng trong vô số luồng đăng nhập, kích hoạt lại tài khoản và đặt lại mật khẩu
  • Khi nhìn cùng lúc vào các vụ xâm nhập nhà mạng tại Mỹ và tính dai dẳng của tấn công SIM swap, cần từ bỏ ý nghĩ rằng SMS mang lại bảo mật thực chất ở bất kỳ phần nào của luồng đăng nhập
  • Google được nhắc đến như một trường hợp đã bắt đầu, ở mức hạn chế trong Gmail, thừa nhận điểm yếu của SMS và rời xa nó
  • Chase, Block/Square, Apple và nhiều bên khác vẫn là ví dụ còn phụ thuộc vào SMS trong một phần quy trình đăng nhập

Các trường hợp thiệt hại người dùng trong bình luận Hacker News

  • Nếu đang du lịch ở khu vực không nhận được SMS, người dùng có thể bị khóa khỏi tài khoản
  • Có ý kiến cho rằng một số ngân hàng như Bank of America yêu cầu phải bật SMS 2FA thì mới kích hoạt được bất kỳ hình thức 2FA nào, và đó là vấn đề lớn
  • Cũng có các trường hợp bị khóa khỏi Viber sau khi đổi số, hoặc Citibank yêu cầu xác thực SMS để thay đổi số điện thoại của tài khoản
  • Khi nhà mạng tính phí roaming cho SMS, người dùng phải trả tiền cho một cơ chế bảo mật yếu
  • Nếu không nạp tiền để duy trì số trả trước và SIM bị khóa, người dùng sẽ không nhận được SMS và cũng gặp vấn đề khi truy cập các dịch vụ ép buộc SMS
  • Một người bình luận từng làm việc trong ngành ngân hàng EU cho biết SMS đắt hơn ở Mỹ nên không trở nên phổ biến rộng như vậy, và SMS 2FA dễ dẫn đến cả vi phạm bảo mật lẫn khóa người dùng

Vì sao cần rời bỏ xác minh danh tính dựa trên số điện thoại

  • Trong kỷ nguyên deepfake, các dịch vụ xác minh danh tính vững chắc càng trở nên quan trọng hơn
  • Các dịch vụ tạo giấy tờ tùy thân giả bằng AI đang trở nên phổ biến, còn xác thực bằng giọng nói mà các công ty tài chính và ISP từng dùng có thể không còn hữu ích trước audio deepfake và kẻ tấn công dai dẳng
  • Cần rời bỏ các phương thức xác minh danh tính không mã hóa và dễ bị SIM swap như SMS
  • Ransomware cũng là một vấn đề lớn mà ngành CNTT đang đối mặt, và tấn công SIM swap được nhắc đến như một vector quan trọng để xâm nhập mạng doanh nghiệp
  • Bài viết gợi ý rằng giảm đăng nhập bằng SMS có thể giúp giảm bớt một phần vấn đề ransomware

1 bình luận

 
GN⁺ 2024-02-07
Ý kiến trên Hacker News
  • Trước khi rác SMS tràn ngập, mã TOTP được 1Password tự động điền trên mọi thiết bị, ở mọi nơi
    Giờ thì cứ phải lấy điện thoại ra liên tục, và dù không cần số đó, muốn đi du lịch vẫn phải trả tiền roaming quốc tế hoặc thiết lập chuyển tiếp SMS. Bảo mật đúng là tuyệt thật
    Nếu lập luận là số điện thoại có thể khôi phục về danh tính ngoài đời bất cứ lúc nào, thì đừng bắt tôi rải số của mình cho mọi công ty trên thế giới, mà hãy cho kết nối ứng dụng xác thực với SMS là được

    • Vấn đề là với ứng dụng xác thực, họ không lấy được một định danh tương đối ổn định giữa các website/ứng dụng để bán lấy vài xu tiền quảng cáo
    • Nếu đưa cả trình tạo mã TOTP vào trình quản lý mật khẩu thì chẳng phải số yếu tố xác thực lại giảm xuống còn 1 sao?
    • Tôi khó tin rằng khi đổi nhà mạng thì vẫn giữ được cùng một số; việc chuyển số giữa các MVNO cũng lúc được lúc không, và tôi còn đi nước ngoài, nên tôi dùng số Google Voice ở mọi nơi
      Vậy mà các công ty ngớ ngẩn cứ đòi số điện thoại rồi chặn dùng Google Voice
    • Ước gì có một dịch vụ xác thực/danh tính cho phép tự chọn mức độ khó khi khôi phục
      Có thể chọn theo chi phí: xuất trình giấy tờ tùy thân do chính phủ cấp, kiểm tra vân tay, thậm chí xét nghiệm DNA nhanh tại chỗ; và có thể chỉ định người thụ hưởng tài khoản khi qua đời hoặc mất năng lực
      Cách hiện nay dựa vào email, tài khoản Google, SMS để xác minh danh tính cuối cùng thật vô lý. Cả ba đều hoặc không an toàn, hoặc có nguy cơ bị chặn tùy tiện, hoặc khó khôi phục, hoặc không xác minh danh tính thật nên dễ bị spam
    • Ở Ấn Độ, nếu không nạp tiền hằng tháng thì thẻ SIM sẽ ngừng hoạt động; sau 2 tháng số bị chặn, và sau 90 ngày số bị hủy rồi tái sử dụng
      Lập luận phản bác phổ biến là WhatsApp sẽ chặn đặt lại mật khẩu nếu số không được dùng trong 90 ngày, nên không sao
      Rồi tiếp theo là có thể nộp đơn bằng văn bản cho ngân hàng để đổi số điện thoại, nên cũng không sao
  • Dùng SMS cho các thao tác quan trọng của tài khoản là kinh khủng

    1. Điện thoại có thể bị mất hoặc bị đánh cắp
    2. Người ta có thể chuyển sang sống ở quốc gia khác
    3. Có các cuộc tấn công vào SMS
    4. Số điện thoại được tái sử dụng
    5. Người dùng phải duy trì gói cước di động trả phí
      Làm ơn đừng buộc tài khoản vào số điện thoại
      Sửa: Tôi đã đổi dòng đầu để làm rõ rằng tôi không nói về các thông báo một lần, v.v.
      1. Theo định nghĩa, nếu thiết bị xác thực 2 bước bị đánh cắp thì dù sao cũng xong. Authenticator cũng coi như xong. SMS ít nhất còn có thể liên hệ nhà mạng để lấy lại cùng số
      2. Có roaming. Ở nước ngoài, nhận tin nhắn thường miễn phí
      3. Đúng
      4. Đúng, nhưng nếu chỉ cần duy trì dữ liệu thì để nó ở trạng thái hoạt động cũng dễ
      5. Đúng, nhưng nếu cấu hình tốt thì gần như không tốn tiền. Tôi đang duy trì SIM châu Âu và Thái Lan với dưới 5 USD/năm, còn số Google Voice thì miễn phí từ năm 2009
        Tôi đồng ý rằng dùng Authenticator và Passkeys thì tốt hơn, nhưng cũng không nên phủ nhận cả ưu điểm của SMS
    • Tôi thấy việc điện thoại di động đang trở thành danh tính cá nhân là một vấn đề thật sự lớn
      Tôi thường thấy các cặp đôi dùng điện thoại của nhau và biết mật khẩu của nhau, nhưng không biết có thể tin ai đến mức đó không. Chắc tôi cũng sẽ không đưa mật khẩu cho mẹ ruột, dù bà chưa từng cho tôi lý do gì để không tin
      Tệ nhất là chuyện này không phải lựa chọn. Các dịch vụ cứ đột nhiên bắt đầu dùng SMS làm xác thực 2 bước
      Nếu đổi số điện thoại thì phải làm sao? Khi không còn kiểm soát số cũ nên không vào được tài khoản, làm sao đổi sang số mới? Nếu một ngày nào đó tài khoản mà bạn thậm chí không nghĩ là cần cập nhật đột nhiên yêu cầu xác thực 2 bước thì sao? Nhìn chung đây là một hệ thống thật sự tệ
    • Nhà cung cấp internet hay công ty điện lực cho phép chọn nhận tin nhắn thông báo mất điện và cập nhật định kỳ thì tốt. Nếu có thể dừng bằng STOP thì ổn
      Trong chuyến cắm trại 2 tuần, một cơn bão lớn quét qua bang quê nhà tôi và điện bị cắt 5 ngày. Nếu không có thông báo SMS thì tôi đã không biết, và khi về đến nơi tôi có thể dọn ngay tủ lạnh và tủ đông
    • Tôi nghĩ sẽ ổn nếu luôn thu thập email
      Dù điện thoại bị chiếm đoạt thì email vẫn còn
      Từ góc nhìn người dùng cuối, nó cũng thực sự tiện. Dù vấn đề này xảy ra với 1% người dùng, hàng tỷ người khác có thể vẫn không gặp vấn đề. Rẻ và tiện. Điện thoại nhận tin nhắn rồi tự động điền
      Không cần đổi ứng dụng để kiểm tra email. Miễn là email không bị chiếm đoạt, tài khoản luôn có thể khôi phục. Nếu mất email thì đáng tiếc, nhưng dù sao những chuyện như vậy vẫn xảy ra, nên mới phải đổi mật khẩu định kỳ và thiết lập xác thực đa yếu tố
      Bảo mật không bao giờ có thể đạt 100%. Đó là chuyện viển vông. Nó cần đủ tiện và đủ an toàn để hoạt động với nhiều người nhất có thể
      Gần như mọi người ngoài HN đều chẳng quan tâm và cũng không hiểu. Họ cũng không cần phải hiểu. Chỉ cần dùng ứng dụng để làm việc cần làm rồi thôi
      Phần backend cứ để mấy dân geek xử lý
    • Tôi luôn thấy việc Revolut ép liên kết số điện thoại thật rợn người
  • Ở Argentina từng xảy ra một vấn đề lớn liên quan đến Payoneer SMS với người dùng Movistar. Tôi đã định đăng lên HN nhưng bị chìm mất.
    Bản dịch đại ý của một tweet sâu sắc bằng tiếng Tây Ban Nha [1] như sau:
    “Bí ẩn Payoneer đã được giải đáp.
    #PayoneerHacked

    • Kẻ tấn công đã xâm nhập SMS gateway dùng để gửi xác thực 2 bước cho khách hàng Movistar. Các nền tảng dùng nó để tiết kiệm chi phí
    • Kẻ tấn công thấy các tin nhắn xác thực 2 bước đi từ Payoneer tới số Movistar, nhưng để đổi mật khẩu và thực hiện giao dịch, chúng cần biết email của người dùng Payoneer
    • Vì vậy, để tìm ra email đứng sau từng số điện thoại, chúng tạo một trang phishing và ở đó chỉ lấy email. Với email + số điện thoại + mã xác thực 2 bước truy cập theo thời gian thực từ SMS gateway bị xâm nhập, chúng có thể đổi mật khẩu, vào tài khoản và chuyển tiền. Vì chúng vẫn đang đọc được các mã xác thực 2 bước gửi tới điện thoại Movistar
    • Do đó, các nạn nhân thấy nhiều SMS xác thực 2 bước thật được gửi đến vào ban đêm, trong khi tài khoản của họ bị rút sạch
    • Dù khách hàng Payoneer có dính phishing thì bình thường họ cũng chỉ mất một phần xác thực 2 bước, chứ không mất toàn bộ những gì cần để đăng nhập, thêm tài khoản và chuyển tiền. Điều kiện cần này cho thấy đã có việc SMS gateway bị xâm nhập
    • Các nạn nhân mất tiền vì đoạn cuối cùng trong stack bảo mật của họ đã bị xâm phạm
      Hãy cẩn thận. Facebook, Twitter, v.v. cũng chia sẻ cùng các gateway để tiết kiệm chi phí SMS
      Tôi để lại ảnh chụp màn hình SMS đến với nạn nhân lúc rạng sáng. Nạn nhân không thể chia sẻ những mã này qua bất kỳ vụ phishing nào, và các SMS này là thứ cần thiết để rút sạch tài khoản
      Dù bạn đọc gì trên báo chí… có rất nhiều trái cây, rất nhiều salad, nhưng ít nước sốt. Bản gốc ở đây
      Cảm ơn tất cả mọi người đã hợp tác”
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • Phần điên rồ hơn là Payoneer cho phép đặt lại mật khẩu tài khoản chỉ bằng mã đặt lại gửi qua SMS, mà không cần chứng minh quyền sở hữu địa chỉ email
  • Có câu rằng “[khách hàng] thấy [đặt lại qua SMS] tiện hơn đặt lại qua email”, nhưng cá nhân tôi thấy khó chịu mỗi khi phải đăng nhập tài khoản Google bằng xác thực qua điện thoại
    Tôi phải đứng dậy khỏi bàn để tìm điện thoại, đôi khi điện thoại ở phòng khác. Rồi mới nhận được cuộc gọi hoặc tin nhắn chứa mã
    So với vậy, TOTP tiện hơn nhiều. Tôi lưu mã trong KeePassXC nên không cần rời khỏi bàn

  • Khi mất số điện thoại thì cũng thật sự rất tệ
    Tôi đã không đăng nhập được vào tài khoản Google chính trong nhiều năm. Tôi có tên người dùng, mật khẩu, địa chỉ email khôi phục và mọi email cũng được chuyển tiếp cho tôi, nhưng vì không còn số điện thoại gắn với tài khoản nữa nên rõ ràng bị đối xử như kẻ xâm nhập

    • Google thật sự rất tệ ở điểm này. Họ thậm chí không dùng đúng địa chỉ email khôi phục
      Cách duy nhất là quay về dải IP trông giống vị trí “nhà” ban đầu và cầu mong nó hoạt động. Tôi có rất nhiều điều muốn nói với người trong Google đã nghĩ rằng không cho truy cập hay khôi phục tài khoản là một việc hay
    • Khi đang đi du lịch cũng vậy. Có lần tôi bị đăng xuất khỏi tài khoản ở nước ngoài và không có quyền truy cập SNS
    • Nhiều người nói dùng số điện thoại vẫn ổn vì có thể dùng các phương thức khác làm dự phòng, nhưng tôi đã đọc khá nhiều câu chuyện kiểu Google đòi tất cả thông tin mà họ có
    • EU dự kiến sẽ có ví danh tính số tích hợp. Hiện đã có chữ ký điện tử đủ điều kiện
      Thẻ căn cước ở nước tôi có chip dùng mật mã khóa công khai. Nếu cho phép liên kết vĩnh viễn tài khoản Google với danh tính quốc gia thì vấn đề sẽ được giải quyết, ít nhất là với cư dân EU
      Khi đó có thể dùng một YubiKey mà không phải lo chỉ mất nó là xong, và nếu ai đó đánh cắp thì vẫn có thể lấy lại tài khoản
    • Tôi tin chắc đây là lỗi. Nếu có email khôi phục thì phải bỏ yêu cầu xác thực SMS
      Nhưng Google không có helpdesk, cũng không có cách báo lỗi. Google nên biết xấu hổ
  • Điều tôi ghét nhất là khi các công ty cứ khăng khăng rằng số Google Voice của tôi “không thể dùng để xác thực”, hoặc nói thẳng hơn là “không phải số điện thoại/di động hợp lệ”
    Một số công ty ban đầu cho phép đăng ký bằng số này, rồi đến một thời điểm nào đó sau khi đăng ký lại đổi chính sách. Thường thì chỉ đến khi bị khóa khỏi tài khoản mới biết
    May là phần lớn chỉ là ứng dụng cửa hàng hoặc dịch vụ thanh toán mà từ nay có thể tránh dùng. Rõ ràng họ không coi trọng giao dịch của tôi. Nhưng tôi lo một ngày nào đó ngân hàng của tôi cũng làm y như vậy và khóa tôi khỏi tài khoản

    • Lý do việc hút số điện thoại người dùng để kiếm lợi trở nên phổ biến rất đơn giản
      Ai cũng có điện thoại di động, phần lớn gần như không đổi số, và nhiều người dễ dàng đưa số điện thoại hơn cả số an sinh xã hội
      Họ không quan tâm đến bảo mật tài khoản hay việc đó có phải là số hợp lệ do người dùng kiểm soát hay không. Họ chỉ muốn một số để định danh duy nhất người dùng, một số vốn đã nằm trong cơ sở dữ liệu của các công ty công nghệ quảng cáo đang trả giá cao nhất cho dữ liệu người dùng
    • Theo trải nghiệm với Google Voice, tôi xem việc không cho dùng Google Voice là một tín hiệu tích cực có thể có ích cho mọi người
      Tôi đã viết một chút trong một bình luận khác của bài này về lý do không nên dùng Google Voice: https://news.ycombinator.com/item?id=39270503
      Trải nghiệm của tôi có thể không đúng với tất cả mọi người, nhưng tôi vẫn cho rằng dựa vào Google Voice “miễn phí” là rủi ro
    • Viber đã làm vậy với tôi. Tài khoản Viber của tôi có từ năm 2012, và tôi chỉ phát hiện khi đổi điện thoại
  • Nói để phản biện thì đăng nhập và khôi phục tài khoản bằng SMS có trải nghiệm người dùng tốt, và các nhà mạng nói chung cần nâng chuẩn của mình lên

    • Hoàn toàn không, xử lý chuyện này cực kỳ khó chịu
      Tôi đang dùng máy tính để bàn, đừng bắt tôi phải lôi điện thoại ra mỗi lần đăng nhập chỉ vì không muốn hỗ trợ FIDO hay một hình thức xác thực 2 bước thật sự khác
      Laptop của tôi có đầu đọc vân tay, điện thoại có Face ID, USB có YubiKey. Cứ dùng những thứ đó là được
    • Tôi có một bình luận viết 11 ngày trước về SMS như một yếu tố xác thực 2 bước, và nó cũng áp dụng cho trường hợp chung: https://news.ycombinator.com/item?id=39130032
      Email chắc chắn tốt hơn. Lý do chính là nhà cung cấp email hoặc là nơi do người dùng kiểm soát, chẳng hạn tên miền tùy chỉnh của dân mê công nghệ như chúng ta, hoặc là một thực thể lớn và vô danh như Google. Nó không phải là mục tiêu dễ bị kẻ tấn công thay đổi như nhà cung cấp số điện thoại
      Tôi làm ở một nhà cung cấp danh tính, và có khá nhiều người yêu cầu hỗ trợ tính năng này, đặc biệt từ góc độ trải nghiệm người dùng
      Như đã nói ở trên, nhà cung cấp số điện thoại cũng phải chịu trách nhiệm. Nếu xu hướng đẩy số điện thoại thành định danh toàn cục cả ngoại tuyến lẫn trực tuyến cứ tiếp tục, các nhà mạng cần đặt ra nhiều yêu cầu hơn đối với việc đổi số điện thoại
    • Trích từ bài viết:
      “Trong nhiều năm, người trong ngành luôn nói kiểu này: ‘Cung cấp xác thực dựa trên SMS nhìn chung tốt hơn cho bảo mật của khách hàng. Nó có nhược điểm, nhưng tiện lợi hơn các cách khác, chẳng hạn xác minh email an toàn hơn nhiều.’ Với điều đó, tôi nói: ‘Anh là ai mà tước đi bảo mật của khách hàng?’”
      Và:
      “Có thể hiểu được khi phần lớn sự phẫn nộ liên quan đến các cuộc tấn công hoán đổi SIM nhắm vào nhà mạng. Thực tế là các nhà mạng bảo vệ số điện thoại khách hàng rất tệ, và họ có thể phải chịu trách nhiệm cho khiếm khuyết đó. Nhưng điểm cốt lõi là thế này: bảo mật của nhà mạng xưa nay vẫn tệ, thậm chí có phần bị làm tệ đi vì hệ thống pháp luật, vậy mà các công ty khác vẫn chọn xây dựng các hệ thống nhiệm vụ trọng yếu của mình trên mắt xích yếu đó.”
      Và:
      “SMS có bảo mật kém, nhưng cho phép xử lý gần như không ma sát việc đăng ký khách hàng mới, chẳng hạn onboarding của Uber, và đặt lại mật khẩu. Các công ty cảm thấy phải theo kịp việc đối thủ áp dụng kỹ thuật này.”
      Phần cuối này đã không may bị ghi đè trong một bản cập nhật bài WordPress, và tôi đã thêm lại
    • Gửi SMS đến một số mà người dùng không còn sở hữu nữa đúng là một trải nghiệm người dùng tuyệt vời
    • Không phải ai cũng có hoặc muốn có điện thoại di động, và cũng không muốn giao quyền kiểm soát cuộc đời mình cho nhà mạng di động
  • Tôi đồng ý rằng SMS là một yếu tố xác thực đa yếu tố tệ hại
    Nhưng việc yêu cầu mọi người cài ứng dụng là một gánh nặng rất lớn, nên nó mới lan rộng. Hơn nữa, mọi người cũng tuyệt đối không lưu mã khôi phục
    Có thể dùng Authy và sao lưu mã, nhưng chuyện đó gần như thuộc phạm vi “dành cho dân kỹ thuật”
    Cuối cùng, với người bình thường, giải pháp thực tế duy nhất là SMS. Cần buộc nhà mạng khiến việc hoán đổi SIM khó hơn

    • Các ngân hàng phát hành thẻ ở châu Âu đều đã làm được
      Ở đó, SMS may mắn là đủ đắt để các ngân hàng thấy không kinh tế khi dùng làm yếu tố mật khẩu dùng một lần, và bị đánh giá là quá không an toàn nếu dùng đơn lẻ cho xác thực thanh toán, nên cần một yếu tố thứ hai
      Kết quả là các ngân hàng phải cung cấp các phương thức an toàn hơn hoặc tiện dụng hơn. Ví dụ như ứng dụng xác thực riêng của ngân hàng, thường hoạt động được cả khi không có Internet hay sóng di động như lúc đi du lịch quốc tế, thiết bị xác thực phần cứng, WebAuthN, v.v.
      Không phải là “hãy làm cho hoán đổi SIM khó hơn”, mà là các công ty tài chính phải nâng chuẩn và cung cấp các phương thức không dễ bị cả xâm phạm bảo mật lẫn khóa người dùng
    • Ngân hàng của tôi bắt cài Symantec VIP. Không hay lắm
      Khai thuế thì cần MyGovID. Cái này cũng chẳng hay
    • Google Authenticator giờ đã đồng bộ với tài khoản Google
    • Trình quản lý mật khẩu tích hợp của iOS hỗ trợ xác thực 2 bước TOTP ngay trong hệ điều hành, nên không cần ứng dụng riêng
  • Hãy thử áp dụng cùng logic đó ở nơi khác
    Công ty áp dụng đăng nhập bằng mật khẩu phải chịu trách nhiệm cho việc bị đánh cắp giấy ghi chú Post-it
    Công ty áp dụng xác thực hai bước qua email phải chịu trách nhiệm cho việc tài khoản email bị đánh cắp
    Tôi không biết logic này có đứng vững không. Tôi thấy chuyện kiểu này lặp đi lặp lại. Có một chủ thể không vi phạm pháp luật và có thể hợp tác với cơ quan thực thi pháp luật, nhưng một chủ thể tội phạm không tuân thủ pháp luật lại tấn công khách hàng của họ. Vì không thể búng tay để khiến chính phủ biến hành vi trộm cắp thành bất hợp pháp gấp đôi, gấp ba, nên mọi người thường bám lấy phía vô tội và cố làm cuộc sống của họ khó khăn hơn
    Cần hít thở sâu và buông bỏ. Không có mức độ vô hại nào trong việc trừng phạt người vô tội thay vì kẻ có tội
    Nghe có vẻ kỳ quặc và điên rồ, nhưng người đổi SIM phải chịu trách nhiệm cho tấn công SIM swap. Gì cơ? Đổ lỗi cho tội phạm à? Lập trường táo bạo đấy, nhưng là đúng

    • Điểm khác giữa xác thực hai bước qua SMS và các ví dụ kia là, với SMS thì theo đúng nghĩa đen là không thể dùng một cách an toàn
      Theo tôi biết, không nhà mạng tiêu dùng nào ở Mỹ triển khai biện pháp bảo vệ phù hợp để ngăn những việc như SIM swap trái phép
      Nếu một công ty triển khai xác thực hai bước qua SMS, họ phải biết sự thật này; và nếu họ biết mà vẫn bán cho người tiêu dùng một hệ thống xác thực hai bước có khiếm khuyết nghiêm trọng như thể “an toàn hơn”, thì họ phải chịu trách nhiệm khi nó thất bại
      Xác thực hai bước qua SMS càng chết sớm, các website cũ kỹ chỉ triển khai xác thực hai bước qua SMS sẽ càng buộc phải triển khai những phương thức thực sự an toàn
    • Tôi cũng nghĩ tương tự khi nhìn vụ 23andMe
      Có thể họ lẽ ra phải làm tốt hơn, nhưng nỗ lực “trừng phạt” họ có cảm giác giống luật hồi tố. Nên tạo quy định mới và xử phạt các vụ việc trong tương lai, chứ vụ này thì có vẻ không phải thứ nên bị xử phạt
    • Nhà mạng cũng phải chịu trách nhiệm
    • Đó là lỗi ngụy biện người rơm. Việc không viết lên giấy Post-it là thứ có thể kiểm soát
      Tấn công SIM swap thì không thể kiểm soát
  • Từ góc nhìn của nhà cung cấp dịch vụ trực tuyến, việc dùng SMS là hoàn toàn hợp lý
    Hai mục tiêu sau rất giống nhau nhưng tách biệt

    1. Chứng minh quyền sở hữu tài khoản: người đang cố thực hiện hành động có sở hữu tài khoản không
    2. Hạn chế số lượng tài khoản do người dùng không chính đáng tạo ra
      SMS rất hiệu quả cho mục tiêu số 2. Vì rất ít người có thể truy cập 100 số điện thoại khác nhau
      Việc có số điện thoại di động thường bao gồm một quy trình cá nhân yêu cầu những thứ như địa chỉ, hộ chiếu, số an sinh xã hội. Có các thủ tục phải vượt qua
      Lý do các công ty dựa vào SMS là vì họ có thể thuê ngoài quy trình xác minh khách hàng cho nhà mạng. Họ dùng SMS không phải vì đó là giải pháp tối ưu hay an toàn nhất để chứng minh quyền sở hữu tài khoản
      Những người cứ phàn nàn rõ ràng chưa từng phải đưa ra các quyết định xác thực kiểu này ở một công ty liên quan đến quy định hoặc dịch vụ tài chính
    • Điểm đó hoàn toàn tách biệt với chiếm đoạt tài khoản
      Có thể yêu cầu số điện thoại khi tạo tài khoản, nhưng không cho phép chiếm đoạt tài khoản chỉ bằng SMS gửi tới số đó
    • Việc hiểu chính xác vì sao các công ty làm vậy đâu có nghĩa là ta phải vui mừng
      Theo cùng logic đó, cũng có thể biện minh cho việc công ty theo dõi người dùng và bán dữ liệu cá nhân. Vì họ kiếm tiền, và kiếm tiền là một phần quan trọng của vận hành doanh nghiệp
    • Trái với câu “rất ít người có thể truy cập 100 số điện thoại khác nhau”, các nhà cung cấp xác thực SMS có ở khắp nơi
      Chỉ cần trả một khoản rất nhỏ như 50 cent cho mỗi lần xác thực là có thể dùng hàng chục, hàng trăm số điện thoại. Không thể chặn được bất kỳ ai có chút quyết tâm