Gửi mã dùng một lần qua email còn tệ hơn cả mật khẩu

• Gần đây, nhiều dịch vụ đã áp dụng phương thức đăng nhập bằng mã 6 chữ số dựa trên email hoặc số điện thoại
  • Nhập email/số điện thoại, hệ thống sẽ gửi mã xác thực 6 chữ số, rồi nhập mã đó để đăng nhập
• Cách này gây ra lỗ hổng nghiêm trọng đối với bảo mật tài khoản
  • Kẻ tấn công chỉ cần nhập địa chỉ email của người khác vào một dịch vụ hợp pháp để yêu cầu gửi mã xác thực
  • Người dùng khó biết liệu mã xác thực nhận được có thực sự được dùng trong một tình huống chính đáng hay không, hay đó là một nỗ lực lừa đảo
  • Các công cụ chống phishing hiện có như password manager (trình quản lý mật khẩu) không còn phát huy hiệu quả
• Trên thực tế, phương thức mã xác thực này liên tục bị lạm dụng
  • Ngay cả đăng nhập tài khoản Minecraft do Microsoft vận hành cũng sử dụng cách tương tự
  • Nhiều trường hợp đánh cắp tài khoản đã được báo cáo trên Reddit, YouTube và nhiều cộng đồng, nền tảng truyền thông trực tuyến khác

Kết luận

Phương thức xác thực qua email bằng mã 6 chữ số là một cách dễ tổn thương hơn dự kiến về mặt bảo mật

• So với cách dùng mật khẩu truyền thống, nguy cơ phishing thậm chí tăng lên đáng kể
• Dù được đưa vào để cải thiện trải nghiệm người dùng hoặc tăng bảo mật, cách làm này trên thực tế có thể dẫn đến kết quả tệ hơn