Tháng Sáu 2, 2023
Mela Abesamis luôn coi mình cẩn thận khi nói đến an ninh mạng. Cô nhận thức rõ về các cuộc tấn công lừa đảo và các chiến thuật gian lận phổ biến khác, và cách phát hiện ra chúng. Cô cũng đã quen với việc nhận Mật mã một lần (OTP) từ ngân hàng của mình, được gửi bằng SMS đến thiết bị di động để xác thực danh tính của mình.
Nhưng sau đó vào tháng 12/2020, Mela nhận được tin nhắn từ ngân hàng của mình, nói rằng 50.025 peso Philippines (khoảng 950 USD) đã được chuyển từ tài khoản của cô sang Mark Nagoyo. Đây là dấu hiệu đầu tiên và duy nhất cô nhận được rằng tiền đã được chuyển. Cô chưa bao giờ nghe nói về Mark Nagoyo, cô chắc chắn đã không thực hiện thanh toán và cô đã không nhận được mật mã một lần trong quá trình giao dịch.
Cô ấy không đơn độc. Hơn 700 chủ tài khoản đã bị ảnh hưởng bởi gian lận. Trong tiếng Philippines, từ "nagoyo" có nghĩa là biến ai đó thành kẻ ngốc.
Bốn cá nhân cuối cùng đã bị truy tố vì tội lừa đảo. Những kẻ lừa đảo đã sử dụng kết hợp kỹ thuật xã hội và kỹ thuật lừa đảo để thu thập chi tiết đăng nhập ngân hàng và số điện thoại di động của hàng trăm công dân. Với những điều này, chúng có thể chặn các OTP SMS và làm cạn kiệt tài khoản ngân hàng của mọi người.
Ngân hàng đã hoàn trả số tiền bị ảnh hưởng, nhưng điều này không bù đắp hoàn toàn trải nghiệm đau thương cho các nạn nhân.
Xác thực OTP: Vấn đề là gì?
Đây chỉ là một ví dụ cho thấy việc xâm phạm xác thực OTP ngày càng trở nên ít thách thức hơn đối với các tin tặc ngày càng tinh vi. Có vẻ như xác thực OTP không còn phù hợp với mục đích như một phương pháp bảo mật. Tuy nhiên, chúng vẫn là một quy trình xác minh phổ biến cho các tổ chức trên toàn cầu.
Bài viết này xem xét các rủi ro bảo mật đi kèm với xác thực OTP. Nó thảo luận về cách tin tặc có thể xâm phạm quy trình và đề xuất các lựa chọn thay thế an toàn hơn và dễ tiếp cận hơn để xác minh danh tính.
Xác thực OTP là gì?
Nếu bạn đã từng sử dụng ngân hàng trực tuyến, rất có thể bạn đã hoàn thành xác thực OTP.
OTP (One-Time Passcode) là mã do máy tính tạo ra được gửi qua email, Dịch vụ tin nhắn ngắn (SMS) hoặc mã thông báo phần cứng. Mã đóng vai trò như một hình thức xác thực hoặc xác minh rằng bạn là người mà bạn nói vì bạn đang sở hữu thiết bị của mình.
Sau đó, bạn nhập mã từ SMS của mình vào trường trực tuyến để có quyền truy cập vào một trang web hoặc ứng dụng nhất định. Mã sẽ hết hạn trong một thời gian giới hạn.
Xác thực OTP thường được sử dụng như một phương thức xác thực đa yếu tố (MFA) và đáp ứng những gì bạn có yếu tố đảm bảo.
Xác thực đa yếu tố yêu cầu hai hoặc nhiều yếu tố sau:
- Kiến thức: một cái gì đó chỉ người dùng biết - ví dụ: mật khẩu hoặc mã PIN
- Sở hữu: một cái gì đó chỉ người dùng sở hữu - ví dụ: điện thoại di động hoặc mã thông báo
- Vốn có: một cái gì đó người dùng là - ví dụ: sinh trắc học
Hai yếu tố này cũng cần phải độc lập với nhau. Mục tiêu là gây khó khăn hơn cho người được ủy quyền truy cập vào tài khoản thông qua bảo mật theo lớp.
Trong trường hợp OTP, 'những gì bạn có' là thiết bị di động của bạn.
Các loại xác thực OTP chính:
- Xác thực SMS OTP: Mật mã một lần được gửi đến thiết bị di động của bạn qua tin nhắn văn bản.
- TOTP (Mật mã một lần dựa trên thời gian): Bạn được hướng dẫn mở một ứng dụng xác thực nơi bạn sẽ tìm thấy mật mã. Bạn có 30-60 giây để nhập mật mã vào trang web, ứng dụng hoặc cổng thông tin mà bạn đang cố gắng truy cập trước khi hết hạn.
- Mã thông báo phần cứng: Thiết bị vật lý (không phải điện thoại di động) hiển thị mật mã một lần cho phép bạn truy cập trang web, ứng dụng hoặc cổng thông tin.
Rủi ro bảo mật của xác thực OTP là gì?
Vấn đề cơ bản với xác thực OTP là nó chỉ đáp ứng những gì bạn có yếu tố xác thực (còn được gọi là yếu tố sở hữu). Những gì bạn có - có thể là điện thoại di động hoặc mã thông báo phần cứng - có thể bị mất, bị đánh cắp hoặc bị xâm phạm.
Rủi ro bảo mật xác thực SMS OTP
Như thể hiện trong trường hợp ở Philippines, tin tặc không cần phải đánh cắp điện thoại di động của bạn để xâm phạm xác thực SMS OTP. Trên thực tế, họ không cần phải ở gần bạn.
Tin nhắn văn bản không được mã hóa và chúng được liên kết với số điện thoại của bạn chứ không phải một thiết bị cụ thể. Dưới đây là hai loại tấn công phổ biến cho phép tin tặc chặn xác thực SMS OTP:
- Hoán đổi SIM. Kẻ lừa đảo thu thập thông tin cá nhân từ nạn nhân, thông qua lừa đảo hoặc kỹ thuật xã hội. Họ sử dụng những chi tiết này để thuyết phục nhà cung cấp điện thoại chuyển số sang thiết bị của họ. SMS OTP sau đó được gửi đến kẻ tấn công, cho phép chúng xác minh và hoàn thành hoạt động.
- Lỗ hổng SS7. SS7 (Hệ thống báo hiệu số 7) là một giao thức tạo điều kiện thuận lợi cho tất cả các hoạt động của điện thoại di động, bao gồm cả tin nhắn SMS. Vấn đề là nó bao gồm một lỗ hổng thiết kế có nghĩa là tin tặc có thể chặn các cuộc gọi và tin nhắn SMS.
Khi giao thức SS7 của nhà cung cấp mạng di động bị xâm phạm thành công, kẻ tấn công có quyền truy cập vào vô số dữ liệu cá nhân của người dùng. Điều quan trọng, họ có thể chặn tin nhắn SMS và cuộc gọi điện thoại.
Điều này không chỉ cho phép kẻ tấn công xác thực hoạt động gian lận bằng OTP mà còn cho phép chúng thực hiện điều đó trên quy mô lớn.
Tại Đức vào năm 2017, những kẻ lừa đảo đã xâm nhập giao thức 02 Telefonica SS7 và chặn các OTP SMS. Nó dẫn đến một số chủ tài khoản ngân hàng không được tiết lộ đã bị xóa tiền khỏi tài khoản của họ.
Rủi ro bảo mật xác thực TOTP
TOTP và xác thực dựa trên ứng dụng cung cấp bảo mật hơn so với đối tác SMS của họ. Việc mã OTP liên tục thay đổi và không được liên kết với số điện thoại của bạn khiến kẻ tấn công khó xâm phạm hơn.
Điều đó nói rằng, xác thực TOTP không hoàn toàn không có sai sót của nó. Chẳng hạn:
- Lỗ hổng thiết bị. Xác thực TOTP vẫn chỉ đáp ứng những gì bạn có yếu tố xác thực. Cho dù OTP được mã hóa như thế nào, thực tế là thiết bị của bạn có thể gặp rủi ro. Thiết bị di động có thể bị mất hoặc bị đánh cắp.
Điều này đặt ra câu hỏi liệu xác thực OTP có thực sự có thể được phân loại là MFA hay không. Nếu kẻ tấn công đánh cắp điện thoại di động của bạn, thực hiện một hoạt động (chẳng hạn như thanh toán trực tuyến) và sau đó sử dụng ứng dụng xác thực TOTP của bạn để ủy quyền - chúng tôi có thể thực sự nói rằng họ đã sử dụng nhiều yếu tố không? Rốt cuộc, tất cả đã xảy ra trên cùng một thiết bị.
Mặt khác, xác thực khuôn mặt iProov nằm ngoài băng tần - một loại phương thức xác thực sử dụng một kênh giao tiếp riêng biệt hoặc 'băng tần'. Công nghệ iProov giả định rằng thiết bị đã bị xâm phạm và do đó xác thực được xử lý an toàn và riêng tư trên đám mây. Do đó, xác thực iProov độc lập với thiết bị đang được sử dụng. Ngay cả khi kẻ xấu có toàn quyền truy cập vào thiết bị của người khác, quá trình xác thực vẫn an toàn.
Xác thực OTP có cung cấp trải nghiệm người dùng lỗi thời không?
Đại dịch toàn cầu buộc nhiều người phải thực hiện các hoạt động hàng ngày của họ từ xa. Điều này dẫn đến nhu cầu tăng vọt về trải nghiệm người dùng nhanh chóng, dễ dàng và toàn diện.
Tuy nhiên, trải nghiệm mà xác thực OTP cung cấp đi kèm với những thiếu sót của nó. Chúng ta sẽ thảo luận về chúng ở đây.
Quá trình hoạt động
Một quá trình hoạt động theo nghĩa này có nghĩa là người dùng phải làm gì đó để hoạt động hoạt động. Về xác thực OTP, nó có nghĩa là lấy lại điện thoại hoặc mã thông báo cứng của bạn.
Điều này có thể gây khó chịu. Bạn có thể không mang theo thiết bị bên mình mọi lúc. Do đó, bạn bắt buộc phải tìm nạp nó để hoàn thành hoạt động, thêm ma sát cho trải nghiệm người dùng.
Điều này đặc biệt đúng với TOTP. Bản chất nhạy cảm với thời gian của quy trình xác minh này có thể dẫn đến mật mã một lần hết hạn trước khi bạn có thể sử dụng. Thông thường, người dùng trở nên bực tức bởi thủ tục đến nỗi họ từ bỏ toàn bộ hoạt động.
Sự phụ thuộc vào tín hiệu điện thoại
Xác thực OTP dựa trên giả định rằng bạn có tín hiệu điện thoại hoặc truy cập internet. Nếu không, nó không hoạt động. Với SMS OTP, việc không có tín hiệu mạnh có thể làm chậm mật mã, đồng nghĩa với việc bạn phải đợi để hoàn thành hoạt động.
Giả sử bạn đang cố gắng mua vé máy bay khẩn cấp, hoặc bạn có một thành viên gia đình thực sự gặp khó khăn và cần tiền. Bạn bắt đầu giao dịch trực tuyến và SMS OTP được gửi cho bạn, nhưng bạn không có tín hiệu điện thoại.
Bạn không nhận được mã OTP và không có cách nào khác để mua hoặc chuyển tiền để giúp đỡ thành viên gia đình của bạn.
Thiếu tính toàn diện
Cuối cùng, xác thực OTP giả định sai rằng mọi người đều có quyền truy cập vào thiết bị di động. Không phải ai cũng làm như vậy. Đại dịch toàn cầu buộc tất cả mọi người - chủ sở hữu điện thoại di động hay không - phải thực hiện các dịch vụ truy cập từ xa.
Tại sao xác minh sinh trắc học là một giải pháp thay thế tốt hơn cho xác thực OTP?
Trong khi xác thực OTP đáp ứng những gì bạn có yếu tố xác thực, xác minh sinh trắc học sử dụng những gì bạn đang xác minh. Điều đó có nghĩa là nó sử dụng các đặc điểm vốn có của bạn, chẳng hạn như khuôn mặt của bạn, để xác minh danh tính của bạn.
Mặc dù mật mã một lần có thể bị mất hoặc bị đánh cắp, nhưng không ai có thể đánh cắp khuôn mặt của bạn. Do đó, xác thực sinh trắc học có thể cung cấp một phương pháp an toàn hơn cho các tổ chức để xác minh người dùng dựa trên ID do chính phủ cấp (thường sử dụng ảnh khuôn mặt) để xác thực họ trong quá trình giới thiệu và đăng ký.
Liveness cân nhắc như thế nào so với xác thực OTP?
Như đã nói trước đây, các đặc điểm vốn có của bạn, như khuôn mặt của bạn, không thể bị đánh cắp. Nhưng chúng có thể được sao chép. Những kẻ tấn công có thể đưa mặt nạ, hình ảnh hoặc bản ghi âm của nạn nhân lên camera để giả mạo quá trình xác thực.
Đây là lúc sự sống động xuất hiện. Phát hiện sự sống sử dụng công nghệ sinh trắc học để xác minh rằng người dùng trực tuyến là người thật. Xác thực OTP không thể cung cấp mức độ đảm bảo như vậy. Mark Nagayo không phải là người thật, nhưng những kẻ lừa đảo đã có thể xác minh hàng trăm giao dịch bằng cách sử dụng thông tin bị đánh cắp.
Xác minh khuôn mặt sinh trắc học khác với xác thực OTP như thế nào?
Phát hiện sự sống sử dụng xác minh khuôn mặt để đảm bảo rằng đó là đúng người và đúng người thật - hai lớp bảo mật mà xác thực OTP không thể đạt được.
Tuy nhiên, phát hiện sự sống không thể xác minh xem một người có đang xác minh ngay bây giờ hay không. Mặt khác, các giải pháp sinh trắc học dựa trên khoa học của iProov có thể. Nó thực hiện điều này với công nghệ Flashmark™ của iProov, chiếu sáng khuôn mặt của người dùng từ xa bằng một chuỗi màu ngẫu nhiên, độc đáo không thể phát lại hoặc thao tác tổng hợp, ngăn chặn giả mạo.
Không giống như xác thực SMS OTP - sử dụng mạng điện thoại có thể xâm nhập để cung cấp mật mã - iProov là một công nghệ dựa trên đám mây, có nghĩa là hệ thống phòng thủ của nó bị ẩn khỏi những kẻ tấn công, khiến kẻ tấn công khó chặn dữ liệu quan trọng hơn nhiều.
Như đã thảo luận, xác thực OTP không cung cấp trải nghiệm người dùng dễ dàng, phần lớn là do nó buộc người dùng vào một quy trình hoạt động. Trong khi đó, GPA hoàn toàn bị động. Sử dụng bất kỳ thiết bị nào có camera phía trước (điện thoại di động, máy tính xách tay, kiosk), người dùng chỉ cần nhìn vào máy ảnh và việc xác thực sẽ được thực hiện cho họ. Xác thực hoạt động bất kể khả năng nhận thức vì không có hướng dẫn phức tạp để đọc, hiểu hoặc thực thi.
Nếu bạn đang tìm cách làm cho việc giới thiệu hoặc xác thực khách hàng trực tuyến của mình an toàn và dễ dàng hơn và muốn hưởng lợi từ xác thực sinh trắc học, hãy yêu cầu bản demo tại đây.
