-
Cận cảnh dàn xe tăng, xe thiết giáp, ngư lôi lần đầu xuất hiện tại triển lãm lớn nhất lịch sử
-
Công bố kết quả nghiên cứu ảnh hưởng của xăng E10 với ô tô, xe máy
-
Cùng đi xem xe, người đàn ông bỏ lại bạn gái rồi lấy xe máy phóng mất hút
-
Cô bé từng xuất hiện trong trận Chung kết Olympia 19 năm trước giờ đã thành Chị Đẹp, cuộc sống thay đổi 180 độ
-
Danh tính nam thanh niên xăm trổ thách thức công an tại chốt bảo vệ sơ duyệt A80
-
Bức ảnh nghiệt ngã: Người trao giải và người nhận giải Miss Audition 2006 đều vướng lao lý
-
TP HCM: Cán bộ, công chức thôi việc sau sắp xếp có thể vay đến 300 triệu đồng
-
Ô tô bất ngờ "sụt hố" trên phố Đội Cấn, Hà Nội
-
Lần đầu tiên người dân có thể bán vàng miếng với giá 127 triệu/lượng
-
Bão số 6 khả năng sắp hình thành, trọng tâm mưa lớn ở miền Trung
-
Vụ 8 cán bộ Quảng Ninh làm lộ bí mật nhà nước: Sơ suất nhỏ có thể phạm điều nghiêm cấm
-
"Ông Ba Minh cưu mang vợ nhặt 11 năm" nhận 1,6 tỷ đồng: Tiền sẽ được sử dụng thế nào?
-
Nhà triệu USD cứ mưa là ngập, vì sao giá không ngừng tăng?
-
iPhone 17 hoàn toàn "mất tích" khỏi đại lý chính hãng Việt Nam
-
"Bảo bối" UAV đa năng ra mắt tại công trình kỷ lục Việt Nam: Vận tốc tối đa 200km/h, có thể mang cả tên lửa
-
Danh tính chàng chiến sĩ 'triệu view' đang gây sốt mạng xã hội dịp lễ 2/9
-
Clip thanh niên đâm bạn tử vong: Hé lộ nguyên nhân phát sinh trên bàn nhậu
-
Cục Cảnh sát kinh tế ra yêu cầu khẩn đối với bà Đào Thị Hương Lan
-
Loạt ngân hàng hướng dẫn cách liên kết tài khoản hưởng an sinh xã hội trên VNeID
-
Đề nghị truy tố các cựu lãnh đạo tỉnh Khánh Hòa liên quan đến các dự án Phúc Sơn
Công nghệ
07/01/2019 15:39Vì sao xác thực 2 yếu tố không thực sự an toàn?

Theo CNBC, giới chuyên gia an ninh mạng khuyên người dùng online nên bật xác thực hai yếu tố để thêm vào một lớp an ninh, bảo mật, song theo ít nhất một chuyên gia, đây không phải là cách tối an toàn. Ông Kevin Mitnick, người từng là tin tặc bị Cục Điều tra Liên bang Mỹ (FBI) truy nã gắt gao và hiện giúp nhiều doanh nghiệp tự vệ, cho rằng xác thực hai yếu tố có thể dễ bị tấn công.
“Chỉ bằng cách kích hoạt xác thực hai yếu tố, bạn không thể thư giãn. Kẻ tấn công thông minh vẫn có thể truy cập vào tài khoản của bạn”, ông Mitnick tiết lộ. Ông là giám đốc tại công ty hack KnowBe4, hãng an ninh mạng chuyên đào tạo nhân viên phát hiện email lừa đảo hoặc giả mạo.

Mitnick cho biết mình nhận thấy điều này khi nó được đăng tải trên mạng để cư dân mạng phát hiện. “Công cụ thực sự loại bỏ các cuộc tấn công đã được công khai. Vì vậy một đứa trẻ 13 tuổi cũng có thể tải công cụ xuống và thực sự thực hiện tấn công tài khoản”, ông Mitnick nói.
Theo ông, đợt tấn công bắt đầu khi tội phạm mạng gửi email trông như thật, yêu cầu người nhận nhấn vào một liên kết. Một khi người dùng nhấn vào, họ được điều hướng đến trang web thực, bao gồm việc nhập mã được gửi đến điện thoại. Tuy nhiên, việc đăng nhập đi qua máy chủ của tin tặc và tin tặc có thể lấy cookie của đợt đăng nhập.

“Nếu chúng tôi có thể đánh cắp cookie phiên hoạt động tài khoản của người dùng, chúng tôi có thể trở thành họ. Chúng tôi không cần tên tài khoản, mật khẩu hoặc hai yếu tố. Khi nhấn refresh, tôi sẽ được đăng nhập một cách kỳ diệu vào tài khoản của nạn nhân”, ông Mitnick nói, thao tác thử để cho thấy rằng ông có thể nhập code vào trình duyệt của mình.
Mitnick sử dụng LinkedIn để thực hiện tấn công thử cho khán giả kênh CNBC xem, song ông nói rằng rất nhiều trang web khác cũng dễ bị tấn công. Email mà ông nhấn vào trông như một yêu cầu kết nối LinkedIn thực thụ, song lại đến từ tên miền giả là lnked.com. Chuyên gia cho rằng có thể nhiều người không nhận ra sự khác biệt.

Phát ngôn viên LinkedIn Mary-Katharine Juric cho biết bà xem đợt hack thử tài khoản của ông Mitnick “rất nghiêm túc”, cho biết thêm LinkedIn có một số biện pháp kỹ thuật để bảo vệ thành viên khỏi bị lừa. Kiểu tấn công như ông Mitnick “biểu diễn” là một phần của kỹ thuật xã hội, dùng để chỉ việc tin tặc lợi dụng hành vi của con người để khiến nạn nhân làm gì đó, chẳng hạn như nhấn vào liên kết. Một cách để tự vệ là chú ý đến email bạn nhận được, ngay cả khi đã dùng xác thực hai yếu tố.
Để bảo vệ người dùng mạng khỏi các cuộc tấn công dạng này, một số doanh nghiệp đang tạo công cụ gọi là khóa bảo mật. Thay vì gửi mã đến điện thoại, khóa bảo mật trông giống như móc khóa có chứa chip phần cứng. Nó dùng Bluetooth hoặc USB để thêm yếu tố bổ sung cần thiết giúp người dùng đăng nhập tài khoản. Mới đây, Google phát hành phiên bản riêng của thiết bị này với tên gọi Titan Security Key.
Giám đốc quản lý sản phẩm về bảo mật và quyền riêng tư Mark Risher của Google cho hay: “Khóa bảo mật lưu trữ mật khẩu của chính nó và yêu cầu trang web phải chứng minh mình là thật trước khi đưa ra mật khẩu, giúp người dùng đăng nhập. Hiện nó chưa có mặt ở mọi nơi nhưng chúng tôi được khuyến khích xem ngày càng nhiều trang web và ứng dụng hơn”.
Theo Thu Thảo (Thanh Niên Online)








- Nhiều cảnh sát xuất hiện tại nhà "bầu" Đoan (28/08/25 23:57)
- Bốc thăm Champions League: Real đụng độ Man City, Liverpool (28/08/25 23:53)
- Cách nhận tiền ăn "Tết Độc lập" 2/9 do Nhà nước tặng, làm ngay các bước sau (28/08/25 22:59)
- Khoa Pug không nói suông: Đi kéo chân lần 2 vì gặp Hoa hậu Lương Thuỳ Linh? (28/08/25 22:30)
- 50 triệu đồng và màn gây sốc về báo hiếu của con rể với bố mẹ vợ (28/08/25 21:49)
- Robot hình người "Made in Vietnam" của tỷ phú Phạm Nhật Vượng làm 1 việc bất ngờ tại công trình top 10 TG (28/08/25 21:21)
- Nóng: Chính phủ tặng quà bằng tiền mặt cho toàn dân ăn Tết Độc lập (28/08/25 20:55)
- Triển lãm HOT nhất dịp 2/9 đã mở cửa: Quy mô khủng chưa từng có, choáng ngợp với các màn biểu diễn và hoàn toàn MIỄN PHÍ (28/08/25 20:51)
- "Mưa đỏ" mang về 200 tỷ đồng (28/08/25 20:33)
- Giám đốc BV Đại học Y Hà Nội lên tiếng về sức khỏe của GS Ngô Bảo Châu (28/08/25 20:30)




