Theo CNBC, mã OTP (mật khẩu dùng một lần) hiện vẫn là một trong những phương thức đăng nhập tiện lợi và phổ biến nhất đối với người dùng điện thoại, thường được gửi qua tin nhắn văn bản (SMS). Chỉ cần nhập đúng mã là có thể xác thực giao dịch, không cần tải thêm ứng dụng hay thực hiện các bước phức tạp.
Tuy nhiên, ngày càng nhiều chuyên gia an ninh mạng cho rằng OTP, cũng như mật khẩu truyền thống, không còn đủ an toàn và cần sớm được thay thế. Thực tế đã ghi nhận nhiều vụ tấn công chiếm đoạt tài khoản xuất phát từ lỗ hổng của phương thức này, gây thiệt hại nghiêm trọng cho người dùng và doanh nghiệp.
Người dùng cần hiểu rõ rằng OTP không phải chỉ có một loại, và mức độ an toàn của mỗi phương thức có sự khác biệt lớn. Ant Allan, Phó Chủ tịch phân tích tại Gartner Research, nhấn mạnh: “Kinh nghiệm cho thấy luôn có cách để vượt qua các biện pháp xác thực, nhưng một số phương thức vẫn an toàn hơn. Không có phương pháp nào tuyệt đối an toàn.”
Trong số đó, OTP qua SMS được đánh giá là dễ bị khai thác nhất. Theo Tracy C. Kitten, Giám đốc phụ trách an ninh tại Javelin Strategy & Research, kẻ gian có thể sử dụng nhiều chiêu thức như lừa đảo qua email, đánh cắp SIM hoặc chặn tin nhắn bằng các công cụ chuyên dụng. Đáng lo hơn, ngay cả khi điện thoại vẫn trong tay người dùng, tin nhắn OTP vẫn có thể bị đọc trộm từ xa thông qua các lỗ hổng mạng di động.
Một vấn đề khác là người dùng khó phát hiện tài khoản bị xâm nhập ngay lập tức. Kitten cảnh báo: “Bạn có thể yêu cầu ngân hàng gửi lại mã OTP mà không biết rằng kẻ gian đang nhận mã đó. Có thể mất 45 phút để nhận ra sự cố, và khi đó thì đã quá muộn.”
Để tăng cường bảo mật, các chuyên gia khuyến nghị sử dụng ứng dụng xác thực (authenticator app) như Google Authenticator hoặc Microsoft Authenticator. Các ứng dụng này tạo ra mã dùng một lần (TOTP) trực tiếp trên thiết bị, tự động hết hạn sau 30–60 giây, không qua mạng di động, nhờ đó giảm đáng kể nguy cơ bị đánh cắp.
Ant Allan cho biết dù các ứng dụng này vẫn có thể bị tấn công theo kiểu “kẻ trung gian”, chúng vẫn an toàn hơn nhiều so với OTP qua SMS. Kitten bổ sung rằng nếu điện thoại được bảo vệ bằng mật khẩu mạnh hoặc nhận diện sinh trắc học như vân tay, khuôn mặt, nguy cơ bị xâm nhập sẽ giảm thêm một bậc.
Cedric Thevenet, Phó Chủ tịch kiêm Trưởng bộ phận an ninh mạng tại Capgemini Americas, cho rằng một lựa chọn bảo mật cao hơn là xác thực qua thông báo ứng dụng. Khi đăng nhập, người dùng không cần nhập mã mà chỉ cần xác nhận thông báo hiển thị trên ứng dụng của điện thoại. Phương thức này không phụ thuộc vào thiết bị đăng nhập và có khả năng chống lại nhiều hình thức tấn công.
Tuy vậy, ngay cả giải pháp này cũng có điểm yếu. Hacker có thể thực hiện tấn công gửi liên tục nhiều yêu cầu đăng nhập giả mạo khiến người dùng vô tình nhấn “xác nhận”, từ đó trao quyền truy cập cho kẻ xấu.
Ngoài hai phương thức trên, một số chuyên gia đề xuất người dùng nên làm quen với các giải pháp mới như khóa phần cứng (hardware key) hoặc passkeys – công nghệ xác thực không dùng mật khẩu, được Google, Apple và nhiều tập đoàn lớn triển khai. Passkeys sử dụng cơ chế mã hóa khóa công khai, loại bỏ nguy cơ bị lừa đảo qua trang web giả và giúp quá trình đăng nhập trở nên an toàn, tiện lợi hơn.
Rõ ràng, OTP qua SMS không còn là lựa chọn tối ưu khi các mối đe dọa mạng ngày càng tinh vi. Dù phương thức này vẫn phổ biến và dễ dùng, người dùng nên chủ động chuyển sang các biện pháp bảo mật mạnh hơn như ứng dụng xác thực, thông báo qua app, khóa phần cứng hoặc passkeys.
Các chuyên gia nhấn mạnh, không có phương pháp nào tuyệt đối an toàn. Nhưng khi hiểu rõ rủi ro, áp dụng nhiều lớp bảo mật và cảnh giác trước các chiêu thức lừa đảo tinh vi, người dùng có thể giảm đáng kể nguy cơ bị mất tài khoản, tránh những thiệt hại không đáng có.
