"Người dùng sẽ sớm bị buộc phải từ bỏ mã SMS quen thuộc và chuyển sang passkey – bước ngoặt được Microsoft đánh giá là "cuộc cách mạng" chống lừa đảo, nhưng liệu có khiến hàng triệu người dùng phổ thông lúng túng?"
Sau hàng loạt vụ tấn công SIM-swapping và lừa đảo qua tin nhắn, Microsoft chính thức tuyên bố loại bỏ hoàn toàn SMS làm phương thức xác thực hai yếu tố (2FA). Động thái này không chỉ đánh dấu sự kết thúc của một kỷ nguyên bảo mật cũ kỹ, mà còn mở ra cuộc tranh luận: Liệu passkey có thực sự thân thiện với người dùng phổ thông, hay lại tạo ra rào cản mới?
### Tại sao SMS không còn an toàn?
Lý do Microsoft mạnh tay loại bỏ SMS rất đơn giản: mã SMS dễ bị đánh cắp. Kẻ tấn công có thể:
- SIM-swapping: Lừa nhà mạng chuyển số điện thoại của bạn sang sim của chúng.
- Lừa đảo (Phishing): Gửi tin nhắn giả mạo Microsoft yêu cầu nhập mã.
- Đánh chặn SS7: Khai thác lỗ hổng viễn thông để chặn tin nhắn.
*Các chuyên gia bảo mật* đã cảnh báo từ lâu rằng dùng SMS cho 2FA giống như khóa cửa bằng ổ khóa nhựa – chỉ làm chậm kẻ trộm chứ không ngăn được chúng.
### Passkey: Tương lai không mật khẩu
Microsoft khuyến khích người dùng chuyển sang passkey – phương thức xác thực dựa trên sinh trắc học (vân tay, khuôn mặt) hoặc mã PIN của thiết bị. Cụ thể:
- 🔐 Passkey được lưu trữ cục bộ trên máy, không bị gửi qua mạng.
- 🔗 Liên kết với tài khoản cụ thể, chống phishing tuyệt đối.
- 📱 Dùng được trên cả Windows, macOS, Android và iOS.
Từ tháng 5/2025, hàng trăm triệu tài khoản Microsoft sẽ không còn lựa chọn SMS nữa. Người dùng buộc phải thiết lập một trong các phương thức thay thế: *passkey, Microsoft Authenticator, hoặc khóa bảo mật phần cứng*.
### Nguy cơ "vỡ trận" cho người dùng phổ thông
Dù an toàn hơn, việc loại bỏ SMS đột ngột có thể gây ra nhiều rắc rối:
- Mất tài khoảng vĩnh viễn: Nếu bạn mất thiết bị có passkey và chưa backup, việc khôi phục tài khoản cực kỳ khó khăn.
- Rào cản với người cao tuổi: Không phải ai cũng thoải mái với sinh trắc học hay cài ứng dụng authenticator.
- Thiếu đồng nhất: Không phải dịch vụ nào cũng hỗ trợ passkey, khiến người dùng phải nhớ nhiều phương thức khác nhau.
Nhiều ý kiến cho rằng Microsoft đang "mạnh tay nhưng thiếu lộ trình", khi bỏ qua nhóm người dùng chỉ có điện thoại "cục gạch" cơ bản.
Kết luận
Microsoft đang dẫn đầu cuộc chơi bảo mật không mật khẩu với bước đi quyết liệt loại bỏ SMS. Tuy nhiên, thành công phụ thuộc vào khả năng *giáo dục người dùng* và *cung cấp giải pháp dự phòng* dễ dàng. Câu hỏi đặt ra: Bạn đã sẵn sàng chuyển sang passkey, hay vẫn muốn giữ mã OTP qua tin nhắn? Hãy chia sẻ suy nghĩ của bạn!
0 Nhận xét