Gmail, loại bỏ tùy chọn SMS 2FA và mã QR vô nghĩa
Cập nhật:ngày 25 tháng 2 năm 2025
Giống như nhiều người mọt sách, hôm qua và hôm nay, tôi đã đọc rất nhiều tin tức về cách Google dự định loại bỏ SMS dưới dạng tùy chọn Xác thực 2 yếu tố (2FA) cho tài khoản Gmail. Riêng điều này sẽ không phải là một vấn đề lớn. Có lẽ thậm chí là một điều tốt. Nhưng sự thay thế được ca ngợi dưới dạng mã QR là một sự phát triển đáng báo động. Hoàn toàn vô nghĩa, nếu bạn hỏi tôi.
Quả thực, tôi ngay lập tức cảm thấy buộc phải viết một bài báo. Google vẫn chưa công bố việc triển khai giải pháp này. Nó có thể chỉ là một cách ưa thích để giới thiệu mọi người tới các ứng dụng xác thực. Đó, một lần nữa, là một điều tốt. Hoặc, đó có thể là một nỗ lực khiến mọi người trở nên phụ thuộc hơn vào hệ sinh thái Google, dưới danh nghĩa bảo mật. Hoặc một cái gì đó khác hoàn toàn. Chúng ta sẽ xem. Nhưng tôi muốn giải quyết những "lợi ích" được cho là của bất kỳ thứ gì liên quan đến QR. Hãy bắt đầu.
SMS "không an toàn"
Các techbros sẽ cho bạn biết. Họ sẽ cho bạn biết cách gửi SMS ở dạng văn bản thuần túy và ai đó có thể chặn mã. Và đã có các cuộc tấn công Hoán đổi SIM, theo đó số điện thoại của chủ sở hữu hợp pháp đã được chuyển đến một số kẻ xấu mà người dùng không hề hay biết. Họ sẽ sử dụng những trường hợp cá biệt này làm ví dụ về một ngày tận thế đang chờ xử lý.
Có ba lý do khiến điều này trở nên cường điệu:
- Hầu hết nếu không phải tất cả những người là nạn nhân của việc hoán đổi SIM đều là những nhân vật nổi tiếng của công chúng và rất có thể họ có hàng nghìn mối lo lắng khác khi liên quan đến vấn đề giám sát và quyền riêng tư. Những người đó không phải là bạn, tôi hay bất kỳ người nông dân ngẫu nhiên nào khác. Đừng giàu có, vấn đề đã được giải quyết. Hoặc nếu đúng như vậy thì có lẽ bạn nên chọn 2FA/MA không dựa trên SMS. Vấn đề lại được giải quyết, không cần gì mới.
- Trong hầu hết các trường hợp tấn công hoán đổi SIM, trọng tâm đều nhắm vào người trung gian. Để làm việc này, cần phải có một nhân viên sẵn sàng, hay còn gọi là một người trong nội bộ tham nhũng, người sẽ hỗ trợ trong quá trình này. Không công nghệ nào có thể đánh bại lòng tham được củng cố bằng một khoản hối lộ khổng lồ.
- Đây là sự áp đặt một vấn đề lớn của Mỹ, một quốc gia không cấp giấy tờ tùy thân cho cư dân của mình. Hoặc bất kỳ quốc gia nào khác không sử dụng ID quốc gia. Ở hầu hết các nơi, bạn phải có mặt ở đâu đó, xuất trình thẻ của mình, trong đó có nhiều chi tiết độc đáo trên đó, và sau đó, và chỉ khi đó, số của bạn mới được chuyển hoặc giống nhau. Tất nhiên, điều này sẽ không có tác dụng với một nhân viên thích hối lộ. Nó cũng không minh oan cho SMS. Tuy nhiên, nó làm giảm khả năng hoán đổi SIM ngẫu nhiên dựa trên các chi tiết vô nghĩa như mã ZIP hoặc ngày hoặc ngày sinh của bạn dưới dạng số nhận dạng "duy nhất". Ngoài ra, nếu xem xét tất cả các vụ hack nổi bật gần đây, bạn sẽ gặp phải rất nhiều trường hợp ngay cả nhân viên của các công ty viễn thông và công ty bảo mật xử lý dữ liệu siêu nhạy cảm cũng bị lừa và lừa đảo để chuyển thông tin xác thực của họ cho các hệ thống quan trọng, ngay cả khi có sẵn hệ thống 2FA và MFA không dựa trên SMS. Một lần nữa, công nghệ thực sự không thể khắc phục được điều này.
Nếu ai đó có thể chặn được điều này thì bạn sẽ gặp phải một vấn đề lớn hơn RẤT NHIỀU.
SMS là gì, nó đơn giản và đáng tin cậy. Và nó không ràng buộc bạn phải có điện thoại thông minh hoặc dữ liệu di động. Bạn có thể nhận được khá nhiều tin nhắn SMS trên bất kỳ thứ gì có thẻ SIM, thậm chí cả điện thoại từ năm 2005 nếu bạn muốn. Và đó là một thiết bị rất an toàn hiện nay, đặc biệt nếu không được kết nối với Internet. Nhiều hơn gấp nhiều lần so với bất kỳ điện thoại thông minh nào bạn đang sử dụng.
Mã QR có nghĩa là KHÔNG cho phép người nghèo hoặc người già
Để quét mã QR, rất có thể bạn sẽ cần một chiếc điện thoại thông minh. Người dân California sẽ khó tin nhưng vẫn có người nghèo và người già cũng vậy, cả hai đều sẽ không đủ khả năng chi trả và/hoặc sử dụng các ứng dụng điện thoại thông minh phức tạp.
Ví dụ:tôi biết một số ngân hàng đã áp dụng ứng dụng di động có tính năng quét mã QR để ủy quyền cho các hoạt động khác nhau. Và bạn có biết người già xử lý việc đó như thế nào không? Họ có mặt tại chi nhánh và xếp hàng cho đến khi nhân viên có thể giúp họ. Giờ đây, với việc các công ty trở nên tham lam, mọi thứ đều được chuyển ra nước ngoài và/hoặc được giao cho các bot "AI", nếu bạn không sử dụng điện thoại thông minh, cơ hội tương tác với dịch vụ của bạn sẽ bằng không. Thực tế, đây là một sự bất lợi lớn đối với bất kỳ ai trên 65 tuổi hoặc không đủ giàu để sử dụng một thiết bị hoàn toàn mới.
Điều này có ảnh hưởng đến một tỷ lệ lớn người dân? Có lẽ là không. Nhưng nếu điều đó đủ tốt để loại bỏ những phần "không mong muốn" khỏi xã hội dựa trên các quyết định công nghệ tùy tiện thì tốt.
QR là "an toàn"
Các techbros sẽ cho bạn biết. Không, họ không như vậy. Chúng là cách triển khai "bảo mật" ngu ngốc nhất BAO GIỜ. Đó là một chữ tượng hình không thể giải mã được. Một điều kỳ diệu, huyền bí đối với những người mù chữ. Chúng ta đang chuyển dần từ việc sử dụng ngôn ngữ và từ ngữ của con người sang sử dụng chữ tượng hình như cách đây 3.000 năm trước Công nguyên. Nhưng này, những kẻ ngu ngốc dễ kiểm soát hơn và họ kiếm được nhiều lợi nhuận hơn.
Không có gì hay về mã QR ngoại trừ việc chúng yêu cầu máy ảnh. Dưới đây là hai ví dụ gần đây cho thấy công nghệ này tệ đến mức nào. Trên điện thoại Nokia X10 của tôi, một bản cập nhật hệ thống đã phá hủy tính năng quét QR trong một thời gian. Vâng, dù có muốn tôi cũng không thể quét được bất cứ thứ gì. Thật tuyệt vời, đúng vậy. Trên chiếc Samsung A54 của tôi, nếu bạn không cấp quyền EXTRA cho Dịch vụ Google Play thì bạn không thể quét mã QR bằng Google Authenticator, một ứng dụng hoàn toàn riêng biệt. Một ảnh chụp màn hình đáng yêu, mang phong cách đen tối để khởi động:
Bạn scan, sau đó thì sao?
Được rồi, hãy giả sử trong giây lát rằng đây là cách triển khai. Và? Mọi người vẫn có thể bị đưa đến các trang web lừa đảo có giao diện giống Gmail và có mã QR. Và những trang web này sẽ đưa mọi người đến với trang Web vui vẻ, độc ác giống như trước đây. Có lẽ thậm chí còn dễ dàng hơn. Hãy nhớ rằng, trong nhiều vụ hack nổi bật, người dùng đã cung cấp cho kẻ xấu mã gồm 6 chữ số có liên quan trong thời gian thực, bằng cách nhập chúng vào các trường trông giống như mã thật. Một lần nữa, công nghệ không thể giải quyết những thứ như sợ hãi, hoảng loạn, bối rối, v.v. Nếu có thì công nghệ OBSCURE chỉ làm tăng thêm những cảm xúc này, khiến con người càng dễ mắc sai lầm hơn.
Có một khả năng khác. Đây chỉ là một vở kịch có lời lẽ tồi tệ. Có thể điều này chỉ có nghĩa là bạn cần sử dụng một ứng dụng xác thực đơn giản để tạo mã OTP. Chà, các lựa chọn đó tồn tại, vì vậy không có lý do gì để làm bất cứ điều gì hoặc đưa ra bất kỳ thông báo quan trọng nào. Tất nhiên, dự phòng là điều quan trọng, nhưng điều đó chưa bao giờ thực sự khiến các công ty công nghệ bận tâm và những điều vô nghĩa, nhanh chóng, hào nhoáng của họ (được cho là SMS vẫn sẽ tồn tại đối với một số chức năng). Dù sao đi nữa, mã QR là vô nghĩa và vô dụng. Xét cho cùng, mã QR trong ứng dụng xác thực chỉ là hàm băm hạt giống để ứng dụng có thể tạo mã liên quan. Chúng tồn tại bởi vì "gõ trên điện thoại" rất khó. Ồ không! Khóc cho tôi một dòng sông. Như huấn luyện viên bóng rổ huyền thoại Zeljko Obradovic sẽ nói:Mã QR nào? Mã QR này? Đây chỉ là trò đùa thôi, anh bạn [sic].
Và nếu đó là một điều hoàn toàn mới thì sao? Liên kết một điện thoại với một tài khoản? Tất nhiên điều đó có nghĩa là ít sự riêng tư hơn. Ngày nay, bạn thực sự không cần phải làm bất cứ điều gì trên điện thoại nếu muốn sử dụng Gmail. Bạn có thể sử dụng ứng dụng xác thực, không bao giờ đồng bộ hóa bất kỳ mã nào với đám mây, sử dụng tài khoản hoàn toàn riêng biệt trên điện thoại với bất kỳ tài khoản nào bạn sử dụng trên máy tính để bàn, sử dụng nhiều tài khoản, v.v. Tôi không muốn trở nên quá hoài nghi, nhưng đây là cơ hội vàng để buộc mọi người phải xác thực mãi mãi trên điện thoại của họ và giao nộp thêm nhiều mạng sống vô nghĩa của họ cho những kẻ thống trị dữ liệu.
Tôi không biết liệu điều này có xảy ra hay không, nhưng tôi không có lý do gì để lạc quan. Hãy nhìn lại mười lăm năm qua. Tài khoản trực tuyến cho mọi thứ, đám mây đám mây đám mây vô nghĩa ở khắp mọi nơi, Manifest V3, quảng cáo, "quyền riêng tư" quảng cáo và những thứ rác rưởi vô dụng khác. Mọi thứ được thiết kế để thu thập thêm nhiều dữ liệu từ những kẻ ngốc, đồng thời khiến họ kết nối, gắn kết và phụ thuộc nhiều hơn vào các công ty lớn. Tại sao điều này lại khác?
Một hy vọng nhỏ nhoi mà tôi có là Liên minh Châu Âu có thể buộc phải đưa ra một mức độ riêng tư và ẩn danh nhất định trong phương trình. Nhưng điều đó sẽ không giải quyết được nhu cầu của mọi người trên toàn cầu. Và hy vọng rằng sẽ có đủ lực cản và tiếng ồn để bất cứ thứ gì thay thế SMS đều lành mạnh, hữu ích và đơn giản. Tôi chỉ có thể hy vọng.
Kết luận
Tôi không bận tâm việc Google đang cố gắng làm cho thông tin đăng nhập an toàn hơn. Có, 2FA sử dụng mã OTP do ứng dụng ngoại tuyến tạo ra sẽ tốt hơn SMS. Nhưng mã QR như một khái niệm bảo mật còn tệ hơn gấp triệu lần. Tương tự như vậy, thao tác chạm dành cho những kẻ ngốc, mật mã là vô nghĩa ngoại trừ những người đam mê công nghệ cực kỳ tận tâm và các phím phần cứng hoàn toàn có ý nghĩa đối với các chuyên gia và cá nhân nổi tiếng. Đối với người bình thường, SMS là lựa chọn đơn giản và đáng tin cậy, cho đến nay vẫn vậy. Các ứng dụng giống như Authenticator phù hợp với những người hiểu biết hơn một chút và có đủ tiền cũng như kiến thức để sử dụng điện thoại thông minh.
Việc xóa SMS không chỉ là vấn đề công nghệ - mà còn là vấn đề xã hội. Loại bỏ nó một cách hiệu quả sẽ loại bỏ người nghèo và người già khỏi phương trình. Đó là sự tẩy chay về tài chính và công nghệ. Nhưng dù sao những người đó cũng không có lợi nhuận, họ sẽ không "đăng ký" dịch vụ hay xem quảng cáo, vậy thì ai quan tâm chứ, phải không? Chà, chúng ta vẫn cần xem Google sẽ làm gì. Có lẽ nó sẽ là một cái gì đó thực sự hợp lý và thú vị. Hoặc không, chút nào. Chúng ta sẽ xem. Tuy nhiên, dù nó là gì đi nữa, nếu nó dựa vào mã QR thì nó sẽ trở nên khủng khiếp, kinh khủng, ngu ngốc và vô nghĩa. Tạm biệt nhé.
Chúc mừng.