Tại sao lại kiểm tra OTP sau khi đăng nhập?

gaixixon

gaixixon

Senior Member
Các bác cho hỏi: Em thấy OTP/2FA khá là bảo mật. Kẻ gian cho dù dùng keylog lấy được mật khẩu của người dùng thì vẫn bị hàng rào OTP/2FA ngăn đăng nhập. Nhưng đổi lại, người dùng đã bị lộ mật khẩu, mà rất nhiều người có thói quen dùng chung mật khẩu ở nhiều web khác nhau.
Câu hỏi là: Lý do tại sao lại không bắt người dùng xác thực OTP/2FA trước, rồi đăng nhập sau? Vì như vậy, ít ra cũng ngăn được việc lộ mật khẩu. Nó cũng tương tự như việc ssh vào server, mặc dù có private key, nhưng vẫn phải có thêm pass cho key đó.

Ý của em là 2FA (không phải OT)
 
Last edited:
Thấy trong comment chủ yếu lí do không để 2FA lên trước là để user khỏi bị spam noti hoặc sms, với lại hacker sẽ biết dược user nào không có 2FA thì sẽ tấn công mục tiêu đơn giản hơn. Thắc mắc hay :byebye:
 
gaixixon said:
Vầng.. ý em là 2FA. Tại sao không đảo lên, authenticate 2FA trước, đúng mới authenticate bằng pass? Đỡ lo lộ pass hơn.
Đọc các post ở đây nhưng có vẻ chưa thuyết phục lắm: https://security.stackexchange.com/questions/155965/2fa-why-not-to-ask-the-code-before-password
Click to expand...
Trong phần giải thích được yêu thích nhất có nói là:
1. Đối với các mã OTP như trên Google Authenticator thì nhập mã OTP trước password thì không có lý do gì làm giảm mức độ bảo mật.
2. Đối với các mã gửi dạng pop-up như Blizzard Authenticator thì mấy đứa hack nó sẽ khiến thiết bị nhận mã pop-up này nhảy liên tục - làm cho bạn không thể sử dụng thiết bị hay phải tắt 2FA đi và rồi dễ toang hơn.
3. Đối với mã gửi qua tin nhắn SMS thì ngoài cũng gặp vấn đề như cái thứ hai. Ngoài ra, nếu dịch vụ nào mà tính phí SMS thì bạn sẽ bị trừ tiền sặc máu.

Edit: Đối với loại thứ 2 và 3, ưu điểm khi dùng chúng sau password là nếu có ai đó đang cố hack tài khoản của mình thì mình sẽ nhận được thông báo phải nhập mã 2FA. Nếu một ngày đẹp trời tự nhiên nhận được thông báo thì biết là phải đổi mật khẩu mạnh rồi đó! :D

Thêm ý của @Cay But Xoa nữa nha
 
Last edited:
Cay But Xoa said:
Thấy trong comment chủ yếu lí do không để 2FA lên trước là để user khỏi bị spam noti hoặc sms, với lại hacker sẽ biết dược user nào không có 2FA thì sẽ tấn công mục tiêu đơn giản hơn. Thắc mắc hay :byebye:
Click to expand...
Cái này không hợp lý.
Sợ spam SMS thì cứ 2 nhát request từ 1 IP mà user (ngốc đến nôi không nhập đúng OTP thì block 10 phút!
Còn 2FA notification thì chỉ việc disable notice đi thôi là xong!
 
gaixixon said:
Các bác cho hỏi: Em thấy OTP/2FA khá là bảo mật. Kẻ gian cho dù dùng keylog lấy được mật khẩu của người dùng thì vẫn bị hàng rào OTP/2FA ngăn đăng nhập. Nhưng đổi lại, người dùng đã bị lộ mật khẩu, mà rất nhiều người có thói quen dùng chung mật khẩu ở nhiều web khác nhau.
Câu hỏi là: Lý do tại sao lại không bắt người dùng xác thực OTP/2FA trước, rồi đăng nhập sau? Vì như vậy, ít ra cũng ngăn được việc lộ mật khẩu. Nó cũng tương tự như việc ssh vào server, mặc dù có private key, nhưng vẫn phải có thêm pass cho key đó.

Ý của em là 2FA (không phải OT)
Click to expand...
Chưa tính vấn đề chi phí có thể phát sinh thì thằng nào nó spam cho thì khỏi xài à, khéo bị khóa mẹ nó tài khoản luôn ấy chứ
 
gaixixon said:
Cái này không hợp lý.
Sợ spam SMS thì cứ 2 nhát request từ 1 IP mà user (ngốc đến nôi không nhập đúng OTP thì block 10 phút!
Còn 2FA notification thì chỉ việc disable notice đi thôi là xong!
Click to expand...

Cái bài có nói về denial of service đó. Hacker nó spam login mà app có rate limiting thì user khỏi xài.
 
real2006 said:
Cái bài có nói về denial of service đó. Hacker nó spam login mà app có rate limiting thì user khỏi xài.
Click to expand...
DoS cái 2FA với cái login bằng password thì về mặt kỹ thuật là giống nhau mà nhỉ? Cùng là request với 1 cái url.
Hacker nó spam login mà app có rate limiting thì user khỏi xài.
Click to expand...
Thì block theo IP là được phải không ạ? Để phòng xa, làm giống thằng apple: Sai OTP lần 1 block 1p; sai lần 2 block 10p; sai lần 3 xx phút.
Thêm tính năng unlock request qua email để đề phòng trường hợp thằng hacker nó request từ chính PC người dùng.. (Mà hacker nó đã vào được pc người dùng rồi thì thôi.. bỏ đi..)
 
Có mấy chỗ còn ko cần password đăng nhập như shopee và lazada. Chỉ cần OPT là vào đc.
Việc bạn nói là ngăn đc lộ mật khẩu, làm sao ngăn đc nhỉ. Nếu đã lộ thì nhập trước hay sau gì cũng lộ cả thôi.
 
gaixixon said:
DoS cái 2FA với cái login bằng password thì về mặt kỹ thuật là giống nhau mà nhỉ? Cùng là request với 1 cái url.

Thì block theo IP là được phải không ạ? Để phòng xa, làm giống thằng apple: Sai OTP lần 1 block 1p; sai lần 2 block 10p; sai lần 3 xx phút.
Thêm tính năng unlock request qua email để đề phòng trường hợp thằng hacker nó request từ chính PC người dùng.. (Mà hacker nó đã vào được pc người dùng rồi thì thôi.. bỏ đi..)
Click to expand...
DDOS 2fa dễ hơn vì hacker nó chỉ cần dò username để DDOS, còn password bị mất thì user bị lock sẽ đc notify cần thay password.
 
Theo em hiểu thớt đang đề cập đến trường hợp user dùng chung mật khẩu và bị keylogger lấy được mật khẩu của web 1 thì tài khoản của web 2 không có 2FA sẽ bị nguy hiểm đúng không?
Nếu vậy em xin trả lời thớt bằng câu hỏi ngược lại. Vì sao đẩy OTP lên trước sẽ bảo vệ được mật khẩu web 1 hoặc bảo vệ được tài khoản của web 2?
 
BacThangBan said:
Theo em hiểu thớt đang đề cập đến trường hợp user dùng chung mật khẩu và bị keylogger lấy được mật khẩu của web 1 thì tài khoản của web 2 không có 2FA sẽ bị nguy hiểm đúng không?
Nếu vậy em xin trả lời thớt bằng câu hỏi ngược lại. Vì sao đẩy OTP lên trước sẽ bảo vệ được mật khẩu web 1 hoặc bảo vệ được tài khoản của web 2?
Click to expand...
Vì như em đã trình bày bên trên: Thằng hacker brute force 2FA code, nếu lần thứ 2 sai code => block IP, lần 3 thì block dài hơn nữa..
Cái em muốn nói là "cảm giác không thoải mái khi người khác biết pass của mình".
Giả sử pass voz của bác và pass gmail của bác là "chú thằng bần"; và bác biết pass của bác bị lộ ở voz thì chắc không yên tâm với pass gmail nhể?
 
Trước tiên, em nghĩ là, cách của thím sẽ work, chứ ko phải ko. Em đang tìm hiểu vì sao thím nghĩ nó sẽ bảo mật hơn cách kia.

gaixixon said:
Vì như em đã trình bày bên trên: Thằng hacker brute force 2FA code, nếu lần thứ 2 sai code => block IP, lần 3 thì block dài hơn nữa..
Click to expand...
Mình có thể áp dụng cái này cho cách password-first mà. Thằng hacker brute force mật khẩu, lần n sai thì block IP.
gaixixon said:
Cái em muốn nói là "cảm giác không thoải mái khi người khác biết pass của mình".
Click to expand...
Nếu áp dụng cách em vừa nói, thì nó đâu brute force được pass của mình?

gaixixon said:
bác biết pass của bác bị lộ ở voz thì chắc không yên tâm với pass gmail nhể?
Click to expand...
Đúng rồi
gaixixon said:
pass voz của bác và pass gmail của bác là "chú thằng bần"
Click to expand...
Sao bác biết hay vậy? Em đi đổi pass đây.
 
BacThangBan said:
Trước tiên, em nghĩ là, cách của thím sẽ work, chứ ko phải ko. Em đang tìm hiểu vì sao thím nghĩ nó sẽ bảo mật hơn cách kia.
Click to expand...
Vì cách kia nó có brute force được thì nó chỉ biết cái OTP! Mà cái OTP thì 1 phút nó đổi một lần!!
p/s: em vừa dùng thử pass "chú thằng bần" vào được gmail của bác thật, nhưng lại không có OTP!
 
You must log in or register to reply here.

Similar threads

peachx
thảo luận Thớt về bảo vệ tài khoản (2FA, SMS otp, iCloud, email, fb...).
2
Replies
32
Views
1K
amd75
amd75
B.G.F
  • Locked
  • Sticky
chú ý Thông tin bên lề về cơ chế hoạt động của 2FA tại vOz và những nhầm lẫn khi thao tác
Replies
0
Views
175
B.G.F
B.G.F
luv4everV2
Tài khoản ngân hàng giờ dễ bị hak như thế này à các bác ?
7 8 9
Replies
174
Views
11K
blueice
blueice
M
thảo luận Phần mềm cấp mật khẩu đăng nhập từng lần cho máy tính
Replies
6
Views
265
manoao
manoao
4 More Years
Cách tạo ra mật khẩu khiến siêu máy tính mạnh nhất cũng 'chào thua'
Replies
0
Views
256
4 More Years
4 More Years

Share this page

Back
Top