Sử dụng số điện thoại để định danh user là không an toàn

Như các bạn đã biết, trong database đánh ID bằng auto increment để tăng performance. Nếu xoá những record ở đoạn giữa (hoặc disable tài khoản) theo nguyên tắc thì những ID cũ sẽ không bao giờ được tái sử dụng. Những account facebook đăng kí trước 2010 có ID < 9 chữ số, bây giờ thì dài ngoằn, email [email protected] sau khi bị chủ nhân xoá thì không có nghĩa là những người sau sẽ được sử dụng lại địa chỉ email đó nữa vì nó sẽ rơi vào use case này: chủ cũ bị dính phốt và người đăng ký sau sẽ lãnh đủ nên google vẫn báo trùng.

Nhưng nhà mạng ở Việt Nam thì không như vậy, thuê bao sau khi bị khoá 2 chiều thì số điện thoại đó không biến khỏi thế giới loài người mà bị nhà mạng thu hồi lại bán tiếp, đặc biệt là SIM số đẹp thì không thể hủy nó được. Chính vì vậy khi người dùng mua sim không thể phân biệt được lô sim mới hay lô số tái chế. Nếu xui xẻo sẽ mua nhầm số điện thoại nằm trong database blacklist của tín dụng đen, ngân hàng. Đơn cử là tôi mua một sim mới dự định dùng “cả đời” nhưng sau khi sử dụng được 1 thời gian, đã tạo được thương hiệu cá nhân thì phát hiện ra số điện thoại này đã đăng kí vinID trước đó và một số ví điện tử, dĩ nhiên tôi không thể truy cập vào tài khoản của chủ cũ bằng cách forget password qua OTP, vậy cũng xem như là tôi không thể sử dụng dịch vụ này nữa vì tôi không muốn phiền đến thủ tục giấy tờ hồ sơ pháp lý. Chưa kể dân MMO còn có dịch vụ thuê OTP online với giá từ 500đ => 2000đ để reg clone. Ai mua trúng những con sim này xem như đã được “tạo sẵn” hằng trăm tài khoản dịch vụ mang tên một người nào đó.

Quan trọng là tôi ví dụ một hôm nào đó tôi đột ngột qua đời, nhà mạng vẫn theo logic cũ, sau 2 tháng không có giao dịch SDT của tôi sẽ bị thu hồi và bán lại cho thằng ất ơ nào đó, với bản tính tò mò nó sẽ reset pass tất cả cả dịch vụ mà không yêu cầu mức độ định danh cao: facebook, zalo, telegram, Youtube, drive, … điều đó còn đau hơn cả bị xâm nhập vào tài khoản ngân hàng.

Tôi không có ý chỉ trích bất cứ tổ chức nào cả, không biết nhà mạng ở nước ngoài quản lý số điện thoại như thế nào. Tôi chỉ muốn tìm ra phương pháp thật sự bảo vệ được người dùng, Có thể phương pháp authentication bằng sinh trắc học (kết hợp vân tay, khuôn mặt, móng mắt, giọng nói) hoặc chữ ký số sẽ là tiêu chuẩn trong tương lai.

6 Likes

Không chỉ có số điện thôi đâu, nên tốt hơn là đi từ chỗ https://github.com/kdeldycke/awesome-falsehood rồi đến không chỉ có 2FA như mục 3, 4, 5, 6 ở https://github.com/google/libphonenumber/blob/master/FALSEHOODS.md

5 Likes
83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao?