Thứ Bảy ngày 23 tháng 11 năm 2024

Xác thực 2 lớp tăng gấp đôi độ an toàn

Không ít người vẫn ấm ức rằng mình có đặt mật khẩu (password) và cẩn thận giữ nó, nhưng vẫn bị bọn tội phạm công nghệ lấy mất tài khoản. Thực tế là có nhiều người đặt mật khẩu ngắn gọn, dễ nhớ và như vậy càng giúp cho bọn tin tặc dễ dàng dò được nó. Nguyên tắc cơ bản của mật khẩu là càng dài, càng phức tạp thì càng khó dò ra.

Do ngày càng có thêm nhiều tài khoản phải quản lý, người ta có một khuynh hướng “chết người” là đặt mật khẩu chung (mật khẩu tổng) cho tất cả các tài khoản – chủ yếu để dễ nhớ.

Trong khi đó, các chuyên gia về an ninh mạng, bảo mật thông tin trên thế giới vẫn luôn khuyến cáo người dùng nên chịu khó đặt các mật khẩu mạnh (strong password) và mỗi tài khoản dùng một mật khẩu riêng. Mật khẩu mạnh được định nghĩa là mật khẩu dài (có nhiều ký tự), bao gồm chữ và số, chữ thường và chữ in hoa, những ký tự đặc biệt,… và không dùng những thông tin phổ biến hay dễ đoán ra (như ngày sinh, tên người thân).

Để “ép” người dùng phải đặt mật khẩu mạnh, nhiều ứng dụng, nhà cung cấp dụch vụ,… yêu cầu người dùng phải tuân thủ các quy định mặt khẩu như: số ký tự tối thiểu phải 6 hay 8, bao gồm chữ và số, có ít nhất một chữ in hoa và một ký tự đặc biệt (như *, &, #, @,..) và không bao gồm hay giống như tên đăng nhập.

Mật khẩu có thể bị rơi vào tay kẻ xấu bằng nhiều cách: bị lộ do sơ suất của chủ nhân, bị kẻ xấu lừa cung cấp mật khẩu, mật khẩu quá yếu, thiết bị bị cài phần mềm đọc trộm màn hình hay gõ bàn phím, tin tặc chạy phần mềm dò mật khẩu,… Trang PhoenixNAP dẫn chứng, một chương trình phá mật khẩu (password cracking) có thể mất khoảng 44 giờ để dò ra mật khẩu được tạo ngẫu nhiên “89&^598”, nhưng phải mất tới 7 năm để dò ra mật khẩu “IloveMyCatLordStewart”.

Nguy cơ càng cao hơn khi bọn tội phạm công nghệ ngày càng dùng những thuật toán siêu hơn kết hợp với những cỗ máy tính mạnh mẽ hơn để chạy các phần mềm phá mật khẩu.

Phải nhấn mạnh một sự thật đau lòng rằng: mật khẩu cho dù mạnh đến mấy cũng chỉ có thể làm “khó” bọn tội phạm công nghệ chứ không thể “bất khả chiến bại” với chúng.

Đó là lý do mà các chuyên gia và ngày càng nhiều ứng dụng, dịch vụ điện tử, đặc biệt là những dịch vụ quan trọng như ngân hàng, thanh toán,… khuyến nghị người dùng nên trang bị thêm một lớp khóa bảo vệ tài khoản của mình. Giải pháp khóa 2 lớp phổ biến hiện nay là dùng phương thức xác thực 2 yếu tố (two-factor authentication, 2FA), thay vì chỉ dùng phương pháp xác thực truyền thống dựa trên 1 yếu tố là mật khẩu hay số PIN.     

(Ảnh: Internet. Thanks.)

Theo định nghĩa cơ bản: xác thực 2 yếu tố là phương pháp xác thực yêu cầu hai yếu tố phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực này dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Một khi hai yếu tố này được kết hợp đồng thời, giống như “song kiếm hợp bích”, tin tặc sẽ khó khăn hơn rất nhiều nếu muốn đánh cắp đầy đủ các thông tin này. Bởi nếu chỉ biết được 1 yếu tố là mật khẩu, số PIN, tin tặc cũng chưa thể đăng nhập được vào tài khoản “con mồi”.

Với khóa 2 lớp này, sau khi đăng nhập vào tài khoản bằng tên người dùng và mật khẩu, người dùng còn phải thực hiện thêm bước mở khóa thứ hai là nhập mật khẩu một lần OTP (thường là 6 chữ số) được nhà cung cấp dịch vụ, ngân hàng gửi tới thiết bị đã đăng ký được kết nối qua e-mail, SMS, cuộc gọi thoại, … Mã OTP này cũng được tự động tạo ra trên thiết bị Token USB gắn với thiết bị hay dạng Smart OTP được tích hợp luôn vào ứng dụng. 

Xác thực 2 yếu tố trên Apple ID. (Ảnh: Apple.)

Hiện nay, các tài khoản Google, Apple ID, Faecbook,… đều hỗ trợ xác thực 2 yếu tố. Đó là một tùy chọn mà người dùng cần bật lên – nghĩa là được trao quyền tự quyết định. Riêng với tài khoản Facebook, khi bật tính năng xác thực 2 yếu tố, người dùng sẽ được yêu cầu chọn 1 trong 3 phương thức bảo mật: Nhấn vào khóa bảo mật (giống như dạng Token USB) trên thiết bị tương thích;     Mã đăng nhập từ ứng dụng xác thực của bên thứ ba; Mã nhận qua tin nhắn văn bản (SMS) trên điện thoại di động. Được nhiều người dùng nhất vẫn là nhận mã qua tin nhắn SMS từ tài khoản định danh Facebook.

Xác thực 2 yếu tố trên Facebook. (Ảnh chụp màn hình).

Nhưng, xin lưu ý, việc sử dụng xác thực 2 yếu tố chỉ có giá trị tăng độ bảo mật lên gấp đôi chứ không phải là một giải pháp bảo vệ tuyệt đối. Đó là lý do mà mỗi khi gửi SMS mã OTP, nhiều dịch vụ đều khuyến cáo người dùng không cung cấp mã này cho ai khác và cũng đặt ra thời hạn hiệu lực của mã, có khi là 1-2 phút. Mọi người đều biết, bọn tội phạm công nghệ vẫn dùng nhiều chiêu để lừa gạt “con mồi” tự cung cấp mã OTP cho chúng. Ở đây, chưa nói tới thủ đoạn cài đặt mã độc có thể đọc màn hình thiết bị “con mồi” từ xa giúp tin tặc biết được mã OTP vừa được gửi đến thiết bị.

Anh Nguyễn L. ở Q.6 (TP.HCM) đã bị mất tài khoản Facebook dù đã được bảo vệ bằng xác thực 2 yếu tố. Hôm đó, anh nhận được tin nhắn từ tài khoản “một nhân vật nổi tiếng” mà anh quen biết thăm hỏi. Dần dần, người kia hỏi anh có muốn tạo “tích xanh” chứng thực chính chủ cho tài khoản Facebook của mình không vì người kia có mối quan hệ rộng, có người quen làm ở công ty dịch vụ cho Facebook. Người kia ra chi phí trọn gói 1.000.000 đồng. Do mong muốn từ lâu và giá quá rẻ, anh đồng ý ngay. Anh được yêu cầu chuyển khoản trước. Sau khi gửi tiền xong, anh được người kia yêu cầu cung cấp thông tin đăng nhập tài khoản Facebook để bên dịch vụ thao tác. Do có xác thực 2 yếu tố, người kia yêu cầu anh tạm tắt tính năng này. Chỉ trong vòng vài nốt nhạc sau khi tắt xác thực 2 yếu tố, anh Nguyễn L. đã bị bay mất tài khoản Facebook do người kia đã đổi mật khẩu đăng nhập. Càng tệ hơn, ngay sau đó, anh nhận được điện thoại từ một số bạn bè, người thân trên Facebook hỏi có phải anh gửi tin nhắn nhờ họ cho vay tiền để giải quyết chuyện khẩn cấp không?

Vì thế, để tăng cường độ bảo mật cho xác thực 2 yếu tố, các chuyên gia khuyên người dùng nên sử dụng phương thức xác thực thứ hai bằng sinh trắc học (vân tay, khuôn mặt, mống mắt,…) Dễ nhất và phổ biến nhất là dùng vân tay thay cho mã OTP. Hiện nay, hầu như các smartphone – ngoại trừ loại giá quá rẻ – đều tích hợp cảm biến vân tay hay đăng nhập bằng khuôn mặt. Nhiều laptop cũng tích hợp tính năng này. Riêng máy tính để bàn thì phải tậu thêm thiết bị quét vân tay gắn ngoài. Với việc sử dụng phương pháp xác thực bằng sinh trắc học, bọn tội phạm công nghệ dù có cài đặt phần mềm đọc màn hình cũng bó tay. Chúng cũng không thể dùng chiêu lừa gạt người dùng cung cấp mã xác thực cho chúng.

Tất nhiên, ở đây chúng ta chỉ nói về phương thức xác thực 2 yếu tố vì nó hiện có sẵn và phổ biến. Công nghệ tiến bộ đã mang lại những giải pháp bảo mật còn an toàn hơn. Được kỳ vọng nhiều là công nghệ xác thực không mật khẩu (passwordless authentication). Thay cho các thể loại mật khẩu, công nghệ này sử dụng 2 lớp khóa gọi là “khóa công khai” (public key) và “khóa riêng” (private key) để xác thực người dùng. Nổi bật là công nghệ Passkeys đã được các ông lớn công nghệ Apple, Google và Microsoft đề xuất. Người dùng, đặc biệt là người dùng di động, cần được thông tin và tư vấn để sử dụng công nghệ bảo mật xác thực mới được đánh giá là “an toàn vượt trội” này.

Bản in trên báo Người Lao Động thứ Tư 13-9-2023 và trên báo NLĐ Online.

ANH PHÚC