“Vũ khí” của các hacker hiện nay đã ở mức “không giới hạn” |
Đối với những người dùng các ứng dụng công nghệ thông thường, lâu nay mật khẩu (password) vẫn được tin tưởng như một “lá bùa hộ mệnh”, giúp họ bảo mật được những dữ liệu lưu trữ trong máy tính hay thư điện tử. Tuy nhiên, với trình độ của tin tặc hiện giờ thì giải mã những mật khẩu thông thường đã trở thành việc quá đỗi giản đơn, dễ dàng. Vậy, người dùng phải làm gì để đảm bảo an toàn cho dữ liệu của mình?
Tìm mật khẩu “dễ như trở bàn tay”
Nhiều người có thói quen cài mật khẩu cho máy tính hay thiết bị di động của mình, chỉ với những dãy số hay ký tự khá đơn giản. Ngay cả nhiều chủ thuê bao wifi cũng cài mật khẩu để hạn chế tình trạng người khác “xài chùa”. Thật ra, việc này không có nhiều tác dụng, bởi không cần là những hacker chuyên nghiệp, mà chỉ các “tay ngang” với một số phần mềm đang được bán giá “rẻ như bèo” trên thị trường, cũng có thể dễ dàng tìm ra mật khẩu chỉ trong vòng… 1 nốt nhạc!
Không chỉ những người dùng cá nhân, mà thời gian qua đã có không ít vụ các kho dữ liệu của những “người khổng lồ” trong giới công nghệ đã bị đánh cắp hàng loạt mật khẩu, mới nhất là vụ hãng truyền hình cáp Time Warner của Mỹ hồi tháng 1 vừa qua bị đánh cắp hơn 320.000 mật khẩu email của người dùng. Trước đó đã xảy ra vụ đánh cắp dữ liệu 5 triệu người dùng của hãng sản xuất đồ chơi Vtech, vụ trộm 21 triệu hồ sơ nhân viên Liên bang từ Văn phòng Quản lý nhân sự của Mỹ và vụ đánh cắp 80 triệu hồ sơ khách hàng tại công ty cung cấp dịch vụ sức khỏe Anthem.
Có thể thấy, dường như “vũ khí” của các hacker hiện nay đã ở mức “không giới hạn”, từ những thủ thuật “thô sơ” như sử dụng brute-force (thử đúng sai từng mật khẩu), dictionary (đoán mật khẩu), giả mạo phishing, lừa đảo qua mạng (social engineering), tấn công man-in-the-middle (đọc trộm tin nhắn), key-logger (phần mềm theo dõi thao tác bàn phím), cài đặt lại mật khẩu qua hòm thư phụ hay mua số lượng lớn mật khẩu ăn cắp từ các cơ sở dữ liệu.
Tác hại của việc mật khẩu bị đánh cắp hoặc chiếm đoạt là rất lớn, có thể phá hủy cuộc sống nạn nhân theo nhiều cách, từ chiếm đoạt tiền bạc hoặc các thông tin bí mật cho đến bôi nhọ danh dự, nhân phẩm…
Mặc dù các nhà cung cấp dịch vụ đã nỗ lực hỗ trợ người dùng trong việc bảo vệ dữ liệu thông qua các giải pháp nhằm tăng cường “độ mạnh” của mật khẩu, thậm chí còn cam kết mã hóa và bảo mật thông tin của bạn trên máy chủ của họ, song hiệu quả trên thực tế vẫn chưa đáng kể. Phần vì những giải pháp nói trên đòi hỏi chi phí quá đắt đỏ, hoặc quá phiền phức, rắc rối khi cần đến các phần cứng phức tạp, không phù hợp với những người dùng có trình độ ở tầm “phổ thông”.
Thứ gì sẽ thay thế mật khẩu?
Giải pháp dùng mã số PIN và phần mềm token là một giao thức xác thực 2 lớp, sử dụng 1 mã số PIN có độ dài nhiều hơn 4 ký tự do người dùng lựa chọn và 1 phần mềm token liên quan để tạo ra 1 mã số độc nhất theo giao thức xác thực Zero-Knowledge proof (Bằng chứng không tiết lộ thông tin), độc lập với máy chủ của hãng. Khóa token sẽ được lưu trên trình duyệt hoặc thiết bị di động của người dùng và mã số PIN chỉ người dùng biết. Trên thực tế, M-PIN không lưu mật khẩu nào trên máy chủ của mình, nên có khả năng vô hiệu hóa việc tấn công để lấy cắp mật khẩu của hacker.
Công nghệ này bổ sung thêm các biện pháp bảo vệ chặt chẽ với 1 khóa D-TA nằm trên máy chủ của khách hàng, nơi chứa các ứng dụng của máy chủ, và 1 khóa D-TA khác nằm ở trung tâm của MIRACL - nhà cung cấp dịch vụ. Có nghĩa, kẻ tấn công muốn “bẻ khóa” thì phải bẻ qua 4 lần khóa với các nguồn trên mỗi tài khoản khác nhau. M-PIN đang được ưa chuộng vì đảm bảo được 2 yếu tố đơn giản và an toàn.
Một giải pháp khác là xác thực 2 lớp bằng NFC - sản phẩm của công ty công nghệ Yubico - với 1 thiết bị giúp người dùng có thể đăng nhập vào các tài khoản trực tuyến của mình thông qua công nghệ giao tiếp tầm gần NFC. Thiết bị này được sử dụng để xác nhận danh tính người sử dụng khi đăng nhập. Chìa NFC này tạo ra 1 mã đăng nhập cụ thể cho người dùng mỗi lẫn sử dụng. Sau khi truy cập tài khoản được xác nhận thông qua Yubikey, tài khoản có thể duy trì việc xác nhận đó trong một thời gian nữa (tùy thuộc vào dịch vụ), trừ khi nhà cung cấp dịch vụ phát hiện ra những hành động bất thường. Khi đó, nhà cung cấp dịch vụ sẽ khuyến cáo người dùng thực hiện lại việc xác nhận bằng Yubikey.
Thiết bị này có thể cắm vào cổng USB trên máy tính để sử dụng như 1 chìa khóa USB vật lý thông thường khi đăng nhập, nó không lưu các thông tin cá nhân cũng như không có liên kết nào đến các tài khoản.
Cuối cùng là dịch vụ xác thực bằng vân tay - 1 giải pháp phổ biến trên các thiết bị di động, nhưng được “làm mới” bởi Qondado, 1 startup về công nghệ tại Puerto Rico, thông qua 1 nền tảng mới được gọi là KodeKey. Hệ thống này bao gồm 1 ứng dụng di động và 1 dịch vụ nền web, gắn người dùng với số điện thoại của họ thông qua các dấu hiệu sinh trắc học và cho phép khách hàng sử dụng số đó cùng 1 mã PIN để xác thực. Người dùng cần đăng ký số điện thoại của mình cộng thêm mã PIN liên kết trên trang đăng nhập, sau đó họ sẽ nhận được 1 thông báo trên ứng dụng KodeKey. Dịch vụ nền web sẽ chỉ cho phép đăng nhập nếu máy quét vân tay trên di động xác thực người dùng. Ứng dụng này hiện đã có trên cả Android và iOS, nhưng chỉ hoạt động trên các thiết bị mới được trang bị máy quét vân tay.
Dẫu sao, mật khẩu vẫn tiếp tục là hình thức phổ biến nhất cho việc xác thực một cách đơn giản, nhưng sự phức tạp ngày càng tăng lên song hành với sự phát triển nhanh chóng của các cách thức đánh cắp mật khẩu của hacker. Có thể trong tương lai sẽ có những giải pháp thay thế, song đòi hỏi phải đáp ứng được các yếu tố: Đơn giản, mạnh mẽ, chi phí vừa phải và linh hoạt.