Sự cố 50 triệu tài khoản Facebook bị hack chỉ ra một thực tế rất nghiêm trọng về thói quen sử dụng Internet của chún

Khổ nỗi, bạn sẽ chẳng làm gì được vì đó là một công nghệ hết sức tiện dụng.

Gần 50 triệu là con số tài khoản bị rò rỉ thông tin trong sự cố bảo mật của Facebook thời gian vừa qua.

Cụ thể, các hacker đã tận dụng một lỗ hổng an ninh trong tính năng “view as” cho phép người dùng xem lại trang hồ sơ Facebook cá nhân hiển thị như thế nào dưới tài khoản của người khác. Chúng đánh cắp được dòng mã nguồn liên quan đến điều khiển tài khoản từ xa, và từ đó chiếm quyền kiểm soát tài khoản của người dùng.

Sau sự cố, Facebook đã lập tức sửa lỗ hổng, thông báo cho cơ quan hành pháp và reset lại token bảo mật của tất cả những tài khoản bị ảnh hưởng. Tuy nhiên, sự cố này đang khiến cho Facebook phải đối mặt với một án phạt trị giá lên tới 1,6 tỉ USD.

Nhưng không chỉ Facebook, mà toàn bộ các nền tảng ứng dụng sử dụng Facebook để đăng nhập cũng đã bị ảnh hưởng. Spotify, Instagram, hay thậm chí là cả Twitter… tất cả đều đứng trước nguy cơ bị mất tài khoản.

Trên thực tế, chúng ta có thói quen sử dụng 1 tài khoản để truy cập cho vô số nền tảng. Nó được gọi là single sign-on (SSO, hay Đăng nhập 1 lần), và cũng chính là vấn đề hết sức nghiêm trọng trong cách sử dụng Internet số đông hiện nay.

Single sign-on là thế nào?

Khi kết nối tài khoản vào bất kỳ hệ thống nào, bạn sẽ cần đến cái gọi là “xác thực” tài khoản. Thường thì đó là tên đăng nhập và mật khẩu đính kèm.

Nhưng trên một mạng xã hội khổng lồ và phát triển nhanh như hiện nay, việc chúng ta phải sử dụng nhiều hệ thống, nhiều nền tảng là điều không tránh khỏi. Sử dụng càng nhiều, bạn càng phải xác thực nhiều. Và nếu mỗi hệ thống là một cái tên xác thực khác nhau thì sẽ dẫn đến tình trạng bạn phải nhớ khoảng 10 cái pass (có thể rất dài đấy).

Có người làm được, nhưng đa số thì không. Mà ai thì cũng muốn tài khoản của mình được bảo mật hoàn toàn. Vậy nếu như bạn có thể bảo mật hoàn toàn một tài khoản, rồi sử dụng hệ thống đó đi đăng nhập các nền tảng khác thì sao?

Đó chính là ý tưởng ban đầu của hệ thống SSO.

SSO có nhiều lợi điểm, đó là bạn không phải nhớ nhiều mật khẩu làm gì cho đau đầu. Bạn chỉ cần nhớ 1 cái duy nhất, và trong trường hợp này là tài khoản Facebook.

Tuy nhiên, nó chỉ thực sự có lợi nếu như tài khoản sử dụng để xác thực được bảo mật hoàn toàn. Nếu không thì chỉ cần hacker chiếm được nó, bạn sẽ mất một lúc 10 nền tảng khác liên quan. Mà lúc đó thì thực sự mệt đấy.

Phải làm gì khi SSO ngày càng phổ biến?

Không thể phủ nhận được vai trò của SSO, bởi lẽ nó vô cùng tiện dụng. Vậy nên, trừ phi bạn có một trí nhớ đủ tốt để mỗi nền tảng là một tên truy cập khác nhau, còn không thì cách duy nhất là tăng độ bảo mật cho tài khoản gốc.

Thông thường, quy trình xác thực được thực hiện dựa vào 3 yếu tố bảo mật:

Rõ ràng, việc sử dụng nhiều yếu tố bảo mật sẽ tăng độ an toàn cho tài khoản. Với Facebook, hệ thống cho phép bạn sử dụng bảo mật 2 lớp: vừa password, vừa access code gửi tới điện thoại hoặc ứng dụng xác thực của Google (Google Authenticator). Thậm chí, bạn có thể cẩn thận hơn bằng cách cài thông báo đến gmail nếu có thiết bị không tin tưởng truy cập vào tài khoản.

Tương lai của SSO

Điểm chung của người sử dụng là rất “tham”. Ai cũng muốn hệ thống phải được bảo mật, thông tin không bị đánh cắp, nhưng đồng thời cũng muốn chính hệ thống ấy phải dễ dàng truy cập, trong khi 2 yếu tố đó không thể đi cùng nhau.

SSO ra đời như một sự dung hòa giữa cả 2 yếu tố. Tuy nhiên, các sự cố như của Facebook cũng hé lộ một phần lỗi của người dùng, khiến cho SSO bị hạn chế.

Mọi người không thích dùng mật khẩu, cũng không thích nhớ mật khẩu, nên họ chọn một mật khẩu đơn giản và dễ nhớ. Và càng đơn giản thì càng dễ bẻ. Dĩ nhiên giờ thì ít người chọn dãy “123456789” làm mật khẩu, nhưng các từ như “Gandalf” (nhân vật trong Chúa Nhẫn) chẳng hạn hóa ra cũng là mật khẩu chung của hàng triệu tài khoản

Theo các chuyên gia bảo mật dự đoán, quá trình định danh và xác thực tài khoản sẽ hướng đến các yếu tố đặc biệt hơn. Vân tay, giọng nói, mống mắt… chính là chìa khóa bảo mật trong tương lai, điều mà các hãng smartphone đang cố gắng thực hiện.

Nguồn: Science Alert