Đã đến lúc quên đi khái niệm "Mật khẩu"

14/02/2016 07:30 AM | Công nghệ

Một những hình thức bảo mật lâu đời nhất đến nay vẫn được ưa chuộng chỉ vì thói quen của người dùng, nhưng với công nghệ đánh cắp mật khẩu ngày càng tinh vi và công nghệ bảo mật tiến hóa nhanh không kém, liệu mật khẩu có còn hữu ích.

Đầu tháng Một năm nay, người khổng lồ về truyền hình cáp Time Warner đã gặp xui khi hơn 320.000 email và mật khẩu người dùng đã bị kẻ trộm lấy đi. Vụ việc này cũng là minh chứng cho thấy cơ chế xác thực mật khẩu đơn giản đang trở nên ngày càng kém tin cậy.

Tuy nhiên, vụ hacker viếng thăm Time Warner này vẫn còn xa mới trở thành vụ trộm danh tính người dùng tồi tệ nhất. Trên thực tế, những thiệt hại này không đáng kể nếu so với những trường hợp nghiêm trọng khác trong mấy năm qua.

Ví dụ như vụ đánh cắp dữ liệu 5 triệu người dùng của hãng sản xuất đồ chơi Vtech, vụ trộm 21 triệu hồ sơ nhân viên Liên bang từ Văn phòng Quản lý nhân sự của Mỹ và vụ 80 triệu hồ sơ khách hàng tại công ty cung cấp dịch vụ sức khỏe Anthem bị đánh cắp.

Trong các vụ đánh cắp danh tính, dường như vũ khí của các hacker là không giới hạn, bao gồm tấn công bằng brute-force (thử đúng sai từng mật khẩu), tấn công bằng dictionary (bằng cách đoán mật khẩu), giả mạo phishing, lừa đảo qua mạng (social engineering), tấn công man-in-the-middle (đọc trộm tin nhắn), key-logger (phần mềm theo dõi thao tác bàn phím), cài đặt lại mật khẩu qua hòm thư phụ hay mua số lượng lớn mật khẩu ăn cắp từ các cơ sở dữ liệu.

Khi hacker chiếm được quyền truy cập được vào thông tin của chúng ta, họ hầu như có thể phá hủy cuộc sống của chúng ta bằng cách lấy trộm thông tin hay tiền bạc, hay có thể bôi nhọ tên tuổi chúng ta khi tiết lộ các thông tin bí mật, hoặc giả danh mình để nói xấu người khác.

Mặt khác, đối với việc bảo vệ mật khẩu của mình, chúng ta ngoài việc nhận ra hàng loạt những cạm bẫy, mà còn phải biết tự bảo vệ tránh mắc phải các sai lầm như : mật khẩu yếu, chia sẻ mật khẩu, không đổi mật khẩu, giữ nguyên mật khẩu mặc định …

Ngay cả khi bạn làm đúng tất cả những lời khuyên tốt nhất về bảo mật, một vài điều vẫn có thể nằm ngoài tầm kiểm soát của bạn, như các cam kết của nhà cung cấp dịch vụ về mã hóa và bảo mật thông tin của bạn trên máy chủ của họ.

Mật khẩu chưa bao giờ là đề tài cũ, và trong những năm gần đây, lại nổi lên trong những sự kiện đặc biệt. Tuy nhiên, giải pháp để giải quyết vấn đề này thường quá phiền phức và đắt đỏ, hoặc vẫn còn những thiếu sót riêng. Dưới đây là một số xu hướng mới có thể giúp thay đổi thói quen xác thực của chúng ta trong tương lai gần.

PIN và phần mềm token

Trong khi phương pháp xác thực hai lớp cổ điển đã được chứng minh sẽ gây ra những phiền phức về trải nghiệm cho người sử dụng hoặc phải dùng đến các phần cứng phức tạp, giải pháp dùng mã số PIN và phần mềm token kết hợp với sự đơn giản của mật khẩu người dùng với tính an ninh của biện pháp xác thực hai lớp.

Đây là phương pháp được áp dụng bởi công ty công nghệ MIRACL với công nghệ mới của hãng, ứng dụng mật mã M-Pin. Công nghệ này là một giao thức xác thực hai lớp, sử dụng một mã số PIN có độ dài nhiều hơn 4 ký tự do người dùng lựa chọn và một phần mềm token liên quan để tạo ra một mã số độc nhất theo giao thức xác thực Zero-Knowledge proof (Bằng chứng không tiết lộ thông tin), độc lập với máy chủ của hãng.

Khóa token sẽ được lưu trên trình duyệt hoặc thiết bị di động của người dùng, và mã số PIN chỉ người dùng biết. Trên thực tế, M-PIN không lưu mật khẩu nào trên máy chủ của mình “sẽ làm việc tấn công liên tục để lấy cắp mật khẩu sẽ trở thành quá khứ.” Brian Spector, CEO của công ty cho biết.

Công nghệ này bổ sung thêm các biện pháp bảo vệ bằng cách phân phối các khóa master của mình giữa hai D-Tas (bảo mật theo kiến trúc Distributed Trust Authorities), theo đó, một khóa D-TA sẽ nằm trên máy chủ của khách hàng, nơi chứa các ứng dụng của máy chủ, và một khóa D-TA khác sẽ nằm ở trung tâm của MIRACL. Điều này sẽ làm việc lấy trộm danh tính trở nên phức tạp hơn khi kẻ tấn công phải bẻ qua bốn lần khóa với các nguồn khác nhau với mỗi tài khoản mà họ muốn đánh cắp.

Hình vẽ mô tả cơ chế bảo mật 2 D-TA của MIRACL.
Hình vẽ mô tả cơ chế bảo mật 2 D-TA của MIRACL.

MIRACL cung cấp M-Pin trên hai phương tiện, một là thông qua đoạn mã JavaScript và thư viện nhúng trong các website, hoặc phiên bản di động cho phép người dùng điều khiển trình duyệt truy cập đến tài khoản của họ thông qua một ứng dụng di động.

M-Pin đang được ưa chuộng vì đảm bảo được hai yếu tố đơn giản và an toàn. Đặc biệt khi gần đây, hệ thống này được nhà cung cấp dịch vụ bảo đảm an toàn danh tính Experian lựa chọn, để cung cấp khả năng xác thực với độ bảo mật cao cho hàng triệu công dân Anh trong một dự án của chính phủ nhằm mang sự an toàn, bảo mật và đơn giản cho các dịch vụ như làm mới giấy phép lái xe hay tiền tờ khai thuế.

Xác thực hai lớp bằng NFC

Cơ chế xác thực hai lớp thông qua một khóa USB đã xuất hiện trên máy tính một thời gian, nhưng việc áp dụng trên các thiết bị di động vẫn rất chậm. Điều đó đã thay đổi, khi công ty công nghệ Yubico tung ra một thiết bị giúp bạn có thể đăng nhập vào các tài khoản trực tuyến của mình thông qua công nghệ giao tiếp tầm gần NFC.

Xác thực bằng NFC với Yubikey NEO.
Xác thực bằng NFC với Yubikey NEO.

Được đặt tên là Yubikey NEO, thiết bị này ra mắt như hưởng ứng sự trở lại của điện thoại tích hợp NFC và được sử dụng để xác nhận danh tính người sử dụng khi đăng nhập. Chìa NFC này tạo ra một mã đăng nhập cụ thể cho người sử dụng và dịch vụ mỗi lần ấn vào.

Sau khi truy cập tài khoản được xác nhận thông qua Yubikey, tài khoản có thể duy trì việc xác nhận đó trong một thời gian nữa (tùy thuộc vào dịch vụ), trừ khi nhà cung cấp dịch vụ phát hiện ra những hành động bất thường, trong trường hợp đó người dùng sẽ được nhắc nhở để thực hiện lại việc xác nhận bằng Yubikey.

Yubikey NEO cũng hỗ trợ cho hàng loạt các giao thức bảo mật như OTP, U2F, PIV, OpenPGP, tương tự như Yubikey 4. Điều đó có nghĩa là thiết bị này có thể cắm vào cổng USB trên máy tính để sử dụng như một chìa khóa USB vật lý thông thường khi đăng nhập. Yubikey cũng nhận được những đánh giá từ các tên tuổi hàng đầu trong ngành công nghệ như Google, Dropbox hay GitHub.

Yubikey không lưu các thông tin cá nhân cũng như không có liên kết nào đến các tài khoản. Điều đó có nghĩa là bất cứ ai với thông tin của bạn cũng sẽ cần chìa khóa để đăng nhập vào tài khoản của bạn. Trở ngại duy nhất lúc này là bạn sẽ có thêm một thiết bị cần phải để bị mất.

Dịch vụ xác thực bằng vân tay

Với ngày càng nhiều những thiết bị di động hỗ trợ máy quét dấu vân tay và điện toán đám mây đang trở nên rẻ hơn, Qondado, một startup về công nghệ tại Puerto Rico, đang cố gắng làm các nhà phát triển ứng dụng dễ tích hợp tính năng xác thực sinh trắc học vào các ứng dụng trên web của họ hơn, thông qua một nền tảng mới được gọi là KodeKey.

Hệ thống này bao gồm một ứng dụng di động và một dịch vụ nền web, gắn người dùng với số điện thoại của họ thông qua các dấu hiệu sinh trắc học và cho phép khách hàng sử dụng số đó và một mã PIN để xác thực. Nền tảng xác thực này có thể được tích hợp vào bất kỳ trang khách nào thông qua một API hay plug-in (hiện đã có plug-in trên Wordpress).

Giao diện trên di động về plug-in Wordpress của KodeKey.
Giao diện trên di động về plug-in Wordpress của KodeKey.

Người dùng đăng ký số điện thoại của mình cộng thêm mã PIN liên kết trên trang đăng nhập, sau đó họ sẽ nhận được một thông báo trên ứng dụng KodeKey, nhắc họ quét dấu vân tay.

Dịch vụ nền web sẽ chỉ cho phép đăng nhập nếu máy quét vân tay trên di động xác thực người dùng. Ứng dụng này hiện đã có trên cả Android và iOS, nhưng sẽ chỉ hoạt động trên các thiết bị mới, được trang bị máy quét vân tay.

Công ty hy vọng sẽ cung cấp các dịch vụ bảo mật cấp doanh nghiệp này cho các ngân hàng, các công ty thẻ tín dụng, nhà cung cấp dịch vụ cáp, dịch vụ mạng không dây và điện toán đám mây. Ngoài ra công ty cũng dự định phát triển plug-in cho nhiều nền tảng web hơn trong tương lai.

Xác thực bằng di động.

Khi việc sử dụng các thiết bị di động đang ngày càng trở nên phổ biến, người dùng có một công cụ cá nhân và luôn hiện diện bên cạnh để lưu giữ và đại diện cho danh tính số của mình. Đặc biệt điều này đang trở nên khả thi hơn khi các hệ điều hành di động phiên bản mới đang cung cấp các môi trường thực thi đáng tin cậy, và các phần cứng đã bảo mật hơn để lưu trữ dữ liệu nhạy cảm, ví dụ thông tin mã hóa.

Đây là xu hướng được khuyến khích bởi hai người khổng lồ về công nghệ : Google và Yahoo.

Giải pháp xác thực hai lớp không cần nhập mật khẩu của Google.
Giải pháp xác thực hai lớp không cần nhập mật khẩu của Google.

Phương pháp của Google hiện vẫn đang được kiểm tra và thử nghiệm bởi một số người dùng được chọn. Theo đó, chiếc điện thoại trở thành danh tính của bạn. Google cho phép bạn ghép một điện thoại di động với một tài khoản của Google của mình.

Vì vậy mỗi khi người dùng đăng nhập vào địa chỉ email của tài khoản này trên trình duyệt, một thông báo sẽ được gửi tới điện thoại, nhắc người giữ điện thoại đó chấp nhận hay từ chối truy cập đối với tài khoản này.

Thiết bị di động cũng phải có một số tính năng khóa màn hình để đảm bảo việc mở màn hình điện thoại sẽ được thực hiện từ người chủ thực sự. Quy trình này không đòi hỏi phải nhập mật khẩu, cho dù bạn vẫn sẽ có một lựa chọn khác để đăng nhập với mật khẩu thông thường của mình.

Đây là một cải tiến lớn so với giải pháp xác thực hai lớp qua điện thoại trước đây, vốn có thể bị phá vỡ bởi hacker. Đổi lại, người dùng bắt buộc phải có một điện thoại di động, thiết bị vốn rất phổ biến hiện nay. Tất nhiên, trong trường hợp chiếc điện thoại bị mất hoặc bị đánh cắp, hay người sở hữu mua một chiếc điện thoại mới, Google cũng cung cấp một lựa chọn để họ có thể ngưng sử dụng thiết bị cũ và bổ sung thiết bị mới.

Giải pháp đăng nhập không cần mật khẩu của Yahoo.
Giải pháp đăng nhập không cần mật khẩu của Yahoo.

Thông báo của Google đến vài tháng sau khi Yahoo triển khai hệ thống Yahoo Account Key, có khá nhiều ý tưởng tương đồng với nhau.

Một kết nối được tạo ra giữa tài khoản email và di động, cho phép bạn chấp nhận hay từ chối đăng nhập bằng cách trả lời khi ấn vào thông báo, thay vì dựa vào mật khẩu như thông thường.

Công nghệ của Yahoo hiện chỉ tương thích với Yahoo Mail, nhưng có thể được mở rộng để hỗ trợ các dịch vụ khác, nếu chứng minh hiệu quả của mình.

Liệu chúng ta đã sẵn sàng để đưa mật khẩu vào quá khứ?

Mật khẩu tiếp tục là hình thức phổ biến nhất cho việc xác thực một cách đơn giản, bởi chúng đã xuất hiện từ buổi bình minh của máy tính. Nhưng với sự phức tạp ngày càng tăng để duy trì và bảo vệ mật khẩu là một dấu hiệu cho thấy ngày mà hình thức xác thực này còn thống trị đã bắt đầu đếm ngược.

Nhưng liệu xu hướng nào sẽ trở thành dẫn đầu khi để thay thế cho mật khẩu vẫn còn là điều nghi vấn.

Nhưng cho dù xu hướng nào thay thế mật khẩu đi nữa, xu hướng đó phải đơn giản, mạnh mẽ, chi phí vừa phải và linh hoạt đủ để thuyết phục hàng tỷ người dùng thay đổi một trong những thói quen điện toán lâu đời nhất này.

Không những thế, giải pháp đó phải đủ bảo mật và không thể phá vỡ để có thể thuyết phục các hacker thử vận may của họ ở nơi khác.

Theo Nguyễn Hải

Cùng chuyên mục
XEM