Bài học rút ra chính
- Tội phạm mạng đã gia tăng trong gần nửa thập kỷ, với các cuộc tấn công lừa đảo đặc biệt nghiêm trọng trong năm qua.
- Kể từ năm 2016, Twitter đã trải qua một số cuộc tấn công mạng cấp cao và hiện đang cung cấp cho người dùng tùy chọn khóa bảo mật vật lý.
- Công ty tuyên bố phương pháp này là một trong những cách mạnh nhất để bảo mật tài khoản.
Sau gần nửa thập kỷ tội phạm mạng gia tăng và một năm bị tàn phá bởi các vụ vi phạm thông thường, Twitter đang cung cấp một tính năng bảo mật mới có thể giúp giảm thiểu nguy cơ bị tấn công có chủ đích vào tài khoản người dùng.
Theo một bài đăng trên blog được xuất bản vào ngày 30 tháng 6, gã khổng lồ truyền thông xã hội hiện đang cung cấp cho người dùng tùy chọn tạo khóa bảo mật vật lý theo phương pháp xác thực hai yếu tố (2FA) duy nhất của họ - một động thái có thể giúp tạo nhiều tài khoản hơn an toàn trong khi loại bỏ yêu cầu trước đó đối với các phương pháp sao lưu yếu hơn.
Tuy nhiên, các chuyên gia cảnh báo rằng mọi phương pháp 2FA đều đi kèm với sự đánh đổi.
"Vấn đề là không có [phương pháp xác thực] nào thực sự tuyệt đối như mọi người nghĩ", Joseph Steinberg, một chuyên gia an ninh mạng 25 năm và là tác giả của một số cuốn sách bao gồm Cybersecurity for Dummies, nói với Lifewire bởi điện thoại.
Khóa bảo mật vật lý, Giải thích
Theo Steinberg, có một số loại xác thực đa yếu tố - mỗi loại đều có những lợi ích và thiếu sót riêng.
Khóa bảo mật vật lý, giống như khóa do Twitter cung cấp, là những thiết bị nhỏ mà người dùng phải cắm vào hoặc đồng bộ hóa với thiết bị cá nhân của họ để đăng nhập vào tài khoản của họ, giống như chìa khóa ô tô. Điều này mang lại lợi ích ngăn chặn tin tặc truy cập từ xa vào tài khoản thông qua các cuộc tấn công lừa đảo hoặc phần mềm độc hại.
… Không có khả năng ai đó sẽ chuyển đổi ngay bây giờ khi có những cơ chế dễ dàng hơn được coi là đủ tốt.
Theo bài đăng trên blog của Twitter, các khóa "có thể phân biệt các trang web hợp pháp với các trang web độc hại và chặn các nỗ lực lừa đảo mà SMS hoặc mã xác minh không làm được."
Về mặt lý thuyết, các khóa cung cấp giải pháp bảo mật mạnh nhất cho người dùng - nhưng chúng cũng là một trong những giải pháp kém tiện lợi nhất cho người dùng hàng ngày.
"Bất lợi lớn là bây giờ bạn phải mang theo chìa khóa ngoài điện thoại", Steinberg giải thích. "Vì vậy, nếu bạn muốn tweet từ bãi biển, bạn đang mang theo điện thoại và khóa bảo mật."
Steinberg cũng cảnh báo rằng các khóa bảo mật vật lý có nguy cơ bị mất, có thể dẫn đến việc người dùng bị khóa tài khoản của chính họ.
Cân bằng Đánh đổi
Các phương thức xác thực kém an toàn hơn, như nhắn tin mã đăng nhập vào điện thoại di động của bạn, thường thuận tiện hơn cho người dùng so với khóa bảo mật vật lý - nhưng chúng có thể mang lại rủi ro cao hơn.
Steinberg cho biết tin tặc có thể đánh chặn mã SMS thông qua các phương pháp như hoán đổi SIM, trong đó kẻ trộm lấy cắp số điện thoại của người dùng và nhận mã trên thiết bị của chính họ.
"Nếu bạn đang dựa vào tin nhắn văn bản và ai đó bằng cách nào đó đánh cắp số điện thoại của bạn và bắt đầu nhận được tin nhắn văn bản của bạn, thì bạn đã gặp sự cố vì họ sẽ lấy mã của bạn và họ sẽ có thể đặt lại mật khẩu của bạn, "Steinberg nói.
Ứng dụng Authenticator tạo mã đăng nhập một lần là một phương pháp phổ biến khác của 2FA, nhưng chúng vẫn có nguy cơ bị tin tặc truy cập.
"Nếu người dùng đang đăng nhập vào một trang web lừa đảo và họ nhập mã đó, thì kẻ lừa đảo sẽ có mã đó và có thể truyền nó đến trang web thực ngay lập tức", Steinberg giải thích và nói thêm rằng cũng có nguy cơ bị mất điện thoại và do đó mất quyền truy cập vào ứng dụng.
Ngay cả những phương pháp phức tạp hơn, như xác thực bằng vân tay sinh trắc học, có thể mang lại rủi ro.
"Dấu vân tay của bạn có trên điện thoại mà không cần chạm vào", Steinberg nói, giải thích rằng những tên trộm tinh vi có thể nâng dấu vân tay của bạn và sử dụng chúng để đăng nhập vào một thiết bị. "Cảm biến vân tay không có cách xác định xem đó có phải là một con người thực sự đang đặt ngón tay của họ ở đó hay không, thay vì ai đó đưa hình ảnh của dấu vân tay được nhấc ra khỏi điện thoại."
Cân những lợi ích
Do sự bất tiện khi mang theo một khóa bảo mật vật lý bổ sung, Steinberg cho biết anh không thấy hầu hết người dùng hàng ngày thực hiện chuyển đổi do Twitter cung cấp.
Vấn đề là không có [phương pháp xác thực] nào thực sự tuyệt đối như mọi người nghĩ.
"Kinh nghiệm của tôi là ngay cả những thứ rắc rối nhỏ khi nói đến bảo mật - trừ khi ai đó đã vi phạm và chịu hậu quả nghiêm trọng - không có khả năng ai đó sẽ chuyển đổi ngay bây giờ khi có các cơ chế dễ dàng hơn được coi là đủ tốt, "Steinberg nói.
Tuy nhiên, Steinberg cho biết các nhóm người dùng cụ thể, như doanh nghiệp và các cá nhân nổi tiếng, có thể được hưởng lợi từ khóa bảo mật vật lý.
Mặc dù không có giải pháp hoàn hảo nào để bảo mật tài khoản mạng xã hội của người dùng, nhưng Steinberg nhấn mạnh rằng bất kỳ hình thức xác thực đa yếu tố nào cũng tốt hơn là không có, do thực tế là tài khoản xã hội thường được sử dụng để đăng nhập vào các tài khoản được kết nối khác nền tảng.
"Nếu hôm nay bạn không sử dụng xác thực hai yếu tố cho các tài khoản mạng xã hội của mình, hãy bật tính năng này lên", Steinberg nói.
