Bài học rút ra chính
- Hệ thống Xác thực Đa Yếu tố (MFA) tích hợp sẵn có thể truy cập nhiều hơn cho những người dùng iOS không biết hoặc không muốn tải xuống các ứng dụng xác thực của bên thứ ba.
- Ít bên kiểm soát bảo mật hơn đồng nghĩa với việc ít cơ hội bị xâm phạm hệ thống hơn và thời gian giải quyết vấn đề dễ dàng hơn.
- Các ứng dụng của bên thứ ba vẫn có thể tạo ra các điểm yếu, cố ý hoặc do không bảo vệ dữ liệu đúng cách.
Apple đã công bố xác thực đa yếu tố tích hợp cho iOS 15, điều này sẽ cải thiện đáng kể việc bảo vệ dữ liệu cá nhân của bạn theo các chuyên gia an ninh mạng.
Người dùng iOS muốn sử dụng xác thực đa yếu tố hiện phải tải xuống các ứng dụng xác thực của bên thứ ba như Google Authenticator, Authy hoặc Microsoft Authenticator. Bằng cách cung cấp một hệ thống tích hợp, Apple đang làm cho quá trình thiết lập dễ tiếp cận hơn, do đó khuyến khích nhiều người sử dụng hơn.
“Để có một hệ thống tập trung hơn là một hệ thống phân tán sẽ thay đổi trò chơi.” Miranda Yan, người sáng lập VinPit, cho biết trong một cuộc phỏng vấn qua email với Lifewire. “Mặc dù Apple nổi tiếng về quyền riêng tư và xử lý an toàn dữ liệu người dùng, iOS 15 mới sẽ đưa điều đó [lên] một cấp độ trên.”
Quá nhiều bếp
MFA, hoặc xác thực hai yếu tố (2FA), yêu cầu bạn cung cấp nhiều hình thức xác minh để truy cập vào tài khoản của bạn, chẳng hạn như phương tiện truyền thông xã hội và email. Việc phải cung cấp thêm thông tin nhận dạng - chẳng hạn như nhập mã số sử dụng một lần được gửi qua tin nhắn văn bản - khiến việc chiếm đoạt tài khoản cá nhân trở nên khó khăn hơn đối với những kẻ xấu tiềm ẩn.
Ứng dụng Authenticator hoạt động theo cách tương tự. Các ứng dụng này tạo ra một mã sáu chữ số ngẫu nhiên được liên kết với các tài khoản khác nhau đã bật MFA. Việc sử dụng chúng chỉ cần mở một ứng dụng để xem mã, sau đó nhập mã đó khi được nhắc trong khi đăng nhập vào tài khoản được kết nối.
Nếu bảo mật của hệ thống dựa vào quá nhiều thực thể riêng biệt để giám sát và kiểm soát nó, thì có thể nảy sinh nhiều cơ hội khai thác hơn. Để mọi thứ cho một công ty duy nhất (trong trường hợp này là Apple) tạo ra một môi trường ổn định hơn nhiều.
Mọi phần tử của hệ thống sau đó có thể có cùng một bộ nguyên tắc và sẽ không cần phải "dịch" thông tin giữa các nền tảng. Nếu có sự cố xảy ra, những người biết và vận hành toàn bộ hệ thống sẽ là những người cố gắng sửa chữa nó, thay vì một bên thứ ba.
Theo Sakinah Tanzil, huấn luyện viên nghề nghiệp an ninh mạng và tác giả của cuốn Phá vỡ mã mạng, MFA tích hợp sẵn iOS 15 mới “… mang lại cho [Apple] khả năng cung cấp các dịch vụ bảo mật cơ bản như duy trì tính toàn vẹn của các quy trình máy tính, kiểm soát quyền truy cập vào tài nguyên và dữ liệu hệ thống, đồng thời cung cấp các dịch vụ tính toán nhất quán và có thể dự đoán được.”
Mỗi khi ứng dụng xử lý dữ liệu người dùng, có khả năng ai đó có thể lấy cắp dữ liệu đó. Dữ liệu đó được chia sẻ càng nhiều và số lượng các bên tham gia càng nhiều thì khả năng bị xâm phạm càng lớn. Nếu dữ liệu bị xâm phạm, một thực thể sẽ dễ dàng phát hiện và giải quyết vấn đề hơn là một số cố gắng phối hợp với nhau.
“Việc giới thiệu tính năng MFA / 2FA trong iOS 15 mới sẽ giúp cải thiện tính bảo mật của thiết bị iPhone bằng cách loại bỏ ứng dụng xác thực của bên thứ ba,” Harriet Chan, người đồng sáng lập CocoFinder cho biết. “… Điều đó có nghĩa là dữ liệu của bạn không có nguy cơ bị xử lý sai trong bất kỳ ứng dụng bên thứ ba nào có thể khiến bạn gặp phải một số rủi ro bảo mật và vi phạm quyền riêng tư dữ liệu.”
Không có gì là hoàn hảo
Tất nhiên, không có hệ thống bảo mật nào là hoàn hảo và mặc dù việc bổ sung MFA tích hợp sẵn là một cải tiến rõ ràng cho iOS 15, nhưng người dùng vẫn cần phải cảnh giác. Với một số lượng không đáng kể các ứng dụng lừa đảo người dùng App Store với số tiền hàng triệu đô la tích lũy, có thể dễ dàng hiểu được lý do tại sao.
“Vì người dùng sẽ có thể sử dụng các tính năng bảo mật MFA mà không cần truy cập các ứng dụng của bên thứ ba, điều này gây ít áp lực hơn cho các nhà phát triển ứng dụng trong việc bảo vệ các ứng dụng bằng các tính năng an ninh mạng”, Phil Crippen, Giám đốc điều hành của John Adams IT, đã nói trong một cuộc phỏng vấn qua email.
“Kể từ năm 2021, việc hacker trích xuất dữ liệu người dùng từ một ứng dụng mà không cần nhiều nỗ lực vẫn khá phổ biến,” ông nói.
Đây là vấn đề tương tự như vấn đề được đặt ra bởi nguyên tắc thừa nhận nghiêm ngặt của App Store, có thể mang lại cho bạn cảm giác an toàn sai. Bằng cách mất cảnh giác, bạn có thể dễ dàng tải xuống các ứng dụng giả mạo nhận là ứng dụng chính thức, có tính chất thao túng với xếp hạng được nâng cao từ các bài đánh giá giả mạo và hơn thế nữa. Điều tương tự cũng áp dụng cho cảm giác quá thoải mái và an toàn với iOS 15. Đúng, nó đã cải thiện các tính năng bảo mật, nhưng không phải là bất khả chiến bại. Các chuyên gia đồng ý rằng bạn vẫn cần biết-và sử dụng-MFA khi có sẵn.
