Trong nhiều năm, bảo mật hai lớp trở nên vô cùng quan trọng đối với an ninh mạng cá nhân. Đáng ngạc nhiên là, rất nhiều công ty công nghệ chưa nhận thức được tầm quan trọng của việc bảo mật tính cá nhân trên Internet, hay nói cách khác, vấn nạn tin tặc và những sự cố rò rỉ thông tin bảo mật cá nhân chưa nhận được sự quan tâm đúng tầm của nó.
Năm 2012, một chiến dịch được tổ chức nhằm yêu cầu các công ty công nghệ phát triển tính năng bảo mật hai lớp bắt nguồn từ sự việc một phóng viên bị các tin tặc đột nhập vào tài khoản Twitter, Amazon và iCloud của mình. Trong những năm qua, twofactorauth.org được xem như là trung tâm của việc phát triển bảo mật hai lớp, một trang web được điều hành bởi Carl Rosengren. Đây là một trang thống kê các website nào đã cung cấp bảo mật 2 lớp và website nào chưa. Chiến dịch phát triển tính năng bảo mật hai lớp xem chừng đã hoạt động hiệu quả, mặc dù vẫn còn một số người phản đối hoặc từ chối cung cấp dịch vụ. Vẫn còn tồn tại một vài vấn đề ở lĩnh vực ngân hàng và hàng không nhưng nhìn chung, hầu hết các nhà cung cấp dịch vụ đều nhận được thông điệp: Khách hàng muốn có bảo mật hai lớp; rõ ràng hơn, họ sẽ tìm đến người khác nếu bạn không cung cấp nó.
Tuy nhiên, chỉ 5 năm sau đó, chiến dịch này bắt đầu hạ nhiệt. Hầu hết các trang web hiện tại đều cung cấp các hình thức bảo mật hai lớp nhưng những tin tặc chuyên nghiệp vẫn có thể luồn lách qua những hệ thống xử lý yếu kém, chúng cũng có thể khai thác các hệ thống phục hồi tài khoản. Chúng ta xem bảo mật hai lớp như là thuốc kháng sinh nhưng thực tế thì phức tạp hơn nhiều.
Đã đến lúc chúng ta thẳng thắn nói về những hạn chế của bảo mật hai lớp. Đến thời điểm 2017 này, chỉ có bảo mật hai lớp là chưa đủ.
Năm 2014, nhiều tên tội phạm mạng nhắm mục tiêu vào những dịch vụ liên quan đến Bitcoin. Chúng tìm nhiều cách để tấn công hệ thống an ninh như chặn mã token hoặc lợi dụng các bước khôi phục tài khoản. Trong một vài trường hợp, tin tặc trực tiếp theo dõi các nhà cung cấp dịch vụ điện thoại, thiết lập việc sắp xếp chuyển tiếp cuộc gọi trong phút cuối để chặn mã trong việc chuyển tiếp. Các tên tội phạm sẵn sàng đi xa hơn cả những tin tặc bình thường vì giá trị của các “mỏ vàng” Bitcoin. Tội phạm mạng là một vấn đề thực tế đối với người dùng Bitcoin: chỉ mới tháng trước, một người đầu tư Bitcoin tên Cody Brown đã mất 8000$ vì bị tin tặc lợi dụng dịch vụ hỗ trợ khách hàng của nhà mạng Verizon để chiếm quyền giao dịch tài khoản.
Năm 2012, một chiến dịch được tổ chức nhằm yêu cầu các công ty công nghệ phát triển tính năng bảo mật hai lớp bắt nguồn từ sự việc một phóng viên bị các tin tặc đột nhập vào tài khoản Twitter, Amazon và iCloud của mình. Trong những năm qua, twofactorauth.org được xem như là trung tâm của việc phát triển bảo mật hai lớp, một trang web được điều hành bởi Carl Rosengren. Đây là một trang thống kê các website nào đã cung cấp bảo mật 2 lớp và website nào chưa. Chiến dịch phát triển tính năng bảo mật hai lớp xem chừng đã hoạt động hiệu quả, mặc dù vẫn còn một số người phản đối hoặc từ chối cung cấp dịch vụ. Vẫn còn tồn tại một vài vấn đề ở lĩnh vực ngân hàng và hàng không nhưng nhìn chung, hầu hết các nhà cung cấp dịch vụ đều nhận được thông điệp: Khách hàng muốn có bảo mật hai lớp; rõ ràng hơn, họ sẽ tìm đến người khác nếu bạn không cung cấp nó.
Tuy nhiên, chỉ 5 năm sau đó, chiến dịch này bắt đầu hạ nhiệt. Hầu hết các trang web hiện tại đều cung cấp các hình thức bảo mật hai lớp nhưng những tin tặc chuyên nghiệp vẫn có thể luồn lách qua những hệ thống xử lý yếu kém, chúng cũng có thể khai thác các hệ thống phục hồi tài khoản. Chúng ta xem bảo mật hai lớp như là thuốc kháng sinh nhưng thực tế thì phức tạp hơn nhiều.
Đã đến lúc chúng ta thẳng thắn nói về những hạn chế của bảo mật hai lớp. Đến thời điểm 2017 này, chỉ có bảo mật hai lớp là chưa đủ.
Năm 2014, nhiều tên tội phạm mạng nhắm mục tiêu vào những dịch vụ liên quan đến Bitcoin. Chúng tìm nhiều cách để tấn công hệ thống an ninh như chặn mã token hoặc lợi dụng các bước khôi phục tài khoản. Trong một vài trường hợp, tin tặc trực tiếp theo dõi các nhà cung cấp dịch vụ điện thoại, thiết lập việc sắp xếp chuyển tiếp cuộc gọi trong phút cuối để chặn mã trong việc chuyển tiếp. Các tên tội phạm sẵn sàng đi xa hơn cả những tin tặc bình thường vì giá trị của các “mỏ vàng” Bitcoin. Tội phạm mạng là một vấn đề thực tế đối với người dùng Bitcoin: chỉ mới tháng trước, một người đầu tư Bitcoin tên Cody Brown đã mất 8000$ vì bị tin tặc lợi dụng dịch vụ hỗ trợ khách hàng của nhà mạng Verizon để chiếm quyền giao dịch tài khoản.
Ngoài Bitcoin, các tài liệu được công bố trong năm 2017 bởi The Intercept cho thấy một nhóm người Nga lựa chọn mục tiêu nhằm vào các quan chức bầu cử của Hoa Kỳ đã xây dựng một kế hoạch riêng với các hành động cụ thể để tấn công các tài khoản có bảo mật hai lớp. Chúng thu thập mã xác nhận bằng cách sử dụng cùng một phương pháp được dùng để lấy cắp mật khẩu.
Trong hầu hết mọi trường hợp, vấn đề không phải là bản thân bảo mật hai lớp mà là tất cả mọi thứ xung quanh nó. Vấn đề nằm ở chỗ cách bạn sử dụng máy tính thế nào, còn không thì cho dù có rất nhiều lớp bảo mật, bạn vẫn có thể bị tin tặc đột nhập nếu không hành động cẩn trọng.
Mạng không dây chính là điểm yếu yếu nhất của bảo mật hai lớp. Nếu bạn đột nhập tài khoản AT&T, Verizon, hoặc T-Mobile, những tài khoản hỗ trợ số điện thoại cho một cá nhân, bạn có thể dễ dàng chặn cướp bất kỳ cuộc gọi hoặc văn bản nào được gửi tới họ. Với những ứng dụng điện thoại như Signal, nơi ràng buộc hoàn toàn với một số điện thoại được định sẵn, ta có thể chặn cướp toàn bộ tài khoản. Tại thời điểm này, các nhà cung cấp vẫn là những người thích nghi chậm nhất với bảo mật hai lớp, hầu hết đều ưa thích những mật mã cá nhân dễ dàng hoặc thậm chí những câu hỏi bảo mật thiếu vững chắc.
Viện quốc gia về Tiêu chuẩn và Công nghệ của Hoa Kỳ đã lặng lẽ rút lại khoản hỗ trợ cho tính năng bảo mật hai lớp dựa trên SMS, họ đã chỉ ra những nguy cơ của việc bị đánh chặn hoặc lừa đảo nhưng các công ty công nghệ đã không thực sự chú ý. SMS là trung tâm của rất nhiều vụ xâm nhập bảo mật hai lớp. Có thể kể đến hàng loạt chặn cướp tài khoản Telegram ở Iran. Bảo mật hai lớp thông qua SMS khiến cho bất cứ ai cũng có thể xâm nhập vào tài khoản nhà cung cấp của bạn một cách dễ dàng.
Năm 2014, hệ thống iCloud của Apple đã bị chỉ trích kịch liệt sau khi các câu hỏi phục hồi tài khoản dễ dàng bị đoán được đã cho phép tin tặc ăn cắp hàng loạt những tấm ảnh nhạy cảm. Một chính sách gần đây của Apple cũng gây ra những vấn đề đáng lo ngại khi người dùng bị mất Recovery Key và quên mật khẩu thì tài khoản AppleID của họ sẽ bị khóa vĩnh viễn.
Google là một trong số ít những dịch vụ cho phép bạn từ chối những thiết bị điện tử xác thực yếu kém như SMS, mặc dù nó chỉ dành cho các khách hàng doanh nghiệp trên G Suite. Theo hệ thống đó, quản trị viên có thể đặt chính sách bảo mật hai lớp cho toàn bộ tổ chức của họ, cấm các thiết bị điện tử xác thực không an toàn hoặc buộc tất cả người dùng trên một tên miền nhất định phải sử dụng một phương pháp đăng nhập cụ thể. Nhưng điều đó chỉ hiệu quả khi có một quản trị viên có khả năng thiết lập các chính sách và giải quyết được bất kỳ vấn đề cốt lõi căn bản nào. Việc thiết lập chính sách sẽ trở nên khó khăn khi bạn phải thực hiện nó với hàng tỷ người dùng Gmail, do đó, đến nay Google vẫn chưa thực sự áp dụng rộng rãi nó.
Không phải tất cả những chuyện này có nghĩa là bảo mật hai lớp là vô nghĩa, nhưng nó không thực sự là cú hích mà nó đáng lẽ đã trở thành. Việc thêm một mã xác thực tăng thêm mức độ vững chắc cho trang đăng nhập, nhưng những kẻ tấn công thông minh vẫn sẽ tìm thấy một góc độ tiếp cận khác cho dù đó là nhà cung cấp dịch vụ tài khoản, thiết bị đăng ký trước, hay là bộ phận dịch vụ khách hàng. Những điểm yếu này là thước đo thực sự để đánh giá mức độ an toàn của một tài khoản tuy chúng không dễ nhận thấy được từ bên ngoài.
Khi Internet phát triển vượt trội mà không đi cùng với tính năng bảo mật hai lớp, vấn đề an ninh mạng sẽ trở nên khó khăn hơn. Trọng tâm mới là phát hiện mối đe dọa dựa trên hàng chục tín hiệu xung quanh như thiết lấy dấu vân tay và hành vi trên các trang mạng để xác định liệu một đăng nhập đã định sẵn có bảo đảm được những kiểm tra nghiêm ngặt. Một chuỗi đăng nhập đủ đáng ngờ có thể gây ra tình trạng đóng băng tài khoản hoặc yêu cầu một cuộc điện thoại đến dịch vụ khách hàng trước khi chủ thể có thể tiếp tục.
Quảng cáo
Theo Boroditsky, mô hình phát hiện và phòng ngừa có nhiều khả năng thành công hơn trong dài hạn, đây cũng là một cách hữu hiệu để tóm những tên tội phạm đột nhập hệ thống mạng, đặc biệt là đối với các công ty như Facebook và Google khi họ có các trí thông minh nhân tạo đẳng cấp thế giới và kho dữ liệu khổng lồ vô cùng thuận tiện cho việc triển khai các thuật toán.
Vấn đề đặt ra khi người dùng bị đẩy trở lại tình trạng trước khi có sự xuất hiện của iPhone hoặc thậm chí là Internet: Nếu không sử dụng bảo mật hai lớp, vấn đề bảo mật bị giao phó cho các quản trị viên mạng. Sử dụng bảo mật hai lớp vẫn là lời khuyên hữu ích nhưng nó chưa đủ, những lổ hổng khuyết điểm của tính năng vẫn chưa hoàn toàn được giải quyết. Sự thực là, không ai có thể bảo vệ bạn hoàn toàn, không có thứ gì an toàn tuyệt đối. Hãy là người dùng thông minh, hãy tự cập nhật cho mình các kỹ năng tự vệ trên mạng để không bị tin tặc lợi dụng.
Bình chọn bên dưới để chia sẻ cho nhau biết: người dùng ở Việt Nam có quan tâm đến bảo mật 2 lớp hay không.
Theo Theverge
