Khi trả lời những câu hỏi tương đối không phổ biến này, hãy cân nhắc đến giá trị của website đối với bạn. Ví dụ, bạn có thể tin tưởng cung cấp cho ngân hàng của mình các thông tin cá nhân bổ sung này, nhưng với dịch vụ phát video trực tuyến thì không. Đồng thời, hãy tìm hiểu về chính sách bảo mật của website đó, lưu ý đến những đoạn nói hoặc ngụ ý nói rằng họ có thể bán thông tin họ thu thập được cho các bên thứ ba.
Để đặt lại mật khẩu cho tài khoản email Yahoo của Sarah Palin, cần phải cung cấp thông tin về ngày sinh, mã bưu chính, và câu trả lời cho câu hỏi bảo mật “Bạn gặp chồng mình ở đâu?” Có thể dễ dàng tìm thấy ngày sinh và mã bưu chính của Palin trên mạng (vào thời điểm đó, bà đang là Thống đốc bang Alaska). Câu hỏi bảo mật đòi hỏi nhiều công sức hơn một chút, nhưng Kernell cũng có thể tìm ra được. Trong các cuộc phỏng vấn, Palin đã nhiều lần nói rằng chồng bà chính là người yêu từ thời trung học. Và hóa ra đó cũng là câu trả lời chính xác cho câu hỏi bảo mật của bà: “Trường trung học.”
Bằng cách đoán câu trả lời cho câu hỏi bảo mật của Palin, Kernell đã đặt lại mật khẩu email Yahoo của bà, nhờ vậy anh ta có thể đọc tất cả các email cá nhân trong đó. Ảnh chụp màn hình hộp thư đến của Palin được đăng lên một website dành cho hacker. Bản thân Palin cũng bị khóa khỏi email cho đến khi bà đặt lại mật khẩu.
Hành vi của Kernell là bất hợp pháp vì vi phạm Đạo luật Gian lận và Lạm dụng Máy tính. Cụ thể, anh ta bị kết án vì hai tội: cản trở pháp luật bằng cách phá hủy hồ sơ (trọng tội), và giành quyền truy cập trái phép vào máy tính (tội nhẹ). Năm 2010, anh ta bị kết án một năm và một ngày tù, cộng với ba năm quản thúc.
Nếu tài khoản email của bạn bị chiếm đoạt, như trường hợp của Palin, trước tiên bạn phải thay đổi mật khẩu bằng cách sử dụng tùy chọn đặt lại mật khẩu (vâng, giải pháp dễ đoán, đúng không?). Hãy đặt mật khẩu mới mạnh hơn như tôi đã hướng dẫn ở trên. Thứ hai, hãy kiểm tra mục Thư đã gửi để xem những nội dung nào đã được gửi đi bằng tên của bạn. Có thể bạn sẽ phát hiện ra rằng một thư rác đã được gửi tới nhiều bên, thậm chí là gửi cho toàn bộ danh sách liên hệ của bạn. Bây giờ thì bạn đã biết lý do tại sao bao nhiêu năm qua, bạn bè của bạn cứ gửi thư rác cho bạn rồi chứ? Có người đã tấn công tài khoản email của họ đấy.
Ngoài ra, hãy kiểm tra xem liệu có ai đã tự thêm họ vào tài khoản của bạn hay không. Ở phần trước, chúng ta đã nói về việc chuyển tiếp thư liên quan đến nhiều tài khoản email. Kẻ tấn công giành được quyền truy cập vào dịch vụ email của bạn cũng có thể cài đặt chế độ chuyển tiếp tất cả email của bạn tới tài khoản của hắn. Bạn vẫn sẽ nhận email như bình thường, nhưng kẻ tấn công cũng sẽ đọc được chúng. Nếu có kẻ đã tự thêm hắn vào tài khoản của bạn, hãy xóa địa chỉ email chuyển tiếp này ngay lập tức.
Mật khẩu và mã PIN là một phần của giải pháp bảo mật, nhưng chúng ta vừa thấy rằng hai yếu tố này là có thể đoán được. Ngoài việc đặt mật khẩu phức tạp, còn có một cách tốt hơn nữa là xác thực hai yếu tố. Trước vụ việc ảnh khỏa thân của Jennifer Lawrence và những người nổi tiếng khác bị phát tán trên Internet, Apple đã thiết lập cơ chế xác thực hai yếu tố, hay còn gọi là 2FA (two-factor authentication), cho các dịch vụ iCloud của mình.
2FA là gì?
Trong quá trình xác thực người dùng, các website hoặc ứng dụng sẽ xét đến ít nhất hai trong số ba yếu tố, thông thường là: một thứ mà bạn có, một thứ mà bạn biết, và một thứ là bạn. Một thứ mà bạn có có thể là thẻ tín dụng/thẻ ghi nợ gắn chip hay có dải từ tính. Một thứ mà bạn biết thường là mã PIN hoặc câu trả lời cho câu hỏi bảo mật. Và một thứ là bạn bao gồm các thông số sinh trắc học như vân tay, nhận dạng khuôn mặt, nhận dạng giọng nói… Càng có nhiều thông tin này, bạn càng có thể chắc chắn rằng người dùng chính là người mà họ đã tự nhận.
Nghe có vẻ đây là công nghệ mới, nhưng không phải. Trong hơn 40 năm qua, hầu hết chúng ta đều đã thực hiện 2FA mà không nhận ra điều đó.
Khi sử dụng máy ATM, tức là bạn đang thực hiện 2FA đấy. Làm sao lại có thể như vậy? Bạn có một chiếc thẻ do ngân hàng phát hành (thứ mà bạn có) và một mã PIN (thứ mà bạn biết). Khi kết hợp chúng lại với nhau, máy ATM không người điều khiển trên đường phố sẽ biết rằng bạn đang muốn truy cập vào tài khoản ghi trên thẻ. Một số quốc gia áp dụng thêm các phương tiện xác thực khác tại các máy ATM, chẳng hạn như nhận diện khuôn mặt và in lòng bàn tay. Đây gọi là xác thực đa yếu tố (multifactor authentication – MIF).
Có thể áp dụng các phương pháp tương tự trên môi trường trực tuyến. Nhiều tổ chức tài chính và chăm sóc sức khỏe, cũng như các tài khoản email thương mại và tài khoản mạng xã hội cho phép bạn chọn 2FA. Trong trường hợp này, thứ mà bạn biết là mật khẩu của bạn, và thứ mà bạn có là điện thoại di động. Việc sử dụng điện thoại để truy cập vào các website này được coi là “ngoài dải” vì điện thoại không kết nối với máy tính mà bạn đang sử dụng. Nhưng nếu bạn sử dụng tính năng 2FA, kẻ tấn công sẽ không thể truy cập các tài khoản được bảo vệ bằng 2FA nếu không có thiết bị di động của bạn trong tay.
Lấy Gmail làm ví dụ. Để kích hoạt tính năng 2FA, bạn cần nhập số điện thoại di động của mình vào website Gmail. Sau đó, để xác minh danh tính, Google sẽ gửi đến điện thoại của bạn một tin nhắn chứa mã gồm sáu chữ số. Tiếp theo, bạn xác minh rằng máy tính này và số điện thoại kia là có kết nối với nhau bằng cách nhập mã đó vào website Gmail.
Về sau, khi có người muốn thay đổi mật khẩu trên tài khoản của bạn từ một máy tính hoặc thiết bị mới, Google sẽ gửi tin nhắn đến điện thoại của bạn. Sau khi mã xác minh chính xác được nhập vào website thì các thay đổi đối với tài khoản của bạn mới được thực hiện.
Tuy nhiên, ở đây có một vấn đề. Theo các nhà nghiên cứu tại Symantec, khi gửi tin nhắn để xác nhận danh tính, nếu bạn không để ý, một người nào đó tình cờ biết được số điện thoại di động của bạn sẽ có thể thực hiện tấn công social engineering[17] và đánh cắp mã đặt lại mật khẩu được bảo vệ bằng 2FA.
[17] Social Engineering (tấn công phi kỹ thuật): Trong lĩnh vực an ninh thông tin, tấn công social engineering chỉ việc thao túng người khác bằng tâm lý học để khiến họ thực hiện các hành động hoặc tiết lộ các thông tin bí mật.
Giả sử tôi muốn chiếm tài khoản email nhưng không biết mật khẩu của bạn. Tôi biết số điện thoại di động của bạn vì thông tin về bạn rất dễ tìm thấy trên Google. Tôi có thể vào trang cài đặt lại cho dịch vụ email của bạn và yêu cầu đặt lại mật khẩu. Do bạn đã bật tính năng xác thực hai yếu tố, nên dịch vụ này sẽ gửi tới điện thoại của bạn một tin nhắn chứa mã xác thực. Tới đây thì mọi chuyện vẫn ổn đúng không? Chờ đã.
Vụ tấn công điện thoại của nhà hoạt động chính trị DeRay Mckesson gần đây cho thấy kẻ xấu có thể đánh lừa nhà cung cấp dịch vụ di động để thực hiện đổi SIM như thế nào. Nói cách khác, kẻ tấn công có thể giành quyền kiểm soát dịch vụ di động của bạn và nhận các tin nhắn gửi tới bạn – chẳng hạn như tin nhắn chứa mã xác thực từ Google gửi đến để đặt lại tài khoản Gmail đã được bảo vệ bằng 2FA. Điều này dễ thực hiện hơn là lừa một người đọc to tin nhắn chứa mật khẩu mới của họ – nhưng cách này vẫn khả thi, và đòi hỏi kỹ thuật tấn công social engineering.
Do không đọc được mã xác minh mà nhà cung cấp dịch vụ email gửi đến điện thoại của bạn, nên tôi sẽ phải giả vờ là một người khác để lấy được nó từ tay bạn. Chỉ vài giây trước khi bạn nhận được tin nhắn thực sự từ nhà cung cấp email, chẳng hạn Google, tôi có thể gửi tin nhắn cho bạn với nội dung: “Google vừa phát hiện có hoạt động bất thường trên tài khoản của bạn. Vui lòng gửi lại mã đã được gửi tới thiết bị di động của bạn để ngăn chặn hoạt động trái phép”.
Bạn sẽ thấy rằng quả nhiên, bạn vừa mới nhận được một tin nhắn từ Google trong đó có chứa một mã xác minh hợp lệ, và nếu mất cảnh giác, bạn có thể vô tư gửi nó cho tôi. Khi đó, tôi sẽ có dưới 60 giây để nhập mã này và truy cập vào trang đặt lại mật khẩu rồi chiếm tài khoản email của bạn. Hoặc bất kỳ tài khoản nào khác.
Vì mã xác thực cung cấp trong tin nhắn không được mã hóa và có thể chiếm đoạt theo cách tôi vừa mô tả, nên để thực hiện 2FA an toàn hơn, hãy tải xuống ứng dụng Google Authenticator từ Google Play hoặc cửa hàng ứng dụng iTunes nếu là iPhone. Ứng dụng này sẽ tạo một mã truy cập duy nhất gồm 6 chữ số trên chính nó mỗi lần bạn muốn truy cập một website yêu cầu 2FA – vì vậy không cần phải gửi tin nhắn nào cả. Mã do ứng dụng tạo ra này được đồng bộ hóa với cơ chế xác thực để cấp quyền truy cập của website. Tuy nhiên, Google Authenticator lưu trữ hạt giống mật khẩu một lần của bạn trong Keychain[18] của Apple với phần cài đặt cho “Chỉ riêng thiết bị này.” Điều đó có nghĩa là nếu bạn sao lưu dữ liệu iPhone và khôi phục chúng sang một thiết bị khác (vì bạn nâng cấp hoặc thay thế một điện thoại bị mất), các mã Google Authenticator sẽ không được di chuyển, và việc đặt lại các mã đó là cả một rắc rối lớn. Hãy in ra giấy các mã khẩn cấp để đề phòng trường hợp bạn phải thay đổi thiết bị. Các ứng dụng khác như 1Password cho phép bạn sao lưu và khôi phục các hạt giống mật khẩu một lần để tránh cho bạn rắc rối này.
[18] Từ iOS 7.0.3 và OS X 10.9, Apple có một tính năng mới là iCloud Keychain (chùm chìa khóa iCloud). Nó có nhiệm vụ đồng bộ hóa các thông tin về tên đăng nhập, mật khẩu website, thông tin thẻ tín dụng và một số thông tin khác giữa các thiết bị iOS với máy tính Mac, nhờ đó người dùng sẽ không phải tốn thời gian nhập liệu thủ công.
