Bảo mật nhiều lớp cho tài khoản online, bạn có đang làm đúng? | Vietcetera

Bảo mật nhiều lớp cho tài khoản online, bạn có đang làm đúng?

Chỉ mất 5 phút tìm hiểu về bảo mật tài khoản trực tuyến để yên tâm hơn khi sử dụng Internet.

Bảo mật đa yếu tố (MFA - multi-factor authentication) có hoàn toàn an toàn?

Trà Nhữ @averagetea_ cho Vietcetera

Tôi biết về xác thực đa yếu tố (multi-factor authentication - MFA) khi còn là một hacker và tội phạm mạng. Những ngày đó, một số nền tảng trực tuyến đã bắt đầu sử dụng phương thức này như một cách để bảo vệ người dùng.

Chẳng hạn như năm 2012, tôi còn nhớ ngân hàng Đông Á có cấp cho khách hàng một loại thẻ xác thực in các dãy số ngẫu nhiên. Mỗi lần đăng nhập vào tài khoản Internet Banking, họ sẽ phải nhập thêm 2 ô số trên thẻ này mới có thể truy cập. Đó là một trong những phương thức MFA thời đầu.

Thời nay đã có nhiều lựa chọn hơn hiện đại hơn như:

  • Mã PIN
  • OTP (“mật khẩu một lần” qua tin nhắn văn bản/hộp thư thoại, phần mềm xác thực)
  • Sinh trắc học (vân tay, nhận dạng khuôn mặt, giọng nói, nhận dạng mống mắt, quét võng mạc, nhận dạng chữ ký)

Chúng có thể được dùng riêng lẻ hoặc kết hợp với nhau, và đã được tích hợp rộng rãi vào hầu hết các nền tảng trực tuyến lớn như Facebook, Gmail, Twitter... 

Thế nhưng, báo vẫn đưa tin đều đều về việc nhiều người bị mất tài khoản mạng xã hội, hay thậm chí là mất tài khoản ngân hàng trực tuyến để rồi bị rút hết tiền. Các sự kiện đó nhắc nhở chúng ta rằng: Phương pháp bảo mật hiện đại nhất cũng có thể không tạo ra màn chắn phòng thủ hoàn hảo nhất. Bởi kẽ hở có thể không xuất phát từ công nghệ, mà từ sơ xuất của chính người dùng.

Tại sao bảo mật nhiều lớp cũng có thể không an toàn hoàn toàn?

1. Tin tặc có thể dùng tin nhắn văn bản để thao túng sự tò mò, sợ hãi, hay tham lam khiến nạn nhân tự cung cấp mã OTP của mình. Trong nhiều trường hợp, họ có thể thao túng được là nhờ đã hiểu rõ về nạn nhân thông qua thông tin thu thập được từ email lừa đảo, phần mềm độc hại, web đen hoặc chỉ đơn giản là mạng xã hội.

2. Tin tặc có thể mạo danh bạn gọi điện cho nhà cung cấp mạng di động để đánh tráo SIM, chuyển số điện thoại của bạn sang thiết bị riêng của họ. Với số điện thoại của bạn, họ có thể gây ra nhiều thiệt hại như đánh cắp tài khoản Facebook, Gmail, tài khoản ngân hàng hoặc bất kỳ tài khoản trực tuyến nào khác.

3. Tin tặc có thể tạo các trang web lừa đảo giống như các trang web yêu thích của bạn để lừa bạn bấm vào các liên kết độc hại, từ đó lấy tên người dùng, mật khẩu và quan trọng nhất là mã OTP của bạn. 

Các đường link lạ dẫn đến một trang web khác đều có nguy cơ ẩn chứa mã độc.

4. Tin tặc có thể tạo một ứng dụng giả và phân phối nó trên App Stores. Thông qua đó họ âm thầm theo dõi bạn và kiểm soát điện thoại của bạn, thu thập dữ liệu nhạy cảm như tin nhắn văn bản, nhật ký điện thoại, ghi âm cuộc gọi, dữ liệu ứng dụng,...

5. Tin tặc có thể khai thác lỗ hổng của ứng dụng hoặc lỗ hổng của hệ điều hành (như iOS, Android) để chiếm quyền kiểm soát điện thoại của bạn.

6. Tin tặc có thể sử dụng trình mô phỏng trang web di động hoặc IMSI-catcher (công cụ nhận dạng thuê bao di động quốc tế), để thu thập các cuộc gọi siêu dữ liệu, tin nhắn văn bản và lưu lượng truy cập internet từ tất cả các thiết bị ở gần chúng. 

Giải pháp nào cho người sử dụng?

Các quy tắc bảo mật chung

1. Xem xét kỹ trước khi nhấp chuột, hoặc mở bất kỳ tin nhắn văn bản, email. Luôn kiểm tra trước tên các đường link bằng Google, không tin vào những phần quà quá hấp dẫn.

2. Luôn cập nhật hệ thống, chương trình chống vi-rút.

3. Cập nhật thường xuyên các phần mềm bạn đã cài đặt, vì ở phiên bản mới nhà phát triển có thể đã vá các lỗi bảo mật nghiêm trọng.

4. Chỉ tải xuống các phần mềm từ các nền tảng trực tuyến chính thức. Không sử dụng các ứng dụng vi phạm bản quyền.

5. Luôn sao lưu dữ liệu quan trọng của bạn lên các dịch vụ đám mây hoặc ổ cứng di động đề phòng trường hợp bạn bị mất điện thoại hoặc máy tính xách tay.

6. Không sử dụng các thiết bị điện tử quá cũ vì phần cứng của nó đã lỗi thời - có thể có lỗ hổng để tin tặc khai thác.

7. Không sử dụng cùng một mật khẩu trên nhiều tài khoản. Không lưu mật khẩu trong trình duyệt của bạn. Nên cân nhắc việc sử dụng trình quản lý mật khẩu như LastPass, KeePass, Dashlane, Keeper Password Manager.

Bảo mật dù có nhiều lớp, thì bước đầu tiên vẫn là thiết lập mật khẩu đủ mạnh.
Bảo mật dù có nhiều lớp, thì bước đầu tiên vẫn là thiết lập mật khẩu đủ mạnh.

8. Cân nhắc việc sử dụng Face ID và vân tay để thay thế mật khẩu của bạn.

9. Nếu sử dụng mật khẩu, hãy đảm bảo mật khẩu của bạn dài tối thiểu tám ký tự và có sử dụng kết hợp chữ hoa, chữ thường, ký hiệu và số. Không sử dụng ngày sinh, địa chỉ hoặc số điện thoại của bản thân, vì đây là những thứ thường có thể dễ dàng bị thu thập bởi tin tặc.

10. Cập nhật mật khẩu ít nhất 3 tháng một lần.

11. Không sử dụng Wi-Fi công cộng, không có bảo mật an toàn. Nếu nhất thiết phải dùng, hãy đảm bảo rằng bạn sử dụng VPN (mạng ảo cá nhân) để mã hoá kết nối của mình. Một ứng dụng miễn phí giúp Internet của bạn an toàn hơn là https://1.1.1.1 từ Cloudflare.

12. Tắt Wi-Fi, Bluetooth khi không sử dụng để đảm bảo bạn không kết nối với các đầu mạng hoặc thiết bị lạ khác.

Quy tắc giữ an toàn cho tài khoản ngân hàng và các tài khoản trực tuyến

1. Cài đặt quyền riêng tư và bảo mật cho các nền tảng mạng xã hội mà bạn tham gia để giới hạn lượng thông tin chia sẻ.

2. Không xác thực danh tính chỉ dựa vào số điện thoại của bạn, như các hình thức OTP qua tin nhắn văn bản/tin nhắn thoại. Thay vào đó, hãy cân nhắc sử dụng trình xác thực dựa trên phần mềm như Google Authenticator, khóa bảo mật phần cứng như Google’s Titan nếu nền tảng bạn dùng có hỗ trợ. 

Hạn chế xây dựng lớp bảo mật sử dụng số điện thoại vì còn nhiều lỗ hổng.
Hạn chế xây dựng lớp bảo mật xoay quanh số điện thoại vì còn nhiều lỗ hổng.

3. Dành một chút thời gian để đọc những hướng dẫn căn bản về an toàn thông tin mạng, trước khi quyết định sử dụng thẻ tín dụng/tài khoản ngân hàng trực tuyến.

4. Chỉ truy cập các nền tảng trực tuyến chính thức và đáng tin cậy (ví dụ: truy cập https://facebook.com không phải http://fakebook.com). Ngoài ra cần lưu ý là các nền tảng trực tuyến đó phải sử dụng HTTPS (bảo mật kết nối), không chỉ là HTTP. Chữ "s" ở đây đồng nghĩa với việc máy chủ của trang web có chứng chỉ chứng minh danh tính của họ.

5. Nếu có thể, nên sử dụng thẻ tín dụng hơn thẻ ATM, bởi loại thẻ này có nhiều biện pháp bảo vệ người dùng hơn nếu có sự cố. Hoặc, bạn có thể sử dụng dịch vụ thanh toán của bên thứ ba thay vì thẻ tín dụng của mình, chẳng hạn như Google Pay, Zalo Pay, MoMo, VnPay, Paypal...

6. Theo dõi chi tiêu của bạn với các ứng dụng ngân hàng. Thiết lập cảnh báo để nếu tiền của bạn được rút ra, bạn sẽ nhận được email hoặc tin nhắn văn bản với các chi tiết giao dịch.

7. Nếu một nền tảng mua sắm trực tuyến yêu cầu lưu thông tin thẻ tín dụng của bạn, sau khi mua hàng, hãy truy cập và xóa các chi tiết thanh toán đã lưu trữ. Đồng thời, hãy cảnh giác: nếu một nền tảng trực tuyến yêu cầu nhiều dữ liệu hơn mức bạn cảm thấy cần thiết, hãy hủy giao dịch.

8. Khi biết mình đã rơi vào bẫy của tin tặc, hãy liên hệ ngay với ngân hàng, hoặc đơn vị quản lý nền tảng trực tuyến, để tìm biện pháp khắc phục. Đồng thời, bạn cũng nên liên hệ với bạn bè để họ biết về tình trạng của mình, hoặc nhờ người thân đăng thông báo để cảnh báo người khác.

Ngoài ra, bạn có thể đọc các hướng dẫn bảo mật và bảo vệ quyền riêng tư dưới đây từ các nguồn chính thức và đáng tin cậy:

Kết

Hãy coi trọng giá trị và công sức của bản thân. Nghĩ về số tiền mà tin tặc sẽ chiếm được nếu họ có thể truy cập vào tất cả dữ liệu/tài khoản của bạn. Nếu bạn là một chính trị gia, một giám đốc điều hành cấp cao, một người có tầm ảnh hưởng hoặc một người có nhiều tiền (đặc biệt là tiền điện tử) thì khả năng bạn bị nhắm mục tiêu sẽ cao hơn nhiều.

"Mặc thêm nhiều áo bảo mật" sẽ giúp bạn có một giấc ngủ an tâm hơn.