Scandal rò rỉ ảnh nóng của một loạt các nữ diễn viên trong tháng 9 vừa
qua có thể là vì các nạn nhân đã vô tình cung cấp mật khẩu do bị lừa
đảo dạng phishing (giả mạo danh tính), nhưng tình trạng bảo mật yếu kém
trên iCloud cũng có thể đã là nguyên nhân gây ra "thảm họa" này. Theo
phỏng đoán của nhiều người, hacker hoàn toàn có thể đã tấn công
bruteforce, một kiểu tấn công bằng cách thử nghiệm hàng loạt mật khẩu
cho tới khi mò ra được mật khẩu của nạn nhân.
Hình thức tấn công này có thể bị ngăn chặn bởi xác thực 2 yếu tố - một
hình thức bảo mật đòi hỏi cả mật khẩu chính xác lẫn mã xác thực mỗi khi
đăng nhập từ thiết bị lạ. Mã xác thực này có thể được gửi tới một thiết
bị/tài khoản mà bạn chắc chắn nắm quyền kiểm soát hoặc lấy từ token/ứng
dụng tạo mã xác thực trên một chiếc smartphone mà bạn khó có thể làm
mất. Trong trường hợp của các nữ diễn viên kém may mắn kia, hacker sẽ
không thể truy cập được vào tài khoản của họ dù đã có mật khẩu chính
xác. Lý do là bởi chúng vẫn cần thêm mã xác thực gửi tới smartphone hoặc
một thiết bị đáng tin cậy khác được người dùng chỉ định.
Ngay sau khi scandal xảy ra, Apple đã ra mắt hình thức xác thực 2 yếu
tố trên tài khoản Apple ID. Rất tiếc, tính năng xác thực 2 yếu tố - hay
nói đúng hơn là cách xử lý sự cố của Apple khi có trục trặc với xác thực
2 yếu tố, có thể biến cơn ác mộng của bạn thành sự thật. Cụ thể, Apple
sẽ biến chiếc iPhone quý giá của bạn thành cục gạch đúng nghĩa trong
trường hợp... có kẻ xấu đang đăng nhập vào tài khoản của bạn.
Hiểu về tính năng xác thực 2 yếu tố trên Apple ID
Biên tập viên Owen Williams của trang
The Next Web đã không
may mắn phải trải qua điều này. Một người lạ đã cố tình đăng nhập vào
tài khoản iTunes của Owen – và theo đúng như cách hoạt động thông
thường, quá trình đăng nhập này đã bị chặn. Song, do kẻ xấu đã cố đăng
nhập quá nhiều lần, hệ thống bảo mật của Apple cũng đã thực hiện khóa
tài khoản của Owen.
Xác thực 2 yếu tố giúp bảo vệ tài khoản của bạn ngay cả khi kẻ xấu đã biết mật khẩu của bạn.
Với các tài khoản mạng thông thường, tính năng xác thực 2 yếu tố được
thực hiện rất đơn giản: bạn đăng nhập vào tài khoản của mình với tài
khoản và mật khẩu chính xác. Dịch vụ mà bạn đang đăng nhập sẽ gửi một
mật khẩu (thường là dãy số hoặc chuỗi ký tự ngẫu nhiên) tới một thiết
bị/tài khoản được tin cậy của bạn – một thiết bị/tài khoản mà bạn dám
chắc sẽ không bao giờ mất quyền kiểm soát. Điều này có nghĩa rằng dịch
vụ trên sẽ gửi mật khẩu thứ 2 qua tin nhắn SMS vào số điện thoại của
bạn, một địa chỉ email bí mật khác của bạn. Hoặc dịch vụ này sẽ yêu cầu
mật khẩu tự sinh từ một ứng dụng xác thực (Authenticator) trên
smartphone hoặc token (tương tự như khi bạn sử dụng dịch vụ Internet
Banking). Bạn cung cấp lại chuỗi số/ký tự này cho dịch vụ đang đăng nhập
và sau đó truy cập vào tài khoản của mình một cách bình thường.
Điểm yếu của xác thực 2 yếu tố là bạn hoàn toàn có thể mất quyền truy
cập vào tài khoản vĩnh viễn nếu như để mất thiết bị được tin cậy của
mình. Để khắc phục tình trạng này, Apple cung cấp cho người dùng tính
năng recovery key (chìa khóa hồi phục). Đây là một chuỗi 14 ký tự được
sinh ngẫu nhiên khi bật xác thực 2 yếu tố. Bạn sẽ cần phải in recovery
key ra giấy và cất giữ cẩn thận. Thậm chí, nếu mất recovery key, bạn sẽ
phải truy cập vào một thiết bị được tin cậy khác để tạo recovery key
mới.
Cơn ác mộng khi quên không in và cất giữ recovery key một cách cẩn thận
Apple khẳng định người dùng vẫn có thể lấy recovery key từ một thiết bị được tin cậy
"
Miễn là nhớ mật khẩu Apple ID và vẫn có thể truy cập một trong số
các thiết bị được tin cậy, bạn có thể đăng nhập và tạo lại recovery key". Đây chính là điểm ngớ ngẩn của Apple: bạn sẽ phải đăng nhập vào tài khoản Apple ID
đã bị khóa trên một thiết bị được tin cậy để tiến hành tạo mới recovery key nhằm... mở khóa tài khoản.
Do tài khoản của Owen đã bị khóa hoàn toàn, anh chàng xấu số này sẽ
không thể đăng nhập lại vào tài khoản Apple ID ở bất cứ đâu. Biện pháp
hồi phục của Apple là hoàn toàn vô ích. Owen buộc phải tìm thấy recovery
key đã in của mình nhằm hồi phục lại Apple ID đã bị khóa.
Vấn đề là ở chỗ anh chàng xấu số này cũng đã không lưu recovery key của mình một cách cẩn thận: "
Tôi
đã lục tung cả căn nhà để tìm recovery key một cách sợ hãi, và sau một
vài giờ 'đau khổ' đành bỏ cuộc và bắt đầu tìm kiếm trên máy tính. Tôi
lưu rất nhiều mật khẩu 'hồi phục', nhưng chúng không phải dành cho
Apple, mà là cho mã hóa ổ cứng trên máy Mac, Twitter, Facebook, và rất
nhiều tài khoản khác, nhưng không phải là Apple ID.
Đây là thời điểm mà tôi nhận ra rằng tài khoản duy nhất này cũng
là chìa khóa cho phần lớn cuộc sống số của tôi: Tất cả mọi thứ từ các
nội dung mua từ iTunes 7 năm trước, các ứng dụng và thậm chí là khả năng
giải thoát iPhone khỏi bộ khóa Find My iPhone".
Một điều ngớ ngẩn khác là trang hỗ trợ của Apple khẳng định người dùng chỉ cần có
2 trong số 3 yếu tố:
mật khẩu, một thiết bị được tin cậy và recovery key. Rõ ràng, Owen đã
có cả mật khẩu lẫn thiết bị được tin cậy - nhưng do cách thực hiện rất
ngớ ngẩn của Apple, thiết bị được tin cậy và mật khẩu của Owen là hoàn
toàn vô nghĩa trong trường hợp này.
Quá trình chăm sóc khách hàng đáng chê trách của Apple
Điều tồi tệ hơn cả là Apple kiên quyết không chịu hỗ trợ Owen. Không
có chìa khóa hồi phục, Owen coi như sẽ mất Apple ID của mình vĩnh viễn.
Bộ phận hỗ trợ liên tục khẳng định với Owen rằng họ không thể cung cấp
lại quyền truy cập cho anh – cùng lúc nhấn mạnh rằng Apple
rất chú trọng vấn đề bảo mật.
Nhà báo này thậm chí còn đã rất nhiều lần phải gọi điện tới tổng đài
hỗ trợ của Apple. Lần đầu, anh chàng bị từ chối thẳng thừng. Lần thứ
hai, Owen gặp được một nhân viên hỗ trợ có vẻ cảm thông hơn - nhưng kết
quả vẫn là "
tại Apple chúng tôi rất coi trọng vấn đề bảo mật, tài khoản Apple ID này sẽ bị khóa trừ khi bạn tìm thấy recovery key của mình".
Điệp khúc này được lặp đi lặp lại tới 5, 6 lần, nhưng kết quả vẫn là
biên tập viên xấu số này buộc phải chấp nhận sẽ mất toàn bộ thế giới số
đã có trước đó của mình.
Công ty của Tim Cook còn tỏ ra đặc biệt vô lý khi không chấp thuận cho
yêu cầu của Owen - ngay cả khi anh này đã đưa ra các giấy tờ tùy thân
có giá trị pháp lý. Trong vòng 24 giờ, các dịch vụ đi kèm với Apple ID
(như iMessage) bắt đầu bị khóa, khiến cho trải nghiệm không may của anh
chàng thực sự trở thành một cơn ác mộng.
Recovery key là "cứu cánh" khi bạn mất thiết bị được tin cậy hoặc mất mật khẩu.
Thật may mắn, sau rất nhiều lần cố tìm cách thuyết phục Apple nhưng
bất thành, Owen cuối cùng cũng đã tìm ra một bức ảnh chụp chiếc iPhone
có ghi recovery key. Nhưng cây bút công nghệ này vẫn cảm thấy thất vọng
tràn trề: "
Điều bực mình là đó không phải lỗi của tôi. Ai đó đã tìm
cách đăng nhập vào tài khoản của tôi khiến cho nó bị khóa. Tôi không làm
điều gì sai, ấy vậy mà tôi bị khóa hoàn toàn vì đơn giản là không thể
tìm thấy recovery key của mình.
Thật là ngược đời khi biết rằng, tính năng xác thực 2 yếu tố vốn
được thiết kế để tăng cường bảo mật cho tôi cuối cùng lại khóa không cho
tôi truy cập thiết bị của mình."
Câu chuyện của Owen đã kết thúc đôi phần có hậu. Nhưng rõ ràng, công
ty của Tim Cook sẽ cần phải xem lại những biện pháp bảo mật vô cùng lố
bịch như hiện nay: Trong vòng 3 tháng, người dùng đi từ chỗ đối mặt với
nguy cơ lộ thông tin nhạy cảm đến chỗ... tự tay biến điện thoại của mình
thành cục gạch và đem đốt toàn bộ tài sản thông tin số. Tất cả chỉ là
vì mô hình bảo mật của Apple quá ngớ ngẩn (bắt đăng nhập vào tài khoản
đã bị khóa để lấy chìa khóa hồi phục cho... tài khoản đã bị khóa) và bởi
hệ thống hỗ trợ khách hàng của Táo cũng quá máy móc và vô dụng khi
khách hàng thực sự cần đến.
Hãy lưu giữ recovery key cẩn thận.
Bài học rút ra cho bạn? Hãy cứ bật xác thực 2 yếu tố nếu như bạn lo
ngại về bảo mật thông tin cho iCloud/Apple ID của mình. Nhưng hãy in và
lưu trữ recovery key của mình một cách cẩn thận nếu không muốn gặp cơn
ác mộng như Owen. Và đừng tin lời Apple, bởi ngay cả khi đã có thiết bị
được tin cậy và mật khẩu hợp lệ, bạn vẫn KHÔNG THỂ hồi phục cho tài
khoản iCloud đã bị khóa!
![[Submit] dong thoi gian cong nghe.](https://photo.tinhte.vn/store/2014/12/2671894_Submit_dong_thoi_gian_cong_nghe.jpg)
