Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Kể từ lúc giới thiệu chiếc Yubikey đầu tiên trên blog tới giờ cũng đã ngót…vài năm. Trong khoảng thời gian đó, rất nhiều tài khoản facebook của người nổi tiếng và cả “dân thường” đã bị hack dễ dàng, để lộ nhiều ảnh nóng, à nhầm, nhiều thông tin nhạy cảm :)) .Trong thời buổi công nghệ thông tin, mỗi người trong chúng ta ít nhất cũng có hàng chục tài khoản trên mạng và việc bảo vệ chúng đúng cách là chuyện không phải ai cũng quan tâm, cho tới khi chúng bị hack.

Tôi lấy một ví dụ : Rất nhiều người dùng iPhone đã cài đặt iCloud, đồng thời, tài khoản email đăng ký iCloud cũng được kích hoạt tính năng bảo mật 2 lớp bằng tin nhắn SMS. Coi như là đã bảo mật. Nhưng khi đi sâu vào chút thì thấy nguy cơ bị hack vẫn hiện hữu bởi một lý do mà không phải ai cũng để ý : tài khoản mail đăng ký iCloud lại được cài đặt trên chính điện thoại đó. Và tệ hơn nữa là số điện thoại đăng ký tài khoản bảo mật 2 lớp cũng chính là số điện thoại của iPhone. Thế là mọi lớp bảo mật đều bị…gom về một mối. Chả may cái điện thoại đó mà bị mất là coi như xong.

Gần như tất cả các dịch vụ trực tuyến hiện tại đều cho phép người dùng nâng cao tính bảo mật bằng cách kích hoạt tính năng xác thực 2 lớp gọi là “two-factor authentication”. Trong đó, lớp đầu tiên chính là mật khẩu, lớp thứ 2 là một trong các hình thức xác thực sau :

  • Xác thực bằng số điện thoại thông qua tin nhắn SMS hoặc cuộc gọi.
  • Xác thực bằng mã đăng nhập do một ứng dụng như Google Generator tạo ra.

Và kể từ đầu năm 2017 tới nay, thêm một hình thức xác thực nữa đã được Facebook, Google, Microsoft, Apple, Dropbox…v…v…đưa vào ứng dụng của mình đó là hình thức xác thực bằng một thiết bị phần cứng cắm vào máy tính thông qua cổng USB hoặc USB-C, gọi chung là “Security key”. Những thiết bị này sử dụng chuẩn U2F (Universal Two-Factor) do Google và Yubico (công ty sản xuất Yubikey) phát triển. Hiện tại, chuẩn U2F dùng trong xác thực đã được sử dụng rộng rãi với số lượng công ty và ứng dụng hỗ trợ ngày càng nhiều.

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Xác thực bằng Security Key (thiết bị đại diện là Yubikey) có gì khác với các phương thức cũ ?

  • Đây là một thiết bị phần cứng và bạn có thể móc nó vào chùm chìa khoá hoặc bỏ trong ví.
  • Nó không cần điện thoại, wifi hoặc 3G để hoạt động.
  • Nó không thể bị làm giả hoặc bị hack.
  • Bạn không cần phải nhập mã bảo mật.

Về cơ bản, khác biệt lớn nhất khi sử dụng Yubikey để đăng nhập các dịch vụ này là sau khi nhập đúng username và mật khẩu đăng nhập, trình duyệt sẽ yêu cầu bạn cắm Yubikey vào máy tính và chạm tay vào. Nếu đúng là Yubikey bạn đã đăng ký trước đó thì quá trình đăng nhập sẽ thành công.

Điều quan trọng nhất khi sử dụng phương thức xác thực bằng Yubikey chính là tránh được các trang web lừa đảo. Tôi lấy ví dụ. Bạn đang đăng nhập vào một trang web giả mạo mà bạn không hề hay biết. Sau khi bạn nhập xong username và mật khẩu, trang web lừa đảo sẽ yêu cầu bạn nhập thêm mã xác thực do bạn đã kích hoạt tính năng xác thực 2 lớp trước đó. Nếu bạn đang sử dụng phương thức xác thực cũ, bạn sẽ nhận được mã kích hoạt qua điện thoại => ung dung vừa hát líu lo vừa nhập code vào trang web lừa đảo => vậy là xong, kẻ lừa đảo đã có đầy đủ username/password kèm mã xác thực => nó đã đăng nhập thành công và chiếm trọn tài khoản của bạn.

Nhưng nếu bạn sử dụng phương thức xác thực bằng Yubikey thì điều đó không thể xảy ra bởi vì lúc này, theo đúng qui trình thì trình duyệt sẽ hiện thông báo yêu cầu bạn cắm yubikey vào để xác thực chứ không yêu cầu nhập mã code. Và kể cả khi trang web giả mạo yêu cầu bạn cắm yubikey vào thì cũng không thể bởi vì những thiết bị sử dụng chuẩn U2F như Yubikey sẽ làm việc trực tiếp với trình duyệt (hiện chỉ có Google Chrome và Opera, Firefox sẽ hỗ trợ trong thời gian sắp tới) sử dụng giao thức bảo mật riêng. Khi trình duyệt “giao tiếp” được với Yubikey, nó sẽ tự động xác nhận trang web hiện tại có sử dụng bảo mật hay không và trực tiếp gửi mã xác thực cho trang web “thực” chứ không thông qua hoặc nhận thông tin được cung cấp bởi trang web giả mạo.

Như vậy, nếu sử dụng Yubikey để đăng nhập thì bước xác thực sẽ do trình duyệt tự động thực hiện. Bạn không cần phải nhập mã xác thực và giả sử hệ thống mạng của bạn bị kẻ tấn công “nghe lén” dữ liệu thì chúng cũng không thể đăng nhập được tài khoản của bạn dù đã có username và password.

Hiện tại, bạn có thể sử dụng Yubikey 4 để đăng nhập vào Facebook, Dropbox, GitHub, Lastpass, Windows 10 Aniversary, MacOS Sierra, Linux, Gmail, Google Cloud và nhiều dịch vụ khác của các “ông lớn” như IBM, Dell…

Sau đây là phần hướng dẫn cài đặt Yubikey 4 để bảo mật cho tài khoản Facebook :

– Đăng nhập vào tài khoản, truy cập tới phần Security and login

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

– Bấm vào “Use two-factor authentication”, danh sách hiện ra bấm nút “Add key” ở phần “Security keys”

– Hộp thoại hiện ra bấm nút Add key.

– Hộp thoại “Register your security key” hiện ra như hình bên dưới

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

– Bạn cắm Yubikey vào máy tính, chạm tay ngón tay vào vùng lõm trên Yubikey. Nếu xong thì bạn sẽ nhận được thông báo yêu cầu nhập lại mật khẩu tài khoản.

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

– Cuối cùng, bạn tiến hành đặt tên cho thiết bị để nhận biết trong trường hợp bạn có nhiều thiết bị.

– Thông báo thành công.

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Kể từ lúc này, mỗi khi bạn đăng nhập facebook trên thiết bị khác, sau khi nhập xong username/password, bạn sẽ thấy hộp thoại yêu cầu cắm Yubikey vào để xác thực. Nếu đúng thì bạn mới đăng nhập được. Nếu không đúng yubikey hoặc trang web có dấu hiệu bị giả mạo thì phần đăng nhập sẽ thất bại.

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Bảo vệ tài khoản Facebook, Google và máy tính với Yubikey 4

Như đã nói bên trên, những thiết bị USB bảo mật như Yubikey chỉ làm việc trực tiếp với trình duyệt web nên nó chỉ sử dụng được với những trình duyệt được hỗ trợ. Hiện có 2 trình duyệt hỗ trợ Security Key là Google Chrome và Opera. Do đó, nếu bạn đăng nhập Facebook trên các trình duyệt khác thì bạn sẽ không nhận được yêu cầu cắm Yubikey vào như bên trên, thay vào đó, bạn sẽ được yêu cầu nhập mã xác thực được gửi về điện thoại. Tin mừng là Firefox đang thử nghiệm việc hỗ trợ chuẩn U2F trong bản nightbuild, bản chính thức sẽ được cập nhật trong thời gian tới.

Quá trình đăng nhập mặc dù khuyến cáo bạn xác thực bằng Yubikey nhưng luôn luôn có tuỳ chọn khác để phòng trường hợp khẩn cấp hoặc trường hợp bạn bị mất Yubikey, vậy nên không có gì quá lo lắng nếu chả may bị mất thiết bị. Trước giờ tôi luôn để Yubikey trong ví và thật may là chưa bị mất ví lần nào 🙂 .Một trong các giải pháp dự phòng mà bạn đừng bao giờ bỏ qua đó là lưu trữ 10 dãy số “backup code” bằng cách chép nó vào sổ (hoặc in ra và cất chung với giấy tờ nhà chẳng hạn), nó sẽ cứu bạn trong trường hợp mọi phương pháp xác thực khác đều không thực hiện được. Ví dụ như đi nhậu bị mất cái ví chứa yubikey và mất luôn cái điện thoại chẳng hạn 🙂

Google Save your backup code

Tôi sẽ tiếp tục có bài thử nghiệm Yubikey để đăng nhập Windows 10 và MacOS trong thời gian tới 😉 .Riêng phần kết hợp với ứng dụng quản lý mật khẩu Lastpass thì trên blog đã có quá nhiều bài viết rồi, bạn có thể xem bài mới nhất tại đây.

Chúc tài khoản facebook của bạn….lâu bị hack nhé, hehe.

P/S : Hiện Yubikey 4 đang được bán trên tumlumshop.com với giá 1.180.000 VNĐ

Rất mong nhận được ý kiến của bạn để tăng tương tác :)

Gửi phản hồi