NSND Bùi Đắc Sừ

Ngày 25 tháng 2 vừa qua, Google đã giới thiệu một tính năng bảo mật mới cho hệ điều hành Android, được kỳ vọng sẽ có ảnh hưởng lớn đối với thói quen và hành vi bảo mật thông tin trực tuyến của người dùng. Công ty cho biết tất cả các thiết bị chạy hệ điều hành Android 7.0 trở lên sẽ được chứng nhận theo tiêu chuẩn FIDO2, nhờ đó người dùng sẽ có thể đăng nhập mà không cần mật khẩu. Chỉ trong một đêm, hàng triệu người dùng Android trên toàn thế giới "đột nhiên" có thêm một chiếc khoá bảo mật trong túi quần mình, đó chính là chiếc điện thoại. Khoá bảo mật đó có tiềm năng để một ngày nào đó trong tương lai sẽ biến mật khẩu (cùng với tất cả những vấn đề và nguy cơ mà chúng mang lại) trở thành quá khứ.

Mật khẩu là hệ thống chính giúp bảo mật đời sống số của bạn, nhưng càng ngày, chúng càng không "làm tròn" được chức năng và nhiệm vụ của mình. Đa số mọi người sử dụng đi sử dụng lại một cụm từ quá dễ đoán, và công nghệ cốt lõi để vận hành hệ thống mật khẩu cũng ngày càng trở nên dễ bị tổn thương hơn trước các cuộc tấn công. Tất cả những gì tin tặc cần làm là lừa cho bạn tin trang web đăng nhập giả mạo của chúng là thật, trông giống hệt như trang web của ngân hàng hay một dịch vụ trực tuyến nào đó bạn thường sử dụng, nhờ đó chúng có thể đánh lừa bạn nhập mật khẩu (đây gọi là kiểu tấn công "phishing") và có được quyền truy cập vào tài khoản của bạn.

Nhưng hệ thống bảo mật đó sẽ chứng kiến sự thay đổi lớn khi áp dụng tiêu chuẩn FIDO2. Thay vì phải nhớ và phải gõ vào một chuỗi kí tự phức tạp, khó nhớ (hoặc là làm theo cách mà đa số mọi người vẫn dùng là nhờ cậy vào trình duyệt hay một trình quản lý mật khẩu ghi nhớ chúng cho bạn), bạn sẽ xác thực thông qua một khoá bảo mật hoặc một thiết bị sinh trắc học như cảm biến vân tay. Trước đó, đa số những khoá bảo mật này được lưu trữ trên ổ USB hoặc một thiết bị có kết nối Bluetooth nào đó. Song theo thông báo của Google, chiếc điện thoại Android của bạn có thể thực hiện quy trình xác thực tương tự, đóng vai trò một khoá bảo mật. Cái "bắt tay" phức tạp giữa khoá bảo mật và thiết bị đầu cuối sẽ "giải thoát" cho bạn khỏi nỗi "cực nhọc" phải ghi nhớ những mật khẩu dài dòng, cùng với đó quy trình xác thực sẽ không dễ bị can thiệp và đánh cắp các thông tin nhạy cảm.

Tiêu chuẩn này có tiềm năng thay thế hoàn toàn mật khẩu trong tương lai, và Google đang làm việc tích cực để hướng đến tương lai đó. "Thế giới mà chúng ta đang ký vọng là nơi mà bạn sẽ không bao giờ phải thực hiện những thao tác xác thực cũ kĩ truyền thống, trong đó có mật khẩu," Steven Soneff, quản lý sản phẩm tại Google, trả lời phóng viên trang tinThe Vergenhư vậy. Nếu bạn đã từng đăng nhập vào tài khoản Google trên điện thoại của mình, thì lần tới bạn muốn đăng nhập vào tài khoản này trên một máy khác, bạn chỉ cần sử dụng chiếc điện thoại của mình như một "thiết bị mồi" trung gian và nhờ đó, "bạn sẽ không bao giờ phải "lằng nhằng" với tên đăng nhập và mật khẩu truy cập tài khoản Google của mình nữa".

Với quy trình đăng nhập này, các trang web sử dụng một thành phần của tiêu chuẩn FIDO2 có tên là WebAuthn, một giao thức mở được chấp thuận bởi Hiệp hội World Wide Web (W3C) hồi đầu tháng 3 vừa qua. Hiện chưa có nhiều trang web hỗ trợ tiêu chuẩn này, nhưng con số đó đang ngày càng gia tăng: Dropbox bắt đầu hỗ trợ từ tháng 5 năm 2018, Microsoft nối tiếp vào tháng 12, và sau đó là Google bắt đầu hỗ trợ WebAuthn từ ngày 10 tháng 4 vừa qua. Để đăng nhập bằng tiêu chuẩn này, trình duyệt của bạn cần phải hỗ trợ WebAuthn; hiện nay, các trình duyệt phổ biến như Chrome, Edge, Firefox và Safari đều đã hỗ trợ giao thức này.

Tuy nhiên, tính đến thời điểm hiện tại, mới chỉ có một trong các số trang web trên thực sự chuyển sang chuẩn FIDO2 để thay thế hoàn toàn mật khẩu truyền thông. Hệ thống của Microsoft cho phép bạn có thể sử dụng hoặc Windows Hello hoặc là một khoá bảo mật vật lý làm phương thức bảo mật DUY NHẤT để truy cập tài khoản của mình. Trong khi đó, Google và Dropbox chỉ sử dụng WebAuthn dưới dạng một lớp bảo mật tăng cường bên cạnh mật khẩu truyền thống, tương tự như các ứng dụng xác thực bằng cách tự tạo mã trên điện thoại của bạn. Đây không phải là một điều không tốt. WebAuthn vẫn là một phương thức an toàn hơn nhiều để cung cấp dịch vụ xác thực hai yếu tố, bởi nó không dễ bị đánh cắp như các dãy số đăng nhập gồm 6 chữ ôs mà bạn vẫn thường thấy ngày nay. Tuy nhiên, cách làm này chưa thể khai thác toàn bộ tiềm năng bảo mật của tiêu chuẩn kỹ thuật mới này.

Nhưng hầu hết các công ty vẫn chưa sẵn sàng để loại bỏ hoàn toàn mật khẩu khỏi hệ thống của mình. Soneff nói rằng một tương lai hoàn toàn không có mật khẩu là mục tiêu mà Google đang hướng tới, nhưng gã khổng lồ tìm kiếm không cho biết chi tiết khi nào chức năng này sẽ được triển khai.

Khi Dropbox lần đầu công bố hỗ trợ giao thức WebAuthn vào năm ngoái, công ty cho biết họ tin tưởng rằng "sử dụng WebAuthn cho các quy trình xác thực hai yếu tố sẽ tạo nên sự cân bằng phù hợp cho đa số người dùng ở thời điểm hiện tại." Khi được hỏi kĩ hơn về câu nói này, giám đốc bảo mật của công ty, ông Rajan Kapoor, cho biết, "Chúng tôi hy vọng rằng một ngày trong tương lai, mật khẩu sẽ không còn là lựa chọn duy nhất, hoặc là lựa chọn chính, để người dùng đăng nhập tài khoản." Nhưng, ông cũng không quên bổ sung rằng, "Vẫn còn một số vấn đề liên quan đến tính tiện dụng và khả năng triển khai phổ biến của các giải pháp bảo mật khác, cần có thêm thời gian để giải quyết trước khi chúng hoàn toàn thay thế mật khẩu truyền thống."

Với việc mọi thiết bị chạy hệ điều hành Android hiện đại đều được chứng nhận đạt chuẩn FIDO2, nhận định của Dropbox rằng công nghệ mới này vẫn chưa được triển khai phổ biến có vẻ như đã bớt nghiên trọng hơn rất nhiều. Tuy nhiên, vẫn còn nhiều việc cần phải làm để nâng cao tính khả dụng (và tiện dụng) của công nghệ này. Ví dụ, điều gì xảy ra nếu bạn đánh mất thiết bị dùng để xác thực? Cơ chế khôi phục dùng cho những tình huống như thế này hiện vẫn đang là một vấn đề khó giải quyết, và Google đang xem xét một số cách thức để  xử lý. "Cơ chế khôi phục khi thiết bị bị mất hoặc đánh cắp là điểm yếu lớn nhất mà các tin tặc có thể lợi dụng," Soneff cho biết.

Một vấn đề khác nằm ở những chiếc iPhone. Tiêu chuẩn xác thực FIDO2 sẽ không bao giờ có hy vọng trở thành xu hướng chính trừ khi được iPhone hỗ trợ, và chiếc điện thoại của Apple cũng phải có khả năng được sử dụng làm khoá bảo mật, bên cạnh những chiếc điện thoại Android. Thực ra, các trang web vẫn có thể yêu cầu người dùng iPhone sử dụng một thiết bị riêng để làm khoá bảo mật vật lý, chẳng hạn như chiếc USB Yubico, nhưng Soneff nghĩ rằng việc phải mua một thiết bị phần cứng chuyên dụng để làm khoá bảo mật sẽ là một rào cản lớn khiến cho công nghệ này không được người dùng phổ thông lựa chọn, mà sẽ chỉ phổ biến trong giới doanh nghiệp mà thôi.

Có những tín hiệu cho thấy Apple cũng quan tâm tới việc sử dụng các giao thức bảo mật khác ngoài mật khẩu. Công ty hiện đã cho phép người dùng sử dụng đồng hồ thông minh Apple Watch để đăng nhập vào máy tính Mac. Có tin đồn cho rằng tính năng này sẽ còn được phát triển hơn nữa trong tương lai. Apple hẳn biết rất rõ rằng mật khẩu là một phương thức bảo mật không hoàn thiện, kém an toàn và ẩn chứa rất nhiều vấn đề, và họ chắc chắn đã có kế hoạch thay thế chúng. Tuy nhiên, hiện tại công ty mới chỉ áp dụng các phương thức đăng nhập mới trong hệ sinh thái "đóng" gồm các thiết bị của hãng, chứ chưa chấp nhận một chuẩn công nghiệp phổ biến như FIDO2.

Khi phóng viên The Vergeđặt câu hỏi đối với đại diện của Liên minh FIDO, Brett McDowell về khả năng Apple thiết kế các thiết bị của mình đạt tiêu chuẩn để được chứng nhận FIDO2, ông này từ chối bình luận. Ông chỉ cho biết rằng việc bổ sung tính năng FIDO2 không thực sự cần phải được chứng nhận. Sau cùng thì, đây vẫn là một tiêu chuẩn mở. Ông cũng nói rằng chứng nhận là một "cơ hội" để các nhà sản xuất đảm bảo rằng thiết bị của họ có thể tương thích với những sản phẩm khác trên thị trường và tuân thủ đúng những quy tắc của tiêu chuẩn. Còn không thì, "việc chứng nhận là hoàn toàn tuỳ chọn."

Tuy nhiên, ngay cả khi mọi việc đã được hoàn thành và mọi thứ hoàn chỉnh về mặt công nghệ, thì mật khẩu có lẽ cũng khó có thể biến mất hoàn toàn. McDowell nghĩ rằng mật khẩu sẽ còn tiếp tục tồn tại bên cạnh phương thức xác thực FIDO2 "thêm một khoảng thời gian đáng kể nữa", giống như cách mà đa số điện thoại trên thị trường hỗ trợ song song cả mã PIN và bảo mật sinh trắc học. Bạn có thể sử dụng dấu vân tay để mở khoá điện thoại đến 99,9% số lần sử dụng smartphone, nhưng mã PIN vẫn luôn có mặt ở đó trong các trường hợp cần thiết.

"Thói quen của người dùng và sức ép từ thị trường sẽ khiến mật khẩu trở thành dĩ vãng, nhưng nó sẽ là một dĩ vãng còn được hỗ trợ trong một thời gian dài nữa," McDowell nói. "Qua thời gian, sức ép từ thị trường sẽ khiến mật khẩu giảm đi sức thu hút, chúng sẽ khó có khả năng tồn tại và nếu có thì tính hiệu quả cũng không còn cao nữa."

Theo Google, công ty sử dụng các tính năng theo dõi vị trí này với mục đích cải thiện trải nghiệm của người dùng, như bản đồ được cá nhân hóa, các đề xuất dựa trên địa điểm bạn đã truy cập, giúp tìm điện thoại, cập nhật tình hình giao thông theo thời gian thực về việc đi lại của bạn, và xuất hiện những quảng cáo phù hợp.

Mới đây, một thông tin khá bất ngờ mà nhiều người không biết, đó là Google cũng giúp chính quyền liên bang xác định nghi phạm phạm tội bằng cách chia sẻ lịch sử vị trí của tất cả các thiết bị ở gần hiện trường vụ án trong một khoảng thời gian nhất định.

Cần lưu ý là Google không chia sẻ thông tin cá nhân của tất cả người dùng gần đó. Thay vào đó, hãng sẽ yêu cầu cảnh sát phân tích lịch sử vị trí của tất cả người dùng trước tiên và thu hẹp kết quả. Những “nghi phạm” cuối cùng sẽ được Google cung cấp tên, địa chỉ email và dữ liệu cá nhân khác của họ cho cơ quan chức năng.

Một báo cáo chuyên sâu mới từ New York Times tiết lộ rằng Google duy trì một cơ sở dữ liệu, được biết đến với tên gọi bên trong là Sensvault, chứa các hồ sơ vị trí chi tiết từ hàng trăm triệu điện thoại trên khắp thế giới và chia sẻ với chính quyền trên toàn quốc để đảm bảo nó hữu ích trong các vụ án hình sự.

Theo một số nhân viên giấu tên của Google được trích dẫn trong báo cáo, những yêu cầu truy cập vào cơ sở dữ liệu Sensvault của Google đã tăng đột biến trong sáu tháng qua. Có thời điểm công ty nhận được tới 180 yêu cầu chỉ trong một tuần. Vậy cơ quan thực thi pháp luật sử dụng cơ sở dữ liệu Google SensorVault như thế nào?

Để tìm kiếm dữ liệu vị trí, cơ quan thực thi pháp luật cần phải có một lệnh gọi là "geofence". Sau khi nhận được lệnh, Google thu thập thông tin vị trí từ cơ sở dữ liệu Sensorvault của mình và gửi cho các nhà điều tra, với mỗi thiết bị được xác định bằng mã ID ẩn danh và không phải là danh tính thực của thiết bị.

Sau đó, các nhà điều tra xem xét dữ liệu, tìm kiếm các chứng cứ gần hiện trường vụ án và yêu cầu thêm dữ liệu vị trí trên các thiết bị từ Google có vẻ phù hợp để xem chuyển động của thiết bị cụ thể ngoài khu vực ban đầu được xác định trong lệnh.

Khi các nhà điều tra thu hẹp kết quả cho một vài thiết bị mà họ nghĩ có thể thuộc về nghi phạm hoặc nhân chứng, Google sẽ tiết lộ tên thật, địa chỉ email và các dữ liệu khác được liên kết với các thiết bị.

Các đặc vụ liên bang lần đầu tiên sử dụng kỹ thuật bắt tội phạm này vào năm 2016, từ đó đã được lan truyền đến các bộ phận địa phương trên cả nước, bao gồm cả ở California, Florida, Minnesota và Washington.

Mặc dù kỹ thuật này đã được chứng minh là có hiệu quả, nhưng nó cũng có nhiều sai lầm. Một số trường hợp cho thấy cảnh sát đã sử dụng dữ liệu này để buộc tội những người vô tội.

Một người đàn ông bị bỏ tù một tuần vào năm ngoái trong một cuộc điều tra giết người sau khi được nhận dạng gần địa điểm giết người và sau đó được thả ra sau khi các nhà điều tra xác định và bắt giữ một nghi phạm khác.

Không có gì ngạc nhiên khi các cơ quan thực thi pháp luật tìm kiếm sự giúp đỡ từ các công ty công nghệ trong quá trình điều tra tội phạm, nhưng việc sử dụng cơ sở dữ liệu lịch sử vị trí như Sensorvault đã gây lo ngại về quyền riêng tư của người dùng, thậm chí về việc bị oan khi vô tình liên quan.

An Nhiên (theo The Hacker News)