Facebook Hack tiết lộ những nguy cơ của việc sử dụng một tài khoản để đăng nhập vào các dịch vụ khác
Có một số hiệu ứng dòng chảy từ vụ hack Facebook gần đây. Shutterstock

Facebook công bố vào thứ Sáu, nhóm kỹ thuật của nó đã phát hiện ra một vấn đề bảo mật ảnh hưởng đến gần một triệu tài khoản 50. Do một lỗ hổng trong mã của Facebook, tin tặc đã có thể chiếm đoạt một tài khoản và sử dụng nó giống như cách bạn làm nếu bạn đã đăng nhập vào tài khoản bằng mật khẩu.

Công ty cho biết họ hiện đã khắc phục sự cố trong mã của mình và đặt lại mã thông báo truy cập cho các tài khoản đó - cùng với 40 triệu tài khoản khác dễ bị lỗ hổng. Nếu bạn thấy mình đã đăng xuất khỏi tài khoản Facebook của mình tuần trước, có khả năng bạn đã bị ảnh hưởng.

Ngoài ra, ít ai biết được mức độ vi phạm an ninh. Trong bản cập nhật bảo mật của mình, Facebook cho biết:

"Vì chúng tôi mới chỉ bắt đầu điều tra, chúng tôi vẫn chưa xác định liệu các tài khoản này có bị lạm dụng hay có bất kỳ thông tin nào được truy cập hay không. Chúng tôi cũng không biết ai đứng sau các cuộc tấn công này hoặc chúng dựa vào đâu."

đồ họa đăng ký nội tâm

Nghĩa là gì

Đây không phải là vi phạm dữ liệu tồi tệ nhất cho đến nay. Giải thưởng đó thuộc về phòng tín dụng Equachus, nơi có dữ liệu cá nhân bị đánh cắp từ các tài khoản của 147 triệu người. Nhưng, thật không may cho Facebook, có một số hiệu ứng dòng chảy từ vụ hack gần đây.

Đầu tiên, vi phạm có thể được áp dụng theo Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), được giới thiệu vào tháng Năm. Mặc dù GDPR chỉ áp dụng cho công dân châu Âu, các hình phạt cho vi phạm dữ liệu là nghiêm trọng - lên tới 4% doanh thu toàn cầu mỗi lần vi phạm.

Thứ hai, bất kỳ tài khoản nào trên các nền tảng khác sử dụng xác minh Facebook cũng có nguy cơ. Đó là bởi vì giờ đây, thông thường sử dụng một tài khoản làm xác minh tự động để kết nối với các nền tảng khác, ví dụ như bằng cách sử dụng tài khoản Facebook để đăng nhập vào một nền tảng truyền thông xã hội khác như Twitter, Spotify hoặc Instagram. Điều này được gọi là đăng nhập một lần (SSO).

Cách đăng nhập một lần hoạt động

Nếu bạn kết nối với bất kỳ hệ thống nào, bạn cần một số hình thức xác thực - thường là thông tin đăng nhập như cặp tên người dùng và mật khẩu. Khi bạn có nhiều hệ thống khác nhau, tất cả đều yêu cầu thông tin đăng nhập trước khi bạn có thể sử dụng chúng, đột nhiên bạn phải đối mặt với việc nhớ mười mật khẩu (lý tưởng rất dài) khác nhau.

Một số người có thể làm điều này, nhưng nhiều người không thể. Và chúng tôi vẫn muốn các hệ thống được an toàn. Nếu chúng ta có thể kết nối với một hệ thống được những người khác tin cậy và sử dụng mật khẩu của hệ thống đáng tin cậy, thì chúng ta sẽ không cần mười mật khẩu - chỉ một mật khẩu. Đó là nguyên tắc đằng sau SSO.

Nhưng điều này chỉ hoạt động miễn là hệ thống đáng tin cậy được an toàn. Nếu không, một tội phạm mạng có thể sử dụng tài khoản bị hack trên một nền tảng (trong trường hợp này là Facebook), để truy cập vào bất kỳ nền tảng được kết nối nào khác.

Bạn nên làm gì

Xác thực thường hoạt động vì một trong ba yếu tố:

* một cái gì đó bạn biết, chẳng hạn như mật khẩu

* thứ bạn có, chẳng hạn như thẻ truy cập

* một cái gì đó bạn đang có, chẳng hạn như dấu vân tay.

Rõ ràng, sử dụng nhiều hơn một yếu tố làm tăng tính bảo mật. Trong tài khoản Facebook của bạn, bạn có thể chọn sử dụng xác thực hai yếu tố. Điều đó có nghĩa là bạn sẽ cần nhập mật khẩu của mình cộng với mã được gửi cho bạn qua tin nhắn SMS khi bạn đăng nhập lần sau.

Tương lai của xác minh

Luôn có một sự căng thẳng giữa khả năng sử dụng và bảo mật. Mọi người muốn các hệ thống được bảo mật để danh tính của họ không bị đánh cắp và họ cũng muốn các hệ thống tương tự có thể dễ dàng truy cập. SSO là một nỗ lực để cân bằng giữa khả năng sử dụng và bảo mật, nhưng vụ hack Facebook cho thấy những hạn chế của nó.

Nhiều người không thích mật khẩu, vì vậy họ chọn mật khẩu dễ nhớ và do đó dễ bị phá vỡ. Tội phạm mạng có quyền truy cập vào danh sách hàng triệu mật khẩu phổ biến (gợi ý: Gand Gandalf không độc đáo như bạn nghĩ).

Mã thông báo truy cập, chẳng hạn như thẻ hoặc các thiết bị vật lý khác (ví dụ như được sử dụng bởi một số ngân hàng) là một giải pháp - miễn là bạn không mất nó. Có thể là sử dụng một thuộc tính vật lý duy nhất là cách tốt nhất về phía trước. Rốt cuộc, bạn luôn mang theo dấu vân tay, mống mắt hoặc giọng nói bên mình.

Lưu ýConversation

Mike Johnstone, Nhà nghiên cứu bảo mật, Phó giáo sư về các hệ thống kiên cường, Đại học Edith Cowan

Bài viết này được tái bản từ Conversation theo giấy phép Creative Commons. Đọc ban đầu bài viết.

Sách liên quan

at Thị trường InnerSelf và Amazon