Quản lý mật khẩu trên mạng internet
Vấn đề bảo mật trực tuyến có thể làm nhiều người dùng cảm thấy choáng ngợp. Hai chuyên gia của Google là Mark Risher và Stephan Micklitz thảo luận về những cảm xúc cần được cân nhắc khi phát triển các biện pháp bảo mật
Thưa ông Risher, là Giám đốc quản lý sản phẩm tại Google phụ trách lĩnh vực bảo mật trực tuyến, ông đã bao giờ mắc phải một vụ lừa đảo trên mạng chưa?
Ông Mark Risher: Giờ tôi không nghĩ ra ngay được một ví dụ cụ thể, nhưng tôi nghĩ là có. Tôi cũng mắc sai lầm như bất cứ người nào khác khi lướt web. Ví dụ: gần đây, tôi nhập mật khẩu Google của mình vào nhầm một trang web. Rất may là tôi đã cài tiện ích Cảnh báo mật khẩu của Chrome nên nó đã cảnh báo tôi về sai lầm đó. Sau đó, đương nhiên là tôi đổi mật khẩu ngay lập tức.
Ông Stephan Micklitz, Giám đốc kỹ thuật của nhóm Quyền riêng tư và bảo mật của Google: Chúng ta chỉ là con người mà thôi. Một khi đã nhớ được một mật khẩu, chúng ta rất dễ nhập mật khẩu đó mà không để ý kỹ nơi mình đang nhập.
Ông Risher: Chúng tôi muốn loại bỏ hoàn toàn mật khẩu, nhưng đáng tiếc là chuyện không dễ dàng như vậy.
"Nhiều biện pháp bảo mật hoạt động ở chế độ nền."
Mark Risher
Vì sao mật khẩu lại không tốt?
Ông Risher: Mật khẩu có rất nhiều điểm bất lợi như dễ bị đánh cắp, khó nhớ và khó quản lý. Nhiều người dùng cho rằng mật khẩu càng dài và phức tạp thì càng tốt, nhưng trên thực tế, việc đó lại làm tăng rủi ro bảo mật. Mật khẩu phức tạp sẽ khiến mọi người muốn sử dụng lại chúng cho nhiều tài khoản, từ đó khiến họ càng dễ bị tấn công hơn.
Ông Micklitz: Tần suất nhập mật khẩu càng thấp thì càng tốt. Đó là lý do bạn không nên liên tục đăng nhập và đăng xuất khỏi các tài khoản. Theo thời gian, việc này có thể khiến người dùng không chú ý đến trang web mà họ đang sử dụng, tạo điều kiện dễ dàng hơn rất nhiều cho kẻ trộm mật khẩu. Vậy nên, chúng tôi khuyến cáo người dùng duy trì trạng thái đăng nhập.
Trang web của ngân hàng mà tôi dùng tự động đăng xuất tôi nếu tôi không sử dụng tài khoản trong vài phút.
Ông Micklitz: Không may là nhiều công ty vẫn đang áp dụng các quy tắc đã lỗi thời. Lời khuyên liên tục đăng xuất có từ thời mà hầu hết mọi người sử dụng internet ở các quán cà phê Internet hoặc dùng chung máy tính với người khác. Nghiên cứu của chúng tôi cho thấy mọi người nhập mật khẩu càng nhiều lần thì xác suất họ trở thành nạn nhân của những vụ tấn công mạng càng cao. Do đó, để được an toàn hơn, bạn chỉ cần kích hoạt khoá màn hình trên điện thoại di động hoặc máy tính và dùng một mật khẩu an toàn.
Ông Risher: Đúng vậy. Không may là có rất nhiều lời khuyên sai lệch và không thật sự hữu ích đang được lan truyền, khiến người dùng cảm thấy bối rối. Tình huống xấu nhất là mọi người cảm thấy mông lung đến mức chẳng còn thiết tha nữa: "Bảo vệ bản thân mà khó đến vậy thì không làm còn hơn." Chuyện này tương tự việc bạn để cửa chính mở khi biết xung quanh có trộm.
Google sẽ làm gì để đảm bảo an toàn cho người dùng nếu mật khẩu không được sử dụng nữa?
Ông Risher: Chúng tôi đã triển khai nhiều biện pháp bảo mật bổ sung hoạt động ở chế độ nền. Tin tặc có thể biết được mật khẩu và số điện thoại di động của bạn, nhưng chúng tôi vẫn có thể đảm bảo 99,9% là Tài khoản Google của bạn được an toàn. Ví dụ: chúng tôi kiểm tra thiết bị hoặc quốc gia nơi một tài khoản được đăng nhập vào. Nếu có người cố gắng đăng nhập vào tài khoản của bạn nhiều lần mà liên tục nhập sai mật khẩu, thì hệ thống bảo mật của chúng tôi sẽ kích hoạt báo động.
Ông Micklitz: Chúng tôi cũng đã phát triển tính năng Kiểm tra bảo mật cho phép người dùng từng bước kiểm tra các chế độ cài đặt bảo mật cá nhân trong Tài khoản Google của họ. Chúng tôi cũng tăng cường hơn nữa thông qua Chương trình Bảo vệ nâng cao.
Lý do nào đã dẫn đến chương trình này?
Ông Micklitz: Lúc đầu, chúng tôi xây dựng chương trình này cho các chính trị gia, giám đốc điều hành hoặc nhà báo, những người mà tội phạm có thể đặc biệt chú ý đến. Nhưng hiện nay, bất kỳ ai muốn được tăng cường bảo vệ trên mạng đều có thể tham gia chương trình này. Chỉ những người có thiết bị USB hoặc khóa Bluetooth đặc biệt mới có thể truy cập được vào Tài khoản Google được bảo vệ.
Ông Risher: Tại Google, toàn bộ nhân viên đều dùng khoá bảo mật để bảo vệ tài khoản công việc của họ, chính vì vậy, chúng tôi biết được tính hiệu quả của hệ thống này. Từ khi áp dụng biện pháp bảo mật này, chúng tôi chưa từng gặp phải trường hợp tấn công giả mạo nào phát sinh từ việc xác nhận mật khẩu. Khoá bảo mật giúp nâng cao đáng kể độ an toàn cho Tài khoản Google, vì kể cả khi kẻ tấn công biết mật khẩu thì chúng cũng không thể truy cập vào tài khoản nếu không có khoá bảo mật. Nhìn chung, một tài khoản trực tuyến có thể bị tấn công từ bất kỳ nơi nào trên thế giới, nhưng điều này sẽ không thể xảy ra đối với những tài khoản được bảo vệ bằng thiết bị bảo mật vật lý.
Ông Micklitz: Nhân đây tôi muốn nói thêm rằng các thiết bị bảo mật này có thể dùng cho nhiều trang web, chứ không chỉ cho Chương trình Bảo vệ nâng cao của Google. Bạn có thể mua thiết bị này với giá rẻ tại Google hoặc các nhà cung cấp khác. Bạn có thể xem toàn bộ thông tin tại đây g.co/advancedprotection.
"Đôi khi mọi người thấy khó đánh giá các rủi ro trên Internet."
Stephan Micklitz
Theo ông thì trên Internet hiện nay, những mối nguy hiểm nào là đáng lo ngại nhất?
Ông Risher: Có rất nhiều danh sách tên người dùng và mật khẩu tồn tại trên internet. Đồng nghiệp của chúng tôi là ông Tadek Pietraszek và nhóm của ông ấy đã phát hiện 3,5 tỷ tổ hợp tên người dùng và mật khẩu sau 6 tuần tìm kiếm trên Internet. Dữ liệu này không phải là từ những Tài khoản Google bị tấn công mà là dữ liệu bị đánh cắp từ các nhà cung cấp dịch vụ khác. Tuy nhiên, vì quá nhiều người sử dụng cùng một mật khẩu cho nhiều tài khoản, nên các danh sách này cũng gây ra vấn đề cho chúng tôi.
Ông Micklitz: Tôi nghĩ lừa đảo có chủ đích là một vấn đề rất lớn. Đó là khi kẻ tấn công viết ra một email được chỉnh sửa vô cùng khôn khéo cho phù hợp với nạn nhân đến mức nạn nhân không thể nhận ra được ý định lừa đảo. Chúng tôi thấy tin tặc sử dụng thủ đoạn này ngày càng nhiều, và chúng thực hiện trót lọt.
Ông Risher: Tôi đồng ý với Stephan. Ngoài ra, thủ đoạn lừa đảo có chủ đích thật ra không tốn nhiều thời gian. Chỉ mất vài phút để điều chỉnh email cho phù hợp với từng cá nhân. Tin tặc có thể dùng những thông tin mà người dùng đăng trên mạng về bản thân họ. Đây là một vấn đề liên quan đến các loại tiền mã hoá.
Ông Micklitz: Không ai rêu rao về số dư trong tài khoản ngân hàng của mình ở nơi đông người. Nhưng đôi khi chúng ta lại mất cảnh giác trên mạng và để rò rỉ thông tin, chẳng hạn như số Bitcoins mình có.
Thư rác thông thường có còn là vấn đề không?
Ông Risher: Một thách thức lớn đối với chúng tôi hiện nay là các thiết bị và dịch vụ liên kết với nhau ngày càng nhiều. Máy tính xách tay và điện thoại thông minh không còn là công cụ duy nhất mọi người dùng để lên mạng – họ cũng dùng cả TV, đồng hồ thông minh và loa thông minh. Nhiều ứng dụng chạy trên tất cả những thiết bị này, tạo ra nhiều sơ hở mà tin tặc có thể lợi dụng để tấn công. Chưa hết, vì nhiều thiết bị nay được kết nối với nhau, nên tin tặc có thể dùng một thiết bị để cố gắng truy cập vào thông tin lưu trên một thiết bị khác. Vậy nên giờ đây, chúng tôi phải giải quyết vấn đề: Làm cách nào để bảo vệ người dùng trước rất nhiều thói quen sử dụng mới?
Ông Micklitz: Chúng tôi bắt đầu bằng cách đặt ra câu hỏi: dữ liệu nào là thực sự cần thiết cho mỗi dịch vụ và dữ liệu nào được trao đổi giữa các dịch vụ?
Google áp dụng trí tuệ nhân tạo như thế nào để giúp bảo vệ người dùng?
Ông Micklitz: Google dùng trí tuệ nhân tạo tính đến nay cũng đã được khá lâu.
Ông Risher: Công nghệ này được tích hợp trong dịch vụ email của chúng tôi, tức là Gmail, ngay từ ban đầu. Google thậm chí còn xây dựng một thư viện công nghệ máy học riêng có tên là TensorFlow để hỗ trợ cho công việc của các lập trình viên trong lĩnh vực máy học. TensorFlow rất giỏi trong việc nhận dạng các quy luật điển hình, điều này đặc biệt có ích cho Gmail.
Hai ông có thể giải thích cách hoạt động của công nghệ nhận dạng quy luật này không?
Ông Risher: Giả sử chúng tôi quan sát những hoạt động đáng ngờ, không thể phân loại được ở một số người dùng. Một mô hình máy tự học có thể so sánh các sự kiện này để, và trong tình huống khả quan nhất, phát hiện các dạng lừa đảo mới trước khi chúng kịp bắt đầu phát tán trên mạng.
Ông Micklitz: Nhưng cũng có điểm hạn chế là hiệu quả của máy phụ thuộc vào người sử dụng. Nếu tôi cung cấp cho máy dữ liệu sai hoặc dữ liệu một chiều, thì những quy luật máy nhận dạng được cũng sẽ sai hoặc lệch về một phía. Tuy công nghệ này nhận được rất nhiều sự quan tâm, nhưng hiệu quả của nó thì luôn phụ thuộc vào người sử dụng. Người dùng chính là người huấn luyện máy bằng cách cung cấp dữ liệu chất lượng cao và sau đó kiểm tra kết quả.
Ông Risher: Lúc tôi còn làm việc cho một nhà cung cấp dịch vụ email khác, có lần chúng tôi nhận được email của một nhân viên ngân hàng ở Lagos. Thời điểm đó có rất nhiều email lừa đảo bị phát tán – có người cho là chúng đến từ Nigeria. Người đàn ông này than rằng email của ông bao giờ cũng bị đẩy vào thư mục thư rác của người nhận, dù ông làm việc cho một ngân hàng uy tín. Đây là một trường hợp điển hình của vấn đề tổng hợp hoá sai do thiếu hụt thông tin ở công nghệ nhận dạng quy luật. Chúng tôi đã giúp giải quyết được vấn đề này bằng cách thay đổi thuật toán.
Ảnh: Conny Mirbach
Những tiến bộ về an ninh mạng
Tìm hiểu cách chúng tôi bảo vệ an toàn cho nhiều người trên mạng hơn mọi cá nhân và tổ chức khác trên toàn thế giới.
Tìm hiểu thêm