Ý tưởng này rất đơn giản. Khi bạn thử đăng nhập vào tài khoản iCloud của mình thì Apple gửi đến điện thoại của bạn một mã số gồm 4 chữ số, và bạn nhập mã số ấy vào cùng với mật khẩu để hoàn tất đăng nhập. Theo cách này, nếu ai đó có được mật khẩu của bạn thì họ vẫn còn thiếu mã số nên không vào được, ngoại trừ họ có luôn điện thoại của bạn.
Xác thực 2 lớp sẽ dễ dàng hơn với Sound-Proof. Nhưng công nghệ này mới chỉ ở bước phát triển. |
Xác thực 2 bước tăng cường tính bảo mật tốt hơn so với chỉ dùng một mật khẩu, và bạn cũng có thể kích hoạt kiểu xác thực này ở mọi dịch vụ phổ biến trên web hiện nay như Gmail, Facebook, Twitter và cả tài khoản ngân hàng trực tuyến.
Mỗi khi bạn muốn đăng nhập một trang web nào đó, bạn phải lấy điện thoại ra, mở khóa điện thoại và đợi mã xác thực, rồi gõ nó vào trình duyệt. Nếu bạn gõ quá chậm thì có thể mã xác thực này sẽ thay đổi và bạn phải làm lại lần nữa. Đối với một số người, việc này quá rắc rối, nên thà bị tấn công còn hơn.
Nhưng một đội ngũ nhà nghiên cứu ở viện công nghệ Zurich - Thuỵ Sỹ, vừa mới tìm ra một cách mới để giúp cách xác thực 2 bước này dễ dàng hơn, thuận tiện hơn. Tại hội nghị bảo mật Usenix vừa mới diễn ra, đội chuyên gia này đưa ra một công cụ có tên là Sound-Proof.
Cụ thể là khi bạn tìm cách đăng nhập vào một trang web có cài Sound-Proof thì máy chủ sẽ ping một ứng dụng trên điện thoại của bạn. Sau đó, cả điện thoại và trình duyệt web sẽ ghi lại vài giây âm thanh ấy. Bạn không cần mở khóa điện thoại, hoặc thậm chí lấy điện thoại ra khỏi túi/ví vì đoạn ghi âm được tự động nhận diện trên máy chủ.
Sau đó, phần mềm này tạo ra mỗi chữ ký số dựa trên âm thanh đó và tải lên máy chủ, máy chủ sẽ so sánh hai chữ ký với nhau. Nếu khớp, máy chủ sẽ cho rằng điện thoại với máy tính mà bạn đăng nhập ở cùng một chỗ và cấp phép cho bạn đăng nhập vào tài khoản web. Âm thanh xác thực ấy chỉ như tiếng máy lạnh, hay tiếng ly tách va chạm, hay tiếng xe cộ từ xa mà thôi.
Có thể bạn nghĩ công nghệ này tựa như Shazam, là ứng dụng nhận diện bài hát. Nhưng Claudio Marforio, một trong những đồng tác giả của nghiên cứu này, cho biết rằn các thuật toán bên dưới hoàn toàn khác với Shazam. Để bảo vệ tính riêng tư, ứng dụng Sound-Proof sẽ không tự tải âm thanh lên, chỉ tải chữ ký số mà thôi. Và để tiết kiệm pin, ứng dụng không bắt đầu ghi âm cho đến khi nó nhận một thông báo từ máy chủ.
Nghiên cứu này cũng đưa ra những khảo sát về tính thực tế nếu áp dụng. Kết quả khảo sát cũng cho thấy hầu hết người dùng đều thích sử dụng Sound-Proof hơn cách xác thực 2 bước của Google, ít nhất là trong vài tình huống. Tuy nhiên, không chỉ có mỗi Sound-Proof đưa ra giải pháp này. Có một số công ty khác, như Authy, cũng tạo ứng dụng để truyền dữ liệu qua Bluetooth mà không cần người dùng đụng chạm gì vào. Vấn đề ở đây là cách làm này đòi hỏi bạn phải cài một phần mềm khác vào hay cấp quyền cho một phần mềm bên thứ ba truy cập vào dịch vụ trực tuyến của bạn. Tóm lại, Sound-Proof yêu cầu bạn cài một ứng dụng di động hẳn hoi, không phải plug-in hay phần mềm trên desktop hay laptop.
Dĩ nhiên, sẽ có lỗ hổng bảo mật nào đó. Một trong những điểm yếu dễ thấy nhất là nếu ai đó ngồi cùng phòng với bạn, như trong quán cafe, có được mật khẩu của bạn, nên họ có thể truy cập được vào tài khoản. Cũng có những khả năng là nếu ai đó đang xem cùng chương trình TV hay nghe đài với bạn, họ cũng có thể lén lút yêu cầu mã xác thực ấy, tùy vào âm thanh trong gian phòng, cũng như chênh lệch về độ trễ. Nhưng các nhà nghiên cứu cho rằng các kiểu tấn công như vậy không phổ biến. Ngoài ra, họ cho rằng tốt nhất sử dụng xác thực 2 bước vẫn tốt hơn rất nhiều so với chỉ dùng mỗi mật khẩu.
Đến nay, Sound-Proof mới chỉ là dự án nghiên cứu. Tuy nhiên, Marforio cho rằng ứng dụng sẽ sớm được áp dụng.
Nguồn: PC World VN