Bảo mật 2 yếu tố của Apple có thể biến iPhone thành... cục gạch

Vụ việc không may xảy đến với một biên tập viên của trang công nghệ The Next Web cho thấy, Apple không chỉ thực hiện xác thực 2 yếu tố một cách vô cùng ngớ ngẩn mà còn quá máy móc và coi thường người dùng.

Scandal rò rỉ ảnh nóng của một loạt các nữ diễn viên trong tháng 9 vừa qua có thể là vì các nạn nhân đã vô tình cung cấp mật khẩu do bị lừa đảo dạng phishing (giả mạo danh tính), nhưng tình trạng bảo mật yếu kém trên iCloud cũng có thể đã là nguyên nhân gây ra "thảm họa" này. Theo phỏng đoán của nhiều người, hacker hoàn toàn có thể đã tấn công bruteforce, một kiểu tấn công bằng cách thử nghiệm hàng loạt mật khẩu cho tới khi mò ra được mật khẩu của nạn nhân.

Hình thức tấn công này có thể bị ngăn chặn bởi xác thực 2 yếu tố - một hình thức bảo mật đòi hỏi cả mật khẩu chính xác lẫn mã xác thực mỗi khi đăng nhập từ thiết bị lạ. Mã xác thực này có thể được gửi tới một thiết bị/tài khoản mà bạn chắc chắn nắm quyền kiểm soát hoặc lấy từ token/ứng dụng tạo mã xác thực trên một chiếc smartphone mà bạn khó có thể làm mất. Trong trường hợp của các nữ diễn viên kém may mắn kia, hacker sẽ không thể truy cập được vào tài khoản của họ dù đã có mật khẩu chính xác. Lý do là bởi chúng vẫn cần thêm mã xác thực gửi tới smartphone hoặc một thiết bị đáng tin cậy khác được người dùng chỉ định.

Ngay sau khi scandal xảy ra, Apple đã ra mắt hình thức xác thực 2 yếu tố trên tài khoản Apple ID. Rất tiếc, tính năng xác thực 2 yếu tố - hay nói đúng hơn là cách xử lý sự cố của Apple khi có trục trặc với xác thực 2 yếu tố, có thể biến cơn ác mộng của bạn thành sự thật. Cụ thể, Apple sẽ biến chiếc iPhone quý giá của bạn thành cục gạch đúng nghĩa trong trường hợp... có kẻ xấu đang đăng nhập vào tài khoản của bạn.

Hiểu về tính năng xác thực 2 yếu tố trên Apple ID

Biên tập viên Owen Williams của trang The Next Web đã không may mắn phải trải qua điều này. Một người lạ đã cố tình đăng nhập vào tài khoản iTunes của Owen – và theo đúng như cách hoạt động thông thường, quá trình đăng nhập này đã bị chặn. Song, do kẻ xấu đã cố đăng nhập quá nhiều lần, hệ thống bảo mật của Apple cũng đã thực hiện khóa tài khoản của Owen.

Xác thực 2 yếu tố giúp bảo vệ tài khoản của bạn ngay cả khi kẻ xấu đã biết mật khẩu của bạn.

Với các tài khoản mạng thông thường, tính năng xác thực 2 yếu tố được thực hiện rất đơn giản: bạn đăng nhập vào tài khoản của mình với tài khoản và mật khẩu chính xác. Dịch vụ mà bạn đang đăng nhập sẽ gửi một mật khẩu (thường là dãy số hoặc chuỗi ký tự ngẫu nhiên) tới một thiết bị/tài khoản được tin cậy của bạn – một thiết bị/tài khoản mà bạn dám chắc sẽ không bao giờ mất quyền kiểm soát. Điều này có nghĩa rằng dịch vụ trên sẽ gửi mật khẩu thứ 2 qua tin nhắn SMS vào số điện thoại của bạn, một địa chỉ email bí mật khác của bạn. Hoặc dịch vụ này sẽ yêu cầu mật khẩu tự sinh từ một ứng dụng xác thực (Authenticator) trên smartphone hoặc token (tương tự như khi bạn sử dụng dịch vụ Internet Banking). Bạn cung cấp lại chuỗi số/ký tự này cho dịch vụ đang đăng nhập và sau đó truy cập vào tài khoản của mình một cách bình thường.

Điểm yếu của xác thực 2 yếu tố là bạn hoàn toàn có thể mất quyền truy cập vào tài khoản vĩnh viễn nếu như để mất thiết bị được tin cậy của mình. Để khắc phục tình trạng này, Apple cung cấp cho người dùng tính năng recovery key (chìa khóa hồi phục). Đây là một chuỗi 14 ký tự được sinh ngẫu nhiên khi bật xác thực 2 yếu tố. Bạn sẽ cần phải in recovery key ra giấy và cất giữ cẩn thận. Thậm chí, nếu mất recovery key, bạn sẽ phải truy cập vào một thiết bị được tin cậy khác để tạo recovery key mới.

Cơn ác mộng khi quên không in và cất giữ recovery key một cách cẩn thận

Apple khẳng định người dùng vẫn có thể lấy recovery key từ một thiết bị được tin cậy

"Miễn là nhớ mật khẩu Apple ID và vẫn có thể truy cập một trong số các thiết bị được tin cậy, bạn có thể đăng nhập và tạo lại recovery key". Đây chính là điểm ngớ ngẩn của Apple: bạn sẽ phải đăng nhập vào tài khoản Apple ID đã bị khóa trên một thiết bị được tin cậy để tiến hành tạo mới recovery key nhằm... mở khóa tài khoản.

Do tài khoản của Owen đã bị khóa hoàn toàn, anh chàng xấu số này sẽ không thể đăng nhập lại vào tài khoản Apple ID ở bất cứ đâu. Biện pháp hồi phục của Apple là hoàn toàn vô ích. Owen buộc phải tìm thấy recovery key đã in của mình nhằm hồi phục lại Apple ID đã bị khóa.

Vấn đề là ở chỗ anh chàng xấu số này cũng đã không lưu recovery key của mình một cách cẩn thận:;"Tôi đã lục tung cả căn nhà để tìm recovery key một cách sợ hãi, và sau một vài giờ 'đau khổ' đành bỏ cuộc và bắt đầu tìm kiếm trên máy tính. Tôi lưu rất nhiều mật khẩu 'hồi phục', nhưng chúng không phải dành cho Apple, mà là cho mã hóa ổ cứng trên máy Mac, Twitter, Facebook, và rất nhiều tài khoản khác, nhưng không phải là Apple ID.

Đây là thời điểm mà tôi nhận ra rằng tài khoản duy nhất này cũng là chìa khóa cho phần lớn cuộc sống số của tôi: Tất cả mọi thứ từ các nội dung mua từ iTunes 7 năm trước, các ứng dụng và thậm chí là khả năng giải thoát iPhone khỏi bộ khóa Find My iPhone".

Một điều ngớ ngẩn khác là trang hỗ trợ của Apple khẳng định người dùng chỉ cần có 2 trong số 3 yếu tố: mật khẩu, một thiết bị được tin cậy và recovery key. Rõ ràng, Owen đã có cả mật khẩu lẫn thiết bị được tin cậy - nhưng do cách thực hiện rất ngớ ngẩn của Apple, thiết bị được tin cậy và mật khẩu của Owen là hoàn toàn vô nghĩa trong trường hợp này.

Quá trình chăm sóc khách hàng đáng chê trách của Apple

Điều tồi tệ hơn cả là Apple kiên quyết không chịu hỗ trợ Owen. Không có chìa khóa hồi phục, Owen coi như sẽ mất Apple ID của mình vĩnh viễn. Bộ phận hỗ trợ liên tục khẳng định với Owen rằng họ không thể cung cấp lại quyền truy cập cho anh – cùng lúc nhấn mạnh rằng Apple rất chú trọng vấn đề bảo mật.

Nhà báo này thậm chí còn đã rất nhiều lần phải gọi điện tới tổng đài hỗ trợ của Apple. Lần đầu, anh chàng bị từ chối thẳng thừng. Lần thứ hai, Owen gặp được một nhân viên hỗ trợ có vẻ cảm thông hơn - nhưng kết quả vẫn là "tại Apple chúng tôi rất coi trọng vấn đề bảo mật, tài khoản Apple ID này sẽ bị khóa trừ khi bạn tìm thấy recovery key của mình". Điệp khúc này được lặp đi lặp lại tới 5, 6 lần, nhưng kết quả vẫn là biên tập viên xấu số này buộc phải chấp nhận sẽ mất toàn bộ thế giới số đã có trước đó của mình.

Công ty của Tim Cook còn tỏ ra đặc biệt vô lý khi không chấp thuận cho yêu cầu của Owen - ngay cả khi anh này đã đưa ra các giấy tờ tùy thân có giá trị pháp lý. Trong vòng 24 giờ, các dịch vụ đi kèm với Apple ID (như iMessage) bắt đầu bị khóa, khiến cho trải nghiệm không may của anh chàng thực sự trở thành một cơn ác mộng.

Recovery key là "cứu cánh" khi bạn mất thiết bị được tin cậy hoặc mất mật khẩu. 

Thật may mắn, sau rất nhiều lần cố tìm cách thuyết phục Apple nhưng bất thành, Owen cuối cùng cũng đã tìm ra một bức ảnh chụp chiếc iPhone có ghi recovery key. Nhưng cây bút công nghệ này vẫn cảm thấy thất vọng tràn trề: "Điều bực mình là đó không phải lỗi của tôi. Ai đó đã tìm cách đăng nhập vào tài khoản của tôi khiến cho nó bị khóa. Tôi không làm điều gì sai, ấy vậy mà tôi bị khóa hoàn toàn vì đơn giản là không thể tìm thấy recovery key của mình.

Thật là ngược đời khi biết rằng, tính năng xác thực 2 yếu tố vốn được thiết kế để tăng cường bảo mật cho tôi cuối cùng lại khóa không cho tôi truy cập thiết bị của mình."

Câu chuyện của Owen đã kết thúc đôi phần có hậu. Nhưng rõ ràng, công ty của Tim Cook sẽ cần phải xem lại những biện pháp bảo mật vô cùng lố bịch như hiện nay: Trong vòng 3 tháng, người dùng đi từ chỗ đối mặt với nguy cơ lộ thông tin nhạy cảm đến chỗ... tự tay biến điện thoại của mình thành cục gạch và đem đốt toàn bộ tài sản thông tin số. Tất cả chỉ là vì mô hình bảo mật của Apple quá ngớ ngẩn (bắt đăng nhập vào tài khoản đã bị khóa để lấy chìa khóa hồi phục cho... tài khoản đã bị khóa) và bởi hệ thống hỗ trợ khách hàng của Táo cũng quá máy móc và vô dụng khi khách hàng thực sự cần đến.

Hãy lưu giữ recovery key cẩn thận.

Bài học rút ra cho bạn? Hãy cứ bật xác thực 2 yếu tố nếu như bạn lo ngại về bảo mật thông tin cho iCloud/Apple ID của mình. Nhưng hãy in và lưu trữ recovery key của mình một cách cẩn thận nếu không muốn gặp cơn ác mộng như Owen. Và đừng tin lời Apple, bởi ngay cả khi đã có thiết bị được tin cậy và mật khẩu hợp lệ, bạn vẫn KHÔNG THỂ hồi phục cho tài khoản iCloud đã bị khóa!

Lê Hoàng

Tổng hợp từ BGR và TheNextWeb