(tuoitre.vn)Giám đốc một công ty công nghệ chê hệ thống đăng nhập hệ thống trực tuyến của một ngân hàng 'ngu'. Chuyên gia an toàn thông tin chỉ ra những điểm "nghiệp dư" trong bài đăng.
Giám đốc một công ty công nghệ, ông N.D.N đăng tải một bài viết lên tài khoản Facebook, dùng nhiều lời lẽ không hay chê bai hệ thống đăng nhập ngân hàng trực tuyến của một ngân hàng có tiếng, lẫn những người phụ trách là 'ngu dốt', và cả người trực tổng đài hỗ trợ.
Bài viết này xin phép không đưa tên cụ thể của nhân vật và tên ngân hàng được nhắc đến. Mục đích của bài viết này nhằm chia sẻ những ý kiến và kiến thức về an toàn thông tin mà người tiêu dùng phổ thông, và bao gồm cả người làm kỹ thuật cần phải nắm bắt, đặc biệt là khi tiếp cận các dịch vụ trực tuyến trong thời đại công nghệ số hiện nay.
Chê ngân hàng trực tuyến 'ngu', bị chuyên gia chỉ ra cái dốt |
Tuy nhiên, bài viết của ông N. đã được phân tích và chỉ ra những điểm sai bởi một chuyên gia an toàn thông tin (ATTT), nhà sáng lập cộng đồng nghiên cứu bảo mật VNSecurity Thanh Nguyen.
Đây là một ví dụ khá điển hình về chuyện cân đối giữa an toàn thông tin với sự tiện dụng của người dùng cũng như phản ánh thực trạng thiếu nhận thức về an toàn thông tin của người dùng, kể cả đối với dân IT đã làm kỹ thuật lâu năm. Thanh Nguyen, nhà sáng lập VNSecurity
Nhịp Sống Số xin trích dẫn bài viết của anh Thanh Nguyen để bạn đọc hiểu rõ hơn vì sao ngân hàng và các dịch vụ giao dịch tài chính trực tuyến như ví điện tử buộc phải 'khó khăn' với khách hàng khi sử dụng hệ thống giao dịch trực tuyến để bảo vệ chính họ.
Trong bài viết, ông N. chê kiểu 'đăng nhập sai mật khẩu (password) 3 lần là bị tạm khóa tài khoản'. Theo anh Thanh, chính sách nhập sai mật khẩu liên tiếp nhiều lần sẽ tạm khoá tài khoản eBanking được tạo ra với mục đích là để bảo vệ tài khoản của khách hàng, trong đó có chính bạn.
'Chính sách này thường luôn được quy định trong các tiêu chuẩn về ATTT mà các tổ chức tài chính, ngân hàng, cổng thanh toán phải tuân thủ. Ví dụ tiêu chuẩn PCI DSS quy định phải tạm khoá tài khoản nếu số lần nhập sai mật khẩu liên tiếp vượt quá 6 lần.', anh Thanh Nguyen viết.
Cũng cần nói thêm về quy định chung đối với tổ chức tài chính và ngân hàng, mục 3 Điều 8 trong Thông tư 35/2016/TT-NHNN ban hành bởi Ngân hàng Nhà nước Việt Nam 'Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet' có nêu rõ 'Phần mềm ứng dụng phải xác thực người dùng khi truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần, phần mềm ứng dụng phải tự động khoá tạm thời không cho khách hàng tiếp tục sử dụng.'
Trên thực tế, các dịch vụ giao dịch tài chính trực tuyến hiện nay như Paypal đều rất nghiêm ngặt ở phần 'số lần nhập sai mật khẩu' dẫn đến tạm khóa tài khoản. Phải dùng các bước khôi phục lại mật khẩu bằng các câu hỏi bí mật, mã nhận diện... Tất cả bước trên đều nhằm tránh tài khoản của bạn rơi vào tay kẻ gian khi chúng đoán mật khẩu.
Kế đến, ông N. chê 'Mật khẩu bắt đặt đủ chữ hoa, thường, số và ký tự đặc biệt nên không dùng được password quen thuộc'
'Việc tạo thói quen đặt mật khẩu đủ tốt, đủ phức tạp là cần thiết để bảo vệ chính bản thân bạn. Tất nhiên đừng đặt ra luật phức tạp quá vì có thể khiến người dùng khó nhớ... có khi lại lấy giấy ra ghi mật khẩu rồi dán lên màn hình', chuyên gia VNSecurity chia sẻ.
'Xét ở góc độ hệ thống eBanking thì yêu cầu mật khẩu gồm chữ HOA, thường, số và ký tự đặc biệt cũng không có gì quá đáng lắm (Paypal hay Stripe hay Apple đều yêu cầu tương tự). Đúng là có những tranh luận nhất định về "được" và "mất", tính hiệu quả của chính sách, độ phức tạp của mật khẩu và NIST SP 800-63 mới tăng độ ưu tiên cho tính khả dụng (usability) hơn. Nhưng nói việc này là cổ hủ ngu ngốc và giới nghiên cứu bảo mật chỉnh đốn từ lâu thì sai rõ rồi.'
'Việc bạn N. muốn dùng mật khẩu quen thuộc cho tài khoản eBanking là một việc đặc biệt không nên làm nhưng hầu hết người dùng đều mắc phải. Không nên dùng chung mật khẩu cho các tài khoản khác nhau, đặc biệt là với các tài khoản quan trọng như eBanking vì tiền của mình trong đó. Khi dùng chung mật khẩu, nếu một trong những tài khoản của bạn bị lộ mật khẩu thì bạn sẽ mất cả những tài khoản quan trọng khác nữa.', anh Thanh Nguyen nói về sai lầm kế tiếp trong bài viết của ông N.
Ông N. viết 'Mã xác thực (Captcha) đần độn không có tác dụng gì với kẻ tấn công'
Chuyên gia Thanh Nguyen tiếp tục phân tích nhận định chủ quan này: 'Captcha có tác dụng hạn chế một phần tấn công brute-force (*) cũng như các công cụ tự động, mặc dù cách làm Captcha của ngân hàng đơn giản nhưng nói Captcha đần độn không có tác dụng gì thì hơi quá.'
(*) Brute-force hiểu cơ bản là một dạng tấn công bẻ khóa nhằm giải mã dữ liệu mã hóa như mật khẩu tài khoản bằng cách thử liên tục các mật khẩu.
Ngoài dạng tấn công mạng brute-force, các công cụ đăng nhập tự động kiểu 'bot' sẽ bị hệ thống mã xác thực Captcha ngăn chặn khá hiệu quả. Ngày nay, có nhiều dạng Captcha mới hơn để chống các loại 'bot' cải tiến như người dùng cần nhấn vào các hình theo chủ đề gợi ý trong hàng loạt hình hiện ra.
Cuối cùng, ngoài ba điều mà ông N. cho là 'phiền phức' và 'đần độn' thì các ngân hàng và tổ chức tài chính ngày nay còn khuyến khích hoặc yêu cầu người dùng sử dụng thêm cơ chế xác thực 2 lớp (2FA), tức một lớp mã số xác thực ngẫu nhiên gửi qua tin nhắn SMS đến điện thoại, hoặc Token... bên cạnh lớp mật khẩu.
Các dịch vụ trực tuyến có lượng người dùng đông đảo hiện nay như Google, Apple, Microsoft, Twitter, Facebook,... đều có 2FA để người dùng bảo vệ tài khoản của mình.
Nguồn báo tuổi trẻ