Yubikey: Giải pháp bảo mật 2FA hiệu quả và an toàn cho tài khoản của bạn

Tài sản ở đâu thì lòng ta ở đó, câu nói này quả không sai khi đề cập đến việc chúng ta luôn trăn trở, bảo vệ và tìm ra những cách tốt nhất để bảo vệ tài sản của mình. 

Đó là lý do mà những chiếc két sắt nặng nề, những ổ khoá điện tử vân tay. Hay những cánh cổng lớn nhằm ngăn chặn những tên trộm đột nhập vào nhà.

Nhưng trong thời đại ngày nay. Việc chúng ta có nhiều tài sản hơn không gian mạng cũng dần trở nên phổ biến, vì phần lớn chúng ta hiện nay dành thời gian và năng lượng trên không gian này. 

Tài sản trên không gian mạng có thể được hiểu là thông tin cá nhân, các tài khoản mạng xã hội, sự uy tín và danh dự trên môi trường internet. Đối với những người đầu tư crypto thì tài sản trên môi trường kỹ thuật số có thể còn lớn hơn thế.

Làm sao chúng ta có thể bảo vệ các tài khoản trên không gian mạng một cách an toàn và hiệu quả, nhằm chống lại các sự tấn công, đột nhập nhằm kiểm soát và lấy đi thông tin mà chúng ta có trong các tài khoản đó. Từ những tài khoản email thông thường đến những tài khoản của các trang mạng xã hội đến tài khoản sàn giao dịch crypto và hằng hà sa số những tài khoản khác nhau mà chúng ta tạo ra để phục vụ cho cuộc sống hàng ngày.

Liệu chỉ với chiếc mật khẩu ngắn gọn có thể bảo vệ chúng ta trước sự tấn công ngày càng tinh vi và mạnh mẽ từ hacker. 

Trong bài viết ngày hôm nay chúng ta sẽ tìm hiểu về Yubikey. Đây là một chìa khoá, một phương pháp an toàn nhất tại thời điểm hiện tại nhằm chống lại sự xâm nhập từ bên ngoài vào trong các tài khoản riêng tư của bạn trong không gian mạng. 

Xác thực hai yếu tố là gì? (two-factor authentication 2FA)

Hầu hết các mật khẩu đều không an toàn và dễ bị các tin tặc bẻ khoá. Đó là lý do tại sao bạn cần xác thực hai yếu tố (2FA). Nó bổ sung một lớp bảo mật quan trọng giúp ngăn chặn những kẻ xâm nhập và đảm bảo dữ liệu của bạn không bị tấn công

Nếu ai đó có được thông tin đăng nhập và mật khẩu Facebook của bạn thì họ có thể đột nhập vào để xem những thông tin cá nhân của bạn. 

Nhưng giờ đây, tin tặc sẽ bị chặn lại ở một bước xét duyệt, có 2 cách phổ biến nhất mà người dùng thường sử dụng để bảo vệ tài khoản của họ là số điện thoại và email.

Facebook sẽ gửi một mã bao gồm 6 chữ số về sms hoặc email của bạn, và bạn cần nhập 6 số đó vào để chứng minh bạn thật sự là chủ tài khoản. 

Các phương pháp nhận mã trong 2FA có thể bao gồm

SMS (Short Message Service): Trong phương pháp này, một mã xác thực được gửi đến điện thoại di động của người dùng thông qua tin nhắn SMS. Người dùng cần nhập mã này để hoàn thành quá trình xác thực.

Email: Trong phương pháp này, một mã xác thực được gửi đến địa chỉ email của người dùng. Người dùng cần truy cập vào email của mình để lấy mã và nhập nó vào trang web hoặc ứng dụng để xác thực.

Google Authenticator: Google Authenticator là một ứng dụng di động cung cấp mã xác thực dựa trên nguyên tắc xác thực hai yếu tố thông qua thuật toán mã hóa thời gian. Người dùng cần cài đặt ứng dụng Google Authenticator trên điện thoại di động của mình và kết nối nó với tài khoản của mình. Ứng dụng sẽ tạo ra mã xác thực mới trong một khoảng thời gian nhất định và người dùng cần nhập mã này để xác thực. (ngoài ra có có thêm nhiều ứng dụng hỗ trợ dịch vụ tương tự như Authy hoặc Microsoft Authenticator) 

Các phương pháp này có thể giúp bạn tăng mức độ bảo mật lên nhưng nó chưa phải là cách an toàn nhất cũng như có nhiều kẽ hở. 

SMS, email và Google Authenticator có những mức độ an toàn khác nhau. Dưới đây là một số yếu tố bạn có thể xem xét:

SMS: Phương pháp 2FA bằng SMS sẽ có một số hạn chế về mặt an toàn. Phổ biến là SIM swapping, kẻ tấn công thực hiện quá trình chuyển đổi SIM, nghĩa là họ lấy được quyền điều khiển số điện thoại của bạn bằng cách gian lận hoặc xâm nhập vào hệ thống điều khiển SIM của nhà mạng. Họ có thể lấy mã xác thực để xâm nhập vào tài khoản của bạn. Do đó, SMS được xem là phương pháp kém an toàn nhất. 

Email: Sử dụng email để nhận mã xác thực cũng có một số rủi ro. Nếu tài khoản email của bạn bị tấn công hoặc đánh cắp, kẻ tấn công có thể truy cập vào mã xác thực và xâm nhập vào tài khoản của bạn. Việc bảo mật tài khoản email là rất quan trọng để đảm bảo tính an toàn của phương pháp này.

Google Authenticator: Google Authenticator được coi là một phương pháp 2FA an toàn hơn. Mã xác thực được tạo ra trên thiết bị di động của bạn và không phải thông qua mạng. Điều này làm giảm nguy cơ bị đánh cắp mã xác thực qua mạng. Tuy nhiên, nếu thiết bị di động của bạn bị mất hoặc bị tấn công, mã xác thực có thể bị lộ. Do đó, việc bảo mật thiết bị di động của bạn là quan trọng.

Với các tài khoản kỹ thuật số, chúng ta thường qua loa và sơ xài trong việc tạo mật khẩu. Phần lớn mật khẩu được sử dụng trực tuyến là mật khẩu phổ biến như 12345. Các tin tặc sẽ hack các tài khoản trực tuyến bằng việc thử đi thử lại các mật khẩu và cụm từ phổ biến cho đến khi tìm thấy kết quả đúng. Và càng xui xẻo hơn khi bạn chỉ sử dụng một mật khẩu cho nhiều tài khoản khác nhau. 

Chúng ta cũng chia sẻ một câu chuyện về việc hacker sử dụng các thủ thuật tạo lập một trang web giả mạo để đánh lừa nhằm chiếm dụng tài khoản của bạn. 

Ví dụ bạn cần truy cập vào một trang web “cryptoisking.com” để mua bán và giao dịch crypto. 

Nhưng do vội vã gõ tên trang web vào google và hiện ra kết quả “cryptoisking’.com”, bạn liền nhấp vào và tiến hành đăng nhập.

Đây là một trang web giả mạo mà tin tặc tạo ra với giao diện giống với trang web mà bạn dự định đăng nhập vào nhằm chiếm lấy tài khoản của bạn.

Khi thấy giao diện trang web quen thuộc với trang web bạn thường dùng thì bạn tiến hành đăng nhập.

Tại đây chúng ta sẽ chia ra 2 trường hợp:

Trường hợp 1: bạn dùng phương pháp 2FA là google authenticator 

Do tài khoản của bạn được bảo vệ bởi 2FA, nên sau khi đăng nhập, trang web sẽ yêu cầu bạn nhập mã 6 chữ số được tạo ra bởi google authenticator. 

Bạn mở điện thoại và tiến hành nhập 6 chữ số đó vào trang web giả mạo. Và thế là xong, toàn bộ tài khoản của bạn đã được tin tặc chiếm dụng và sử dụng với mục đích xấu.

Trường hợp 2: bạn dùng phương pháp 2FA là Yubikey

Sau khi đăng nhập, trang web sẽ yêu cầu bạn cắm Yubikey vào máy tính và tiến hành bấm nút trên Yubikey để xác nhận. 

Tuy chỉ một hành động nhỏ là cắm Yubikey vào máy tính và bấm nút trên Yubikey nhưng đằng sau nó là cả một quá trình hoạt động như sau:

Trang web "cryptoisking.com" tạo ra một yêu cầu xác thực và gửi nó cho Yubikey.

Yubikey sẽ tạo ra một chữ ký điện tử duy nhất dựa trên yêu cầu xác thực và khóa riêng tư được lưu trữ trong YubiKey.

Yubikey trả lời yêu cầu xác thực bằng cách gửi chữ ký điện tử đến trang web "cryptoisking.com".

Trang web "cryptoisking.com" xác minh tính hợp lệ của chữ ký điện tử bằng cách sử dụng khóa công khai được cung cấp trước đó.

Nếu chữ ký điện tử được xác minh là hợp lệ, trang web "cryptoisking.com" cho phép người dùng truy cập vào tài khoản của mình.

Trong trường hợp này, trang web giả mạo không thể xác minh được chữ ký điện tử do thiếu khóa riêng tư chứa trong YubiKey. Người dùng chỉ có thể tạo ra chữ ký điện tử hợp lệ bằng cách sử dụng YubiKey vật lý của mình. Điều này bảo vệ người dùng khỏi việc cung cấp mã xác thực cho trang web giả mạo và đảm bảo rằng chỉ có trang web chính thức mới có thể xác minh chữ ký điện tử từ YubiKey để cho phép truy cập vào tài khoản.

Trang web giả mạo “cryptoisking’.com” được tin tặc liên kết trực tiếp đến trang web chính chủ là “cryptoisking.com”

Nên nếu chỉ sử dụng mã từ Google Authenticator thì mã đó sẽ được gửi đến trực tiếp trang web giả mạo, và họ dùng mã này để đăng nhập vào tài khoản chính thức.

Yubikey là một thiết bị phần cứng vật lý, có khả năng tạo ra chữ ký điện tử duy nhất và được lưu trữ trên thiết bị.

Trong ví dụ trên, trang web "cryptoisking.com" sử dụng Yubikey để tạo ra yêu cầu xác thực và xác minh chữ ký điện tử từ Yubikey. Điều này đảm bảo rằng chỉ Yubikey vật lý mới có thể tạo ra được chữ ký điện tử hợp lệ, và trang web giả mạo không thể xác minh chữ ký điện tử đó. Do đó, YubiKey cung cấp một lớp bảo mật cao hơn và giúp ngăn chặn các cuộc tấn công trang web giả mạo.

Do đó với các ví dụ trên Yubikey sẽ giúp bạn phòng ngừa các vấn đề liên quan đến sai lầm của con người như truy cập vào sai trang web lừa đảo, bị lừa đảo qua mạng.

Tránh những vụ tấn công từ không gian mạng như ai đó cố gắng hack tài khoản của bạn. 

Chúng ta cũng tìm hiểu sâu hơn về Yubikey và cách hoạt động của nó nhé!

Yubikey là gì?

Yubikey là một chìa khoá bảo mật có hình dạng khá giống một USD. Yubikey được phát triển bởi công ty Yubico. Yubikey cung cấp một phương pháp xác thực 2 yếu tố một cách dễ dàng và an toàn. Nhằm ngăn chặn các cuộc tấn công hay lừa đảo vào các tài khoản của bạn. 

Yubikey tuân thủ một tiêu chuẩn ngành có tên là Universal 2nd Factor, hay FIDO U2F, sử dụng phần cứng và mật mã khóa công khai để xác thực thông tin đăng nhập của bạn. Trên thực tế để có thể truy cập vào tài khoản đã cài đặt Yubikey thì tin tặc chỉ còn một cách duy nhất là phải có được yubikey và bấm nút trên đó. 

Nói đến đây thì bạn có thể liên tưởng đến ví lạnh trong không gian crypto đúng không nào. Vì phải có được ví lạnh và bấm nút trên đó thì bạn mới có thể chuyển coin ra ngoài được. 

Những lợi ích của việc sử dụng Yubikey

Bảo vệ bạn khỏi lừa đảo: Các URL giả mạo có thể khó phát hiện vì chúng có thể trông giống hệt với trang web gốc. YubiKey kiểm tra tính nguyên bản của trang web mà bạn đang cố đăng nhập và chỉ cho phép bạn đăng nhập khi trang web đó chính xác với trang web đã đăng ký với Yubikey lúc ban đầu.

Cần truy cập vật lý: Bạn cần chạm một nút trên Yubikey mới có thể xác nhận. Điều này xác minh với trang web rằng bạn không phải là bot đăng nhập vào tài khoản.

Sự phổ biến: Yubikey không phải là thiết bị xác thực hai yếu tố phần cứng duy nhất trên thị trường. Chỉ là thiết bị phổ biến nhất. Và Yubikey tương thích với nhiều nền tảng khác nhau như Google, Microsoft, Facebook, Twitter, Dropbox, Github và nhiều ứng dụng khác. 

Nhỏ và tiện lợi và dễ sử dụng: Yubikey rất nhẹ và nhỏ, dễ mang theo, nặng chỉ khoảng vài gram. Yubikey không có màn hình điện tử, không có pin bên trong. Có một số phiên bản của Yubikey như YubiKey 5 Series và YubiKey NEO có khả năng chống nước, chống va đập. Nên Yubikey có thể sử dụng trong thời gian dài. 

Khi sử dụng Yubikey, nó rất dễ xài, bạn chỉ cần cắm vào laptop hoặc điện thoại và bấm nút trên Yubikey để xác nhận khi đăng nhập, không cần cài đặt phần mềm hay các thao tác phức tạp.

Bạn cũng có thể đăng ký nhiều Yubikey cùng lúc cho một tài khoản để phòng ngừa rủi ro bị mất Yubikey thì sẽ có một cái dự phòng. 

Tại sao YubiKey tốt hơn các giải pháp 2FA khác?

Hiện nay có rất nhiều người sử dụng các phương pháp 2FA khác nhau, nhưng được sử dụng nhiều nhất vẫn là các phương pháp như SMS, email và google authenticator. 

Đặc điểm của các phương pháp này là dễ sử dụng và miễn phí. Bạn không cần tốn thêm bất kỳ chi phí nào để có thể tăng thêm sự bảo mật cho tài khoản hiện có. 

Nhưng các phương pháp trên đều có mức độ bảo mật kém hơn Yubikey. Chúng đều ở dạng trực tuyến nên không có khả năng chống lại các lừa đảo và xâm nhập như thiết bị phần cứng ngoại tuyến như Yubikey. 

Nhưng cái giá mà bạn phải trả cho sự bảo mật đó thì không miễn phí. 

Hiện tại giá bán cho các phiên bản Yubikey tại thị trường Việt Nam giao động từ 790.000 cho đến 2.300.000 VNĐ tuỳ theo mẫu mã.

Google Authenticator và Yubikey sử dụng hai phương pháp khác nhau để tạo ra mã xác thực. Google Authenticator tạo mã xác thực dựa trên thuật toán mã hóa đối xứng thời gian (Time-based One-Time Password, TOTP), trong khi Yubikey sử dụng chuẩn mã hóa công khai (Public Key Cryptography Standards, PKCS) và chuẩn chứng thực một lần (One-Time Password, OTP) để tạo ra mã xác thực.

Google Authenticator thông thường tạo ra mã xác thực gồm 6 chữ số, trong khi Yubikey tạo ra mã xác thực dài hơn, thường là một chuỗi ký tự dài hơn và đa dạng hơn. Ví dụ, Yubikey có thể tạo ra mã xác thực dài 32 ký tự.

Tại sao Yubikey được coi là an toàn hơn Google Authenticator? Dưới đây là một số lợi ích và tính năng an toàn của Yubikey:

Không phải dựa vào mã QR: Google Authenticator sử dụng mã QR để cấu hình và đồng bộ hóa mã xác thực trên nhiều thiết bị. Tuy nhiên, mã QR có thể bị đánh cắp hoặc bị quét bởi các ứng dụng độc hại. Trong khi đó, YubiKey không sử dụng mã QR, điều này giảm nguy cơ tấn công từ mã QR.

Phương pháp xác thực vật lý: Yubikey là một thiết bị vật lý, giúp bảo vệ tài khoản của bạn khỏi các cuộc tấn công trực tuyến như phishing, keylogging hoặc tấn công từ xa. Người dùng cần có Yubikey vật lý và thực hiện thao tác vật lý để xác thực, không thể bị tấn công từ xa qua mạng.

Bảo vệ bằng mã PIN: YubiKey được bảo vệ bằng mật khẩu PIN, chỉ cho phép người sở hữu biết. Khi bạn cắm Yubikey vào máy tính và bấm nút thì Yubikey sẽ hỏi mã PIN để xác nhận. 

Cách thiết lập YubiKey của bạn

Thiết lập Yubikey không khác nhiều so với thiết lập xác thực hai yếu tố dựa trên ứng dụng google authenticator. 

Bạn truy cập vào mục quản lý tài khoản google và chọn vào mục “bảo mật” từ đó sẽ hiện ra các phương pháp 2FA khác nhau như SMS, email, và Security keys (Yubikey). 

 

Các bước rất dễ dàng để thực hiện, sau khi thiết lập xong thì những lần tiếp theo, khi bạn đăng nhập tài khoản google trên các thiết bị mới hoặc có hành động bất thường thì google sẽ cần bạn cắm Yubikey vào máy tính để xác nhận. 

Sau khi đã hoàn tất, bạn có thể bỏ việc xác nhận bằng SMS ra khỏi tài khoản google. Vì SMS mang lại nhiều rủi ro cho việc bảo mật. 

Dưới đây là một số ví dụ về các nền tảng và trang web phổ biến mà YubiKey hỗ trợ:

• Trình duyệt web: Yubikey tích hợp với các trình duyệt web như Google Chrome, Mozilla Firefox và Microsoft Edge để cung cấp tính năng xác thực bổ sung.

• Dịch vụ đám mây: Google (Gmail, Google Drive), Microsoft (Microsoft Account, Office 365), Dropbox, Salesforce và nhiều dịch vụ khác.

• Mạng xã hội: Facebook, Twitter và LinkedIn.

• Dịch vụ tài chính và ngân hàng: PayPal, Coinbase, Binance, Fidelity và nhiều dịch vụ khác.

• Dịch vụ quản lý mật khẩu: LastPass, 1Password và Bitwarden.

Các câu hỏi thường gặp 

Đã từng có ai hack được Yubikey chưa?

Cho đến hiện tại, không có báo cáo cụ thể nào cho thấy Yubikey đã bị hack thành công. 

Tuy nhiên nếu Yubikey bị mất hoặc đánh cắp, và kẻ tấn công cũng có mật khẩu PIN của bạn. Họ có thể sử dụng YubiKey để xác thực và truy cập vào tài khoản của bạn nếu họ biết mật khẩu và tài khoản của bạn. 

Nếu tôi làm mất Yubikey thì sao?

Hãy thêm các tuỳ chọn 2FA khác vào tài khoản của mình như gmail hoặc một Yubikey backup khác. Để khi mất một Yubikey thì bạn vẫn còn một Yubikey khác trong tài khoản để đăng nhập vào.

Yubikey không lưu trữ tên người dùng hay bất kỳ mật khẩu nào của bạn. Bất kỳ ai tìm thấy Yubikey của bạn sẽ hoàn toàn không có cách nào biết được nó có thể đăng nhập vào những tài khoản nào. 

Điều này sẽ thay đổi một chút nếu người "tìm thấy" Yubikey đó biết nó là của bạn, ví dụ như vì họ đã đánh cắp nó từ nhà hoặc văn phòng của bạn. Hãy tạm vô hiệu hóa Yubikey từ cài đặt tài khoản của bạn. 

Điều này đảm bảo rằng Yubikey không còn hoạt động và không thể sử dụng cho xác thực. Nhưng bất kỳ ai tìm thấy YubiKey trên đường phố hoặc trong sân bay sẽ không thể biết đó là chìa khóa của ai.

Tôi có thể sử dụng nhiều Yubikey trên một tài khoản không?

Có, bạn có thể đăng ký nhiều Yubikey cho cùng một tài khoản. Điều này mang lại tính linh hoạt và phòng ngừa, khi bị mất hoặc hỏng 1 trong số các Yubikey mà bạn có.

Ngược lại, bạn cũng có thể sử dụng một Yubikey cho nhiều tài khoản khác nhau. 

Tôi có thể sử dụng Yubikey trên nhiều thiết bị không?

Có, Yubikey có thể được sử dụng trên nhiều thiết bị khác nhau như máy tính, laptop, điện thoại di động hoặc máy tính bảng. Bạn chỉ cần kết nối Yubikey vào cổng type C hoặc sử dụng kết nối không dây (như NFC) nếu thiết bị của bạn hỗ trợ.

Yubikey có lưu dữ liệu cá nhân không?

YubiKeys không lưu trữ dữ liệu, không kết nối mạng và không chạy trên phần mềm. Điều này đảm bảo rằng thông tin của bạn không thể bị đánh cắp qua Yubikey.

Kết luận 

Yubikey vẫn là một phương pháp giúp bảo vệ tối ưu cho tài khoản của bạn trên không gian mạng, khi mà càng ngày việc đánh cắp thông tin và tài khoản trở nên dễ dàng hơn bởi sức mạnh của công nghệ. 

Các mật khẩu yếu và phương pháp 2FA đơn giản như SMS sẽ dễ dàng bị đoán ra và đột nhập. 

Tuy nhiên, việc an toàn của tài khoản không chỉ phụ thuộc vào việc sử dụng Yubikey mà còn liên quan đến việc bảo mật tổng thể của tài khoản. Điều này bao gồm việc sử dụng mật khẩu mạnh, không chia sẻ thông tin xác thực với người khác, cập nhật và bảo vệ thiết bị của bạn.

Bạn có thể sử dụng kết hợp Yubikey với trình quản lý mật khẩu (Bitwarden) để tăng mức độ bảo mật lên cao nhất.