Đừng dùng tài khoản Facebook để đăng nhập website nữa!

Dưới đây là bài viết của Farhad Manjoo trên tờ The New York Times. VNReview xin chuyển ngữ để các bạn theo dõi.

Đó là cách hợp lý nhất để đáp trả công bố của Facebook hồi tuần trước rằng có một lỗ hổng bảo mật cho phép hacker xâm nhập vào tài khoản của ít nhất 50 triệu người dùng, và có khả năng là thêm hàng chục triệu tài khoản khác nữa. Lỗ hổng này cho phép những kẻ tấn công truy xuất không chỉ tài khoản Facebook của bạn mà còn có khả năng là nhiều tài khoản bạn từng đăng nhập bằng Facebook: các dịch vụ như Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia, The New York Times, và hơn 100.000 website khác.

Tôi nói "có khả năng" bởi cả Facebook lẫn các website bên thứ ba dường như đều không biết chính xác thiệt hại có thể xảy ra. Trong một tuyên bố hôm thứ Ba, Guy Rosen, Phó chủ tịch Quản lý sản phẩm của Facebook, đã nói rằng công ty "không có bằng chứng" nào cho thấy những kẻ tấn công đã xâm nhập các website khác thông qua vụ hack, nhưng Facebook đang tạo ra nhiều phương thức tinh vi để các website đó tự mình tiến hành các cuộc điều tra sâu hơn.

Nhưng chỉ là khả năng không có nghĩa rắc rối sẽ ít. Và nếu vụ hack thực sự cho phép truy xuất đến bất kỳ website nào khác, Facebook nên bị loại bỏ tư cách dùng để đăng nhập các dịch vụ nói trên.

Trong tình huống trớ trêu này, Facebook xứng đáng bị chê trách: có mỗi một việc mà làm cũng không xong!

Ông trùm mạng xã hội này đề nghị được giữ chìa khóa cho mọi ổ khóa trực tuyến của bạn. Khá tiện lợi khi nó xuất hiện ngay nơi bạn cần, chỉ một nút nhấn là xong. Nó còn bảo mật hơn việc phải tạo và nhớ hàng tá mật mã cho các website khác nhau. Facebook có tiềm lực tài chính và tiếng tăm để thuê những chuyên gia bảo mật giỏi nhất về giữ chìa khóa cho bạn; hàng trăm website nhỏ không được như vậy - và nếu chúng bị hack và nếu bạn sử dụng đi sử dụng lại mật mã ở một vài nơi khác, bạn gặp vấn đề lớn rồi.

Nhưng vụ hack rầm rộ những ngày qua đã làm bốc hơi mọi thứ. Nếu một công ty bạn tin tưởng giao chìa khóa lại đi làm mất chìa khóa của bạn, bạn phải tìm một nơi khác. Và có rất nhiều phương thức bảo mật hơn mà tính tiện lợi lại tương đương, dùng để đăng nhập các website.

Cách tốt nhất là sử dụng một trình quản lý mật mã riêng - một dịch vụ như LastPass hay 1Password - cho phép tạo và ghi nhớ các mật mã mạnh cho nhiều website khác nhau. Các hệ điều hành và các trình duyệt cũng ngày một tốt hơn trong khoản quản lý mật mã; các iPhone mới là một ví dụ, cho phép bạn mở khóa với nhận diện khuôn mặt, tiện lợi ngang ngửa việc nhấn nút Facebook.

Nếu vì một số lý do bạn không muốn sử dụng trình quản lý mật mã, bạn có thể sử dụng dịch vụ đăng nhập của các ông lớn công nghệ khác. Khi được hỏi phương thức đăng nhập vào website, bạn có thể chọn Google hay Microsoft thay vì Facebook.

Đúng là có khả năng các công ty kia một ngày nào đó cũng sẽ bị hack. Yahoo từng bị hack, cũng như LinkedIn hay Equifax. Nhưng ở thời điểm này, dịch vụ đăng nhập do Google hay Microsoft cung cấp có một lợi thế lớn so với Facebook: những công ty này không làm mất quyền kiểm soát của 50 triệu tài khoản người dùng, còn Facebook thì có.

Tôi quyết định ngừng sử dụng mạng xã hội này như một dịch vụ đang nhập sau khi chat với Jason Polakis, một phó giáo sư khoa học máy tính tại Đại học Illinois ở Chicago - người từng nghiên cứu về tính bảo mật của các dịch vụ đăng nhập như Facebook vậy.

Ông Polakis thừa nhận rằng một dịch vụ đăng nhập nhiều nơi mang đến sự tiện nghi to lớn và thậm chí là những ích lợi về mặt bảo mật: "Hiển nhiên, những công ty lớn như Facebook và Google có đội ngũ kỹ sư tuyệt vời, và cách họ thực hiện bảo mật thường đi trước các website nhỏ hơn khác"

Nhưng không công ty nào, ngay cả những công ty lớn và giàu có như Facebook hay Google, có thể đảm bảo sự bảo mật hoàn hảo.

Và theo một số cách nào đó, ông Polakis nói, kích cỡ và sự phức tạp của Facebook đã chống lại tính bảo mật của nó. Ví dụ, vụ hack Facebook dường như xuất phát từ 3 lỗ hổng khác nhau liên kết lại.

"Nền tảng code của những dịch vụ đó là rất lớn. Bạn có các nhóm khác nhau cùng phát triển các thành phần khác nhau, và họ có thể tác động lẫn nhau theo nhiều cách, và bạn có thể thấy một vụ hack điên rồ mà không ai ngờ được".

Một nguy hiểm khác khi đăng nhập mọi thứ với Facebook là nguy cơ lừa đảo. Ngay cả nếu hàng triệu tài khoản Facebook chưa bị hack, các tài khoản cá nhân của mọi người vẫn bị can thiệp thông qua lừa đảo trực tuyến. Đăng nhập bằng một tài khoản duy nhất làm trầm trọng thêm thiệt hại: bất kỳ ai hack được tài khoản Facebook của bạn sẽ truy xuất được mọi thứ khác gắn kết với Facebook đó.

Tại sao một trình quản lý mật mã lại là cách tốt hơn để bảo vệ chính bạn thay vì đăng nhập thông qua một nền tảng lớn? Các trình quản lý mật mã cũng có thể bị hack, ông Polakis nói, nhưng "so với các nền tảng lớn có hàng triệu dòng code khác nhau và các chức năng khác nhau, một trình quản lý mật mã chỉ có một việc, và do đó nó giảm thiểu nguy cơ rắc rối xảy ra".

Tôi đã hỏi Facebook rằng họ có phản pháo gì về ý tưởng ngừng sử dụng Facebook để đăng nhập không, thì một người phát ngôn nói đăng nhập bằng Facebook vẫn bảo mật hơn nhiều so với các mật mã yếu ớt mà mọi người tạo ra và tái sử dụng với mọi thứ.

Đó không phải là một luận điểm tồi. Các trình quản lý mật mã không tiện lợi như nút bấm của Facebook; nếu người ta phản ứng với việc Facebook bị hack bằng cách tạo ra các mật mã cho chính mình thay vì sử dụng Facebook, đó có lẽ là điều tệ hơn cho mọi người.

Người phát ngôn kia còn nhấn mạnh rằng Facebook xem xét vụ hack này rất nghiêm túc và đã điều tra sâu vào quá trình thực hiện bảo mật và quyền riêng tư trong suốt 2 năm đầy scandal vừa qua.

Tôi không tranh cãi điều đó. Tôi tin Facebook đang xem xét vấn đề một cách nghiêm túc. Một lúc nào đó, có lẽ Facebook sẽ có lại niềm tin của tôi, đủ để tôi giao cho họ những chiếc chìa khóa số của mình.

Nhưng điều đó sẽ chỉ xảy ra nếu Facebook phải trả giá vì đã để mất chúng. Lúc này, cái giá đó là: khi tôi thấy nút bấm Facebook màu xanh đề nghị đăng ký hay đăng nhập dễ dàng, tôi sẽ không bấm vào đó.