Không nên sử dụng tài khoản Facebook để đăng nhập vào các trang web khác

Đó là cách hợp lý nhất để trả lời thông báo của Facebook tuần trước rằng vi phạm an ninh cho phép tin tặc xâm nhập vào tài khoản của ít nhất 50 triệu người dùng và có thể thêm hàng chục triệu người dùng nữa. Tin tặc đã cho phép những kẻ tấn công truy cập vào không chỉ tài khoản Facebook của bạn mà còn có thể là nhiều tài khoản bạn đã sử dụng để đăng nhập - các dịch vụ như Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia, Thời báo New York và hơn 100.000 địa điểm trực tuyến khác.

Tôi nói “có thể” bởi vì cả Facebook lẫn các trang web của bên thứ ba dường như không biết chính xác mức độ thiệt hại. Trong một tuyên bố hôm thứ ba, Guy Rosen, Phó chủ tịch quản lý sản phẩm của Facebook, cho biết công ty đã “không có bằng chứng” rằng kẻ tấn công vi phạm các trang web khác thông qua hoạt động tấn công mạng, nhưng công ty đang xây dựng các cách tinh vi hơn để các trang web thực hiện điều tra sâu hơn .

Nhưng khả năng này rất khó khăn - và nếu hoạt động tấn công dẫn đến việc tiếp tay cho phép những kẻ tấn công truy cập vào bất kỳ trang web nào khác, Facebook sẽ bị loại khỏi hoạt động đăng nhập tự động của bạn.

Đây là một tình huống tuyệt vời. Facebook đề nghị bạn mang theo chìa khóa cho mọi tài khoản trực tuyến. Việc này sẽ cực kỳ thuận tiện - chỉ bằng một nút bấm bạn có thể kiểm soát các tài khoản ứng dụng và dịch vụ khác nhau. Nó cũng an toàn hơn việc tạo và ghi nhớ hàng chục mật khẩu cho các trang web khác nhau. Facebook đã có một động lực tài chính và uy tín để thuê những nhân viên bảo mật tốt nhất để bảo vệ chìa khóa của bạn; và nếu các ứng dụng hoặc trang web bạn đăng nhập thông qua tài khoản Facebook bị tấn công và phát hiện bạn sử dụng lại mật khẩu của mình ở nơi khác, bạn đã được thông báo ngay lập tức.

Tuy nhiên, có nhiều cách an toàn hơn và tiện lợi hơn để đăng nhập vào mọi chương trình trực tuyến.

Cách tốt nhất là sử dụng trình quản lý mật khẩu chuyên dụng - một dịch vụ như LastPass hoặc 1Password, giúp tạo và ghi nhớ mật khẩu mạnh cho các trang web khác nhau. Các hệ điều hành và trình duyệt cũng trở nên tốt hơn trong việc quản lý mật khẩu; ví dụ như iPhone mới hơn, cho phép bạn mở khóa các trang web với nhận dạng khuôn mặt, điều này cũng thuận tiện như nhấn nút chìa khóa của Facebook.

Nếu vì một lý do nào đó mà bạn không muốn sử dụng trình quản lý mật khẩu, bạn có thể sử dụng dịch vụ đăng nhập của một đại gia công nghệ khác. Khi được trình bày với các cách khác nhau để đăng nhập vào trang web, bạn có thể chọn Google hoặc Microsoft thay vì Facebook.

Vâng, có thể những công ty này cũng có thể bị tấn công vào một ngày nào đó. Ví dụ như Yahoo đã bị tấn công, hoặc như LinkedIn, hay Equifax. Nhưng tại thời điểm này, dịch vụ đăng nhập của Google hoặc Microsoft có một lợi thế lớn so với Facebook: đó là các công ty này không mất quyền kiểm soát 50 triệu tài khoản của người dùng conf Facebook đã bị.

Tôi quyết định bỏ sử dụng mạng xã hội như một dịch vụ đăng nhập sau khi trò chuyện với Jason Polakis, một trợ lý giáo sư về khoa học máy tính tại Đại học Illinois ở Chicago, người đã nghiên cứu tính bảo mật của các dịch vụ đăng nhập như Facebook.

Ông Polakis cho biết có những lợi ích thuận tiện to lớn và thậm chí một số lợi ích an ninh cho một lần đăng nhập duy nhất. “Rõ ràng, các công ty lớn như Facebook và Google có các kỹ sư tuyệt vời, và thực hành bảo mật của họ nói chung là đi trước đường cong so với các trang web nhỏ hơn,” ông nói.

Nhưng không có công ty nào, thậm chí không phải là một công ty lớn và giàu có như Facebook hay Google, có thể đảm bảo an ninh hoàn hảo.

Và theo một số cách, ông Polakis nói, quy mô và sự phức tạp của Facebook đang tự tạo ra thách thức với việc đảm bảo an ninh của chính nó. Ví dụ, vụ tấn công Facebook dường như đã bị gây ra bởi ba lỗi khác nhau.

“Hệ thống mã của các dịch vụ này rất lớn”, ông Polakis nói. “Bạn có các ứng dụng khác nhau làm việc trên các nền tảng khác nhau và chúng có thể tương tác theo nhiều cách khác nhau và bạn có thể bị tấn công một cách điên rồ mà không ai mong đợi.”

Mối nguy hiểm khác do đăng nhập vào mọi chương trình trực tuyến thông qua tài khoản Facebook là mối đe dọa của lừa đảo. Ngay cả khi hàng triệu tài khoản Facebook vẫn không bị tấn công, nhưng tài khoản cá nhân của mọi người vẫn có khả năng bị tấn công mọi lúc thông qua thủ thuật trực tuyến. Đăng nhập một lần có nhiều thiệt hại - bất cứ ai xâm nhập tài khoản Facebook của bạn đều có quyền truy cập vào mọi thứ khác mà bạn liên kết với Facebook.

Tại sao trình quản lý mật khẩu lại là cách tốt hơn để tự bảo vệ mình hơn là đăng nhập thông qua một nền tảng lớn? Trình quản lý mật khẩu cũng có thể bị tấn công, ông Polakis nói, nhưng “so với các nền tảng khổng lồ có hàng triệu dòng mã khác nhau và chức năng khác nhau, trình quản lý mật khẩu có một công việc cụ thể và do đó giảm thiểu rủi ro xảy ra sự cố”.

Tôi đã yêu cầu Facebook ngừng cho phép sử dụng tài khoản của nó để đăng nhập các chương trình hay trang web trực tuyến. Một phát ngôn viên cho biết đăng nhập thông qua tài khoản Facebook vẫn an toàn hơn những mật khẩu yếu mà mọi người tạo ra và tái sử dụng cho mọi thứ.

Đó không phải là một điểm xấu. Trình quản lý mật khẩu không thuận tiện để sử dụng làm nút của Facebook; nếu mọi người trả lời tin tặc trên Facebook bằng cách cuộn mật khẩu của riêng họ thay vì sử dụng Facebook, điều đó có thể tồi tệ hơn cho mọi người.

Phát ngôn viên cũng lưu ý rằng Facebook đã thực hiện việc chống tấn công này rất nghiêm túc và đã đầu tư mạnh vào các hoạt động bảo mật và quyền riêng tư trong hai năm gần đây.

Tôi không đưa ra các tranh luận khác. Tôi tin rằng Facebook đang coi trọng việc này.