Mọi thứ bạn cần biết về khóa bảo mật phần cứng

Từ phishing đến rò rỉ cơ sở dữ liệu, việc tự bảo vệ mình trực tuyến ngày càng trở nên khó khăn hơn hiện nay. Khóa bảo mật phần cứng là giải pháp khả thi giúp tăng thêm một lớp bảo vệ cho các tài khoản trực tuyến của bạn. Bài viết này sẽ trình bày cách thức hoạt động của khóa bảo mật phần cứng, ưu và nhược điểm của chúng cũng như các sự cố thường gặp để xác định xem chúng có phải là thiết bị phù hợp với bạn hay không.

Khóa bảo mật phần cứng là gì?

Khóa bảo mật phần cứng là thiết bị nhỏ, có tính bảo mật cao, đóng vai trò là "yếu tố" bổ sung cho thiết lập xác thực đa yếu tố (MFA). Tương tự như OTP truyền thống, khóa bảo mật phần cứng đảm bảo rằng kẻ xấu không thể truy cập vào tài khoản trực tuyến của bạn ngay cả khi chúng có thông tin đăng nhập của bạn.

Khóa bảo mật phần cứng thường có dạng thẻ thông minh hỗ trợ NFC hoặc USB mà bạn có thể cắm vào PC. Một số khóa, chẳng hạn như Yubikey 5 NFC phổ biến, cung cấp kết hợp USB và NFC, cho phép bạn sử dụng thiết bị trên cả máy tính và thiết bị di động.

Cách thức hoạt động của khóa bảo mật phần cứng

Về cơ bản, khóa bảo mật phần cứng sử dụng mật mã public key để xác thực thông tin đăng nhập của bạn. Khi bạn lần đầu cấu hình khóa với một trang web hoặc ứng dụng tương thích, nó sẽ tạo ra một cặp khóa mật mã dành riêng cho dịch vụ đó. Khóa lưu trữ phần riêng tư của cặp khóa đó trong "chip bảo mật" của nó, trong khi dịch vụ sẽ lấy phần công khai và lưu trữ trong máy chủ của mình.

Sau khi bạn đăng nhập thành công, trang web hoặc ứng dụng của bạn sẽ nhắc bạn cắm khóa vào thiết bị hoặc phát hiện khóa thông qua NFC. Dịch vụ sẽ gửi dữ liệu đến khóa của bạn, dữ liệu này cần được ký bằng private key. Sau đó, dịch vụ sẽ lấy dữ liệu đó và xác minh rằng dữ liệu được private key ký chính xác bằng public key của nó.

Tất cả các dịch vụ có cho phép sử dụng khóa bảo mật phần cứng không?

Đối với hầu hết các dịch vụ trực tuyến lớn, khóa bảo mật phần cứng sẽ hoạt động. Mặc dù không đảm bảo hỗ trợ rõ ràng, bạn có thể mong đợi các nền tảng phổ biến như Google, Amazon và X hỗ trợ khóa bảo mật phần cứng. Ví dụ, bạn có thể thêm hỗ trợ Yubikey trong X bằng cách vào phần Security and Account Access trên trang Account Settings.

Ngoài ra, hỗ trợ thường phụ thuộc vào từng trường hợp cụ thể. Điều này là do bản thân nền tảng chịu trách nhiệm thêm và cung cấp hỗ trợ cho khóa bảo mật phần cứng. Do đó, bạn nên cân nhắc các trang web bạn truy cập và liệu chúng có hỗ trợ phương pháp MFA này hay không trước khi quyết định mua hàng.

So sánh khóa bảo mật phần cứng với các phương pháp MFA khác

Khóa bảo mật phần cứng so với SMS và Email MFA

Một lợi ích của việc sử dụng khóa bảo mật phần cứng so với SMS và Email MFA truyền thống là đây là cách xác minh danh tính của bạn một cách liền mạch. Nó không dựa vào mã OTP, nghĩa là không cần bất kỳ sự can thiệp nào của người dùng để đăng nhập vào tài khoản. Điều này không chỉ ngăn chặn các cuộc tấn công phishing mà còn tăng tốc quá trình đăng nhập.

Tuy nhiên, cách tiếp cận liền mạch này cũng đi kèm với một mức giá khá cao. Hầu hết các khóa bảo mật phần cứng hiện nay có giá từ 30 đến 80 USD, trong đó những khóa rẻ hơn chỉ có thể sử dụng cho các ứng dụng cụ thể. Mặt khác, SMS và Email MFA tận dụng các thiết bị mà bạn đã có. Điều này thực sự giúp giảm chi phí của SMS và Email MFA xuống còn 0 đồng, khiến đây trở thành cách rất phải chăng để bảo vệ tài khoản của bạn.

Khóa bảo mật phần cứng so với ứng dụng xác thực

Cũng giống như SMS và Email MFA, các ứng dụng xác thực cũng gặp phải những vấn đề cốt lõi tương tự khi so sánh với khóa bảo mật phần cứng. Nó dựa vào OTP, khiến nó dễ bị tấn công phishing.

Tuy nhiên, hầu hết các ứng dụng xác thực đều sử dụng tiêu chuẩn RFC 6238 (TOTP), khiến chúng trở thành một trong những phương pháp MFA dễ tiếp cận nhất hiện nay. Điều này có nghĩa là có khả năng cao là trang web bạn truy cập có tùy chọn bật TOTP. Đây cũng là một lợi thế so với khóa bảo mật phần cứng vì không phải tất cả các trang web đều có thể hỗ trợ tiêu chuẩn FIDO2 của họ.

Khóa bảo mật phần cứng so với sinh trắc học

Mặc dù khóa bảo mật phần cứng và khóa sinh trắc học cung cấp mức độ bảo mật và tiện lợi tương tự nhau, nhưng chúng khác nhau ở một số điểm quan trọng. Đầu tiên, khóa sinh trắc học chỉ có thể sử dụng trên thiết bị nơi chúng được lưu trữ. Ví dụ, Touch ID chỉ có thể cho phép đăng nhập trên iPhone của bạn. Điều này hạn chế nghiêm trọng những gì khóa sinh trắc học có thể làm, đặc biệt là khi so sánh với khóa bảo mật phần cứng.

Khóa sinh trắc học cũng thường tiện lợi và dễ sử dụng hơn khóa bảo mật phần cứng. Khóa sinh trắc học không liên quan đến bất kỳ thiết bị bên ngoài nào và tận dụng những gì bạn đã có. Khóa này cũng không dựa vào OTP, giúp khóa này chống lại các cuộc tấn công phishing.

Điều gì xảy ra khi bạn làm mất khóa bảo mật phần cứng?

Một trong những điểm mạnh của khóa bảo mật phần cứng cũng chính là điểm yếu của nó. Là một vật thể vật lý, bạn có thể làm mất khóa. Điều này có thể khiến bạn lo lắng nếu dựa vào khóa bảo mật phần cứng của mình để đăng nhập vào các mục quan trọng, chẳng hạn như ngân hàng trực tuyến.

Khi điều này xảy ra, điều quan trọng cần nhớ là hầu hết các khóa đều có khả năng bảo vệ chống lại truy cập trái phép. Ví dụ, Yubikey 5 yêu cầu người dùng đặt mã PIN và có cơ chế tự xóa sau nhiều lần nhập sai mã PIN.

Ngoài ra, khóa bảo mật phần cứng không lưu trữ thông tin nhạy cảm như tên người dùng và mật khẩu của bạn. Các khóa này cũng lưu trữ private key trên một con chip an toàn, khiến những kẻ xấu không thể trích xuất chúng.