Khi các tin tặc đột nhập vào tài khoản Apple của Mat Honan tuần trước, chúng đã không thể trả lời được các câu hỏi bảo mật mà ông đã đặt ra. Tuy nhiên, Apple vẫn cấp cho chúng một mật khẩu tạm thời, khiến đời sống online của Honan bị đảo lộn.
Mat Honan.
Thất bại của hệ thống câu hỏi bảo mật là một trong những lỗ hổng mà các tin tặc có thể khai thác, nhưng trường hợp này là một ngoại lệ. Chuyện gì đã xảy ra với Apple? Đây không phải là nhầm lẫn hệ thống của hai công ty khác nhau, cũng không phải Honan quá bất cẩn với mật khẩu của mình. Vấn đề thực sự ở đây là Apple không ý thức chính xác được tầm quan trọng của các câu hỏi bảo mật này, coi chúng như trò đùa.
Chúng ta vẫn chưa biết rõ lý do vì sao Apple không yêu cầu nhóm tin tặc trả lời chính xác các câu hỏi này mà đã cấp mật khẩu tạm thời. Nhưng kể cả Apple có thực hiện điều đó đi nữa, tin tặc vẫn có thể tìm được câu trả lời chính xác. Những câu hỏi thường thấy trong danh sách là: Bạn học cấp 3 ở đâu? Tên con phố nơi bạn sống?...
Câu trả lời cho những câu hỏi này rất dễ tìm thấy trong hồ sơ của mỗi người. Một chút điều tra sẽ tìm ra thông tin ngay lập tức. Thời đại ngày nay đã khác những năm 80 rất nhiều, thời mà người ta nghĩ ra câu hỏi bảo mật để bảo vệ cho các tài khoản ngân hàng. Một nghiên cứu đến từ Microsoft năm 2009 chỉ ra rằng những người thân quen có thể trả lời tới 17% số câu hỏi bảo mật của chúng ta. Những người lạ cũng có khi đạt được độ chính xác 13%.
Làm sao để có một câu hỏi bảo mật tốt? Không dễ tí nào!
Một vấn đề nữa là cách thiết kế các câu hỏi này làm sao để bảo mật tốt nhất. Trên trang Quora, Frank Voisin nói có 4 mục tiêu dưới đây cần phải được đáp ứng để có một câu hỏi bảo mật tốt:
1. Định nghĩa rõ ràng: Chắc chắn rằng sẽ chỉ có một câu trả lời duy nhất cho câu hỏi này.
2. Tính áp dụng cao: Thích hợp cho tất cả mọi người trả lời.
3. Dễ ghi nhớ: Người dùng không quá khó khăn để ghi nhớ chúng.
4. An toàn: Khó để đoán ra câu trả lời.
Nói thì dễ hơn là làm. Có lẽ những câu hỏi đại loại như "tên thời con gái của mẹ bạn là gì" chỉ nên dùng trong thập kỷ trước. Vào thời điểm hiện nay, với một chút kỹ năng Google cũng có thể tìm thông tin này (như vậy nó đã không thỏa mãn được điều kiện thứ 4 ở trên).
Hay như với những người có mẹ nuôi, mẹ kế,… câu hỏi trên cũng không thỏa mãn được điều kiện 1 và 2. Tương tự các câu về trường cấp ba, người bạn thân nhất hay như tên thú cưng của bạn cũng gặp tình trạng trên. Thiết kế những câu hỏi phù hợp được 4 yếu tố trên xem như bất khả thi.