Bài liên quan
Khoá cứng có lẽ là cách bảo mật an toàn nhất hiện nay. Đó cũng là cách nhiều doanh nghiệp CNTT lớn đang áp dụng, và GitHub cũng vừa mới triển khai loại khoá bảo mật này cho người dùng của họ.
Ở những nơi như Google hay Facebook, các kỹ sư đăng nhập vào hệ thống máy tính cực kỳ quan trọng của họ không đơn giản chỉ bằng tên và mật khẩu. Họ cũng không đăng nhập bằng dấu vân tay.
Họ đăng nhập bằng một thiết bị USB tên là YubiKey. Những khóa này gắn vào laptop hay desktop, cung cấp cho người dùng một mức bảo mật nữa ngoài mật khẩu, và nhiều người cho là một ngày nào đó, kiểu khóa USB này sẽ thay thế mật khẩu hiện thời, vì kiểu mật khẩu hiện thời hầu như rất dễ qua mặt. Về cơ bản, Yubikey tạo ra một mã đăng nhập, mã này độc nhất, ứng với người dùng và dịch vụ mỗi khi người dùng gắn YubiKey vào.
Google cũng cho các công ty khác sử dụng YubiKey khi đăng nhập vào các dịch vụ kinh doanh khác nhau của họ, như Gmail và Google Docs. Dropbox cũng làm tương tự với dịch vụ chia sẻ file. Gần đây nhất, đầu tháng 10 này, GitHub cũng theo lối này khi chấp nhật xác thực bằng YubiKey trên dịch vụ chia sẻ mã nguồn phổ biến nhất thế giới hiện nay.
Thoạt nghe thì có vẻ lạ lùng, nhưng GitHub được biết là cái hub Internet quan trọng đối với phần mềm nguồn mở, là nơi mọi người tự do chia sẻ mã nguồn với nhau. Nhưng nhiều doanh nghiệp và nhà viết mã cũng sử dụng GitHub như là công cụ lưu trữ và tạo mã nguồn riêng. Và trong vài trường hợp, thêm tính năng bảo mật cũng quan trọng đối với một mã nguồn mở nào đó. Phần mềm nguồn mở đang tiên phong trong nhiều lĩnh vực, và khi một nhà viết mã tên tuổi nào đó có một thay đổi quan trọng thì chúng ta cần chắc rằng thay đổi đó là của chính chủ.
Cụ thể hơn, GitHub nói rằng họ sẽ đưa ra đặc tả gọi là FIDO Universal 2nd Factor, gọn lại là U2F. Google và Yubico (là công ty đưa ra YubiKey) đã cùng chia sẻ công nghệ khóa bảo mật này với thế giới, và bây giờ các công ty khác bắt đầu làm theo cách này. Mục tiêu là tạo một loại xác thực mạnh, khó phá nhất có thể.
GitHub là một bước tiến nữa trong việc phổ biến kiểu xác thực bằng khóa cứng này. Điều quan trọng là động thái này của GitHub rất đáng chú ý bởi vì GitHub khuyến khích các nhà viết mã phần mềm thêm tính năng U2F vào chính ứng dụng của họ. Theo Shawn Davenport, trưởng bộ phận bảo mật GitHub, “Chúng tôi có một cộng đồng các nhà phát triển chịu trách nhiệm cho dịch vụ web trên Internet. Điều này sẽ thúc đẩy, tạo ra một chuẩn bảo mật và cộng đồng sẽ nhanh chóng chấp nhận chuẩn ấy.”
GitHub cũng đưa ra tính năng xác thực 2 bước thông qua SMS và ứng dụng di động như Google Authenticator, là app tạo ra một mã xác thực duy nhất vài giây một lần. Nhưng so sánh với các công nghệ khác, GitHub cho rằng U2F là chọn lựa tốt hơn. Nếu trong trường hợp người dùng đánh mất một khoá, họ đơn giản chỉ cần dùng khoá khác. Với ứng dụng điện thoại, quy trình này phức tạp hơn. Davenport cho biết xác thực U2F về phía người dùng lại hơi rắc rối. Nhiều người không dùng U2F là cũng vì vậy.
Thời điểm này, khiếm khuyết rõ nhất của U2F là chỉ hoạt động trên trình duyệt Chrome của Google và nó chưa chạy được trên điện thoại. Nhưng Davenport hy vọng GitHub sẽ sớm giúp thay đổi được điểm này.
|
Post a Comment