Mô thức “email chính là xác thực”

 (rubenerd.com)
4 điểm bởi GN⁺ 2024-09-09 | 1 bình luận | Chia sẻ qua WhatsApp
  • Phần lớn mọi người không dùng trình chặn quảng cáo, JavaScript bị giới hạn, trình quản lý mật khẩu, v.v.
  • Nhiều người trải qua quy trình đăng nhập như sau
    • Đi tới trang đăng nhập
    • Nhấp vào "Quên mật khẩu"
    • Mở email
    • Nhấp vào liên kết khôi phục
    • Nhập mật khẩu tạm thời mà họ không thể nhớ nổi
    • Lặp lại
  • Khi hỏi vì sao họ lại làm theo quy trình này, đa số không biết lý do
  • Đã có rất nhiều bàn luận về trình quản lý mật khẩu, rủi ro đánh cắp danh tính, và sự cần thiết của xác thực hai yếu tố cũng như xác thực đa yếu tố
  • Tác giả đặt câu hỏi vì sao mọi người lại dùng "Quên mật khẩu" như một phương thức xác thực
  • Đây không phải là một quyết định có ý thức mà là một thói quen hình thành theo thời gian
  • Suy nghĩ về việc liệu có thể tận dụng thói quen này để thiết kế hệ thống giúp mọi người sử dụng theo cách tốt hơn hay không

Tóm tắt của GN⁺

  • Bài viết này bàn về thói quen của mọi người trong việc được xác thực thông qua quy trình quên mật khẩu
  • Dù nhu cầu về trình quản lý mật khẩu và xác thực hai yếu tố đã được thảo luận rất nhiều, bài viết vẫn đặt ra câu hỏi vì sao mọi người lại làm theo một quy trình nhất định
  • Bài viết khám phá khả năng tận dụng thói quen này để thiết kế các hệ thống bảo mật tốt hơn
  • Các sản phẩm có chức năng tương tự gồm LastPass, 1Password, v.v.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-09-09
Ý kiến Hacker News

  • Tài khoản email là phương thức phổ biến nhất để xác thực trực tuyến

    • Số điện thoại cũng có tính cạnh tranh, nhưng mọi người có thể làm mất điện thoại di động
    • Bảo mật của số điện thoại thấp hơn tài khoản email
    • Khi thiết kế hệ thống xác thực người dùng, cần tính đến việc khôi phục tài khoản

  • Khi doanh nghiệp muốn mang lại sự đơn giản, họ dùng hệ thống xác thực qua email

    • Người dùng nhập email
    • Gửi mã xác thực qua email
    • Người dùng nhập mã và được duy trì trạng thái đăng nhập "vô thời hạn"
    • Nếu là email mới thì tự động tạo tài khoản
    • Một số người dùng có thể vô tình tạo tài khoản mới vì dùng nhiều email khác nhau
    • Cách này cải thiện đáng kể tỷ lệ chuyển đổi giữa đăng ký và đăng nhập

  • Hệ thống xác thực dựa trên mật khẩu là không thực tế

    • Mật khẩu được dùng theo hai cách
      • Được bảo vệ bằng một mật khẩu duy nhất thông qua trình quản lý mật khẩu
      • Lặp lại cùng một mật khẩu trên nhiều dịch vụ
    • Hầu hết dịch vụ đều cung cấp khôi phục qua email
    • Tài khoản email cá nhân hầu như không bị thay đổi, không được chia sẻ và không bị tái sử dụng

  • Đề xuất cách đăng nhập bằng cách gửi liên kết URL dùng một lần qua email

    • Liên kết hết hạn trong vòng 10 phút và chỉ dùng được một lần
    • Ai có liên kết thì có thể đăng nhập, nhưng chỉ có thể truy cập từ email
    • Bảo mật phụ thuộc vào tài khoản email

  • Lý do nhà cung cấp dịch vụ gây bất tiện cho người dùng khá đơn giản

    • Nhà cung cấp email có phiên gần như không bao giờ kết thúc
    • Có thể đặt token xác thực của dịch vụ bằng thời lượng phiên Gmail, hoặc cho phép đăng nhập bằng OTP

  • Hầu hết mọi người thử làm việc trên máy tính rồi tự xoay xở để giải quyết

    • Phần mềm do những người hiểu rất rõ hệ thống tạo ra, nhưng người dùng thì không
    • Khi người dùng tìm ra một mẫu hoạt động hiệu quả, họ sẽ bám vào nó
    • Nhiều trường học dùng máy tính bảng nên không giúp hình thành cảm giác sử dụng máy tính

  • Có những trang web bỏ qua bước quên mật khẩu và dùng email làm phương thức xác thực

    • Nhập địa chỉ email
    • Nhận email có chứa mã
    • Nhập mã rồi đăng nhập
    • Cách này có thể gây bất tiện với những người dùng nhiều email

  • Best Buy dùng cách tương tự

    • Dù lưu mật khẩu bằng trình quản lý mật khẩu, hệ thống lại báo mật khẩu không hợp lệ do cơ chế bảo vệ ATO
    • Cố giải quyết vấn đề một lúc rồi cũng mệt, nên cuối cùng làm theo cách dễ nhất

  • Luồng đăng nhập cũng tương tự

    • A) Truy cập website, sao chép và dán mật khẩu từ trình quản lý mật khẩu, rồi nhận yêu cầu TOTP qua email
    • B) Truy cập website, bấm quên mật khẩu, nhận liên kết đăng nhập, nhập một chuỗi bất kỳ
    • Đôi khi cách B còn nhanh hơn

  • Lý do người dùng không lưu mật khẩu là vì họ không có trình quản lý mật khẩu

    • Ngay cả khi biết về trình quản lý mật khẩu, việc chuyển đổi tài khoản khi làm việc trên PC đám mây dùng chung cũng rất phiền
    • Với các trang web không có chức năng lưu mật khẩu, họ cũng không lưu mật khẩu