YubiKey: Khóa bảo mật phần cứng cho mã hóa và xác thực đa yếu tố (MFA).
Một chiếc thẻ kim loại nhỏ mà bạn chỉ cần chạm nhẹ bằng đầu ngón tay đã làm được điều mà không mật khẩu nào làm được: nó đã chấm dứt tình trạng chiếm đoạt tài khoản tại một trong những công ty bị tấn công nhiều nhất trên thế giới. Sau khi Google cung cấp YubiKey cho hơn 85.000 nhân viên , số lượng tài khoản nhân viên bị đánh cắp thành công đã giảm xuống còn không và duy trì ở mức đó kể từ đầu năm 2017. Đó chính là lý do tại sao khóa bảo mật phần cứng lại quan trọng đến vậy. Nó không phải là phần mềm chống virus và nó không lưu trữ tiền của bạn. Nó là một vật thể vật lý chứng minh danh tính của bạn, và gần như không thể bị đánh lừa.
Hướng dẫn này giải thích YubiKey là gì, cách thức hoạt động của nó, tại sao nó vượt trội hơn SMS và các ứng dụng xác thực , và cách sử dụng nó để bảo vệ các tài khoản tiền điện tử mà kẻ trộm thường nhắm đến đầu tiên.
YubiKey là gì và tại sao nó lại quan trọng
Hãy tưởng tượng YubiKey như một chiếc chìa khóa nhà cho các tài khoản của bạn, nhưng chiếc này không thể sao chép được. Đó là một khóa bảo mật phần cứng nhỏ gọn từ Yubico, công ty Thụy Điển-Mỹ đã sản xuất chúng từ năm 2007. Không có pin. Không có màn hình. Chỉ là một mảnh nhựa và kim loại nhỏ bằng kích thước của một ổ flash cắm vào cổng USB hoặc chạm vào điện thoại của bạn qua NFC, với một đĩa vàng bạn ấn bằng đầu ngón tay.
Điểm mấu chốt nằm ở dấu vân tay. Mật khẩu là thứ bạn biết, và bất cứ thứ gì bạn biết đều có thể bị đánh cắp, rò rỉ hoặc đoán được, thường là cả ba cùng một lúc. YubiKey là thứ bạn sở hữu, và bạn không thể lấy trộm một vật thể vật lý từ túi của ai đó. Vì vậy, nó trở thành yếu tố thứ hai cho xác thực hai yếu tố, và là một yếu tố khó bị phát hiện. Nó không lưu trữ bất kỳ khoản tiền nào của bạn hay bất kỳ tập tin nào của bạn. Khi đăng nhập, nó chỉ giải quyết một câu hỏi duy nhất rồi im lặng: chủ sở hữu thực sự có đang ở đây ngay bây giờ không? Chạm vào, và bạn đã đăng nhập. Không chạm, và quá trình đăng nhập sẽ dừng lại trên màn hình, cho dù mật khẩu bị đánh cắp trông hoàn hảo đến đâu.
YubiKey hoạt động như thế nào để ngăn chặn lừa đảo trực tuyến?
Điểm thông minh không nằm ở phần cứng. Đó là chữ ký điện tử gắn liền với tên miền mà một trang web giả mạo không bao giờ có thể lấy được từ thiết bị.
Một bí mật không bao giờ biến mất
Khi đăng ký YubiKey với một dịch vụ, hệ thống sẽ tự động tạo một cặp khóa mới, gồm một khóa công khai và một khóa riêng tư, sử dụng mật mã khóa công khai. Khóa riêng tư được ghi vào một chip bảo mật và không bao giờ được lấy ra ngoài. Không qua USB, không khi thiết bị đang nằm trong tay bạn, và hoàn toàn không bao giờ. Chỉ có khóa công khai được gửi đến máy chủ. Sau đó, mỗi lần đăng nhập là một quá trình gọi và phản hồi nhanh chóng: trang web đưa ra một thử thách ngẫu nhiên, khóa ký xác nhận bằng khóa riêng tư mà không ai có thể đọc được, và máy chủ kiểm tra chữ ký đó so với khóa công khai mà nó đã lưu giữ. Đó chính là tiêu chuẩn FIDO2 và WebAuthn, được xây dựng trên nền tảng U2F cũ hơn, và đó là lý do tại sao thông tin đăng nhập của bạn không thể bị tách rời khỏi thiết bị.
Vì sao lừa đảo trực tuyến không hiệu quả
Giờ đến phần thực sự giúp ngăn chặn lừa đảo trực tuyến. Trong cùng một quá trình trao đổi đó, trình duyệt cũng cho thiết bị biết bạn đang truy cập vào tên miền nào. YubiKey so sánh tên miền này với trang web mà nó đã đăng ký lần đầu. Trên một trang web giả mạo, tên miền không chính xác, vì vậy thiết bị sẽ từ chối ký. Bạn hoàn toàn có thể bị đánh lừa bởi trang web giả mạo – nhưng phần cứng thì không, và chính phần cứng mới là yếu tố quan trọng. Thêm vào đó là thao tác chạm vật lý chứng minh sự hiện diện của người dùng, và bạn sẽ có được thứ mà các cơ quan an ninh gọi là xác thực chống lừa đảo. Mật khẩu có thể được nhập vào một ô giả mạo. Chữ ký gắn liền với tên miền thì không thể.
Mã OTP, thẻ thông minh và mật khẩu
Thiết bị YubiKey cao cấp hỗ trợ nhiều ngôn ngữ, chứ không chỉ một. Nó có thể tạo ra mật khẩu dùng một lần của Yubico, một chuỗi 44 ký tự phức tạp bên cạnh mã sáu chữ số mà ứng dụng hiển thị. Nó cũng hỗ trợ mật khẩu dùng một lần dựa trên thời gian, cùng chuẩn TOTP mà ứng dụng xác thực của bạn sử dụng. Nó hoạt động như thẻ thông minh cho việc đăng nhập của doanh nghiệp và chính phủ. Và nó lưu trữ các khóa xác thực để xác thực hoàn toàn không cần mật khẩu, trong đó khóa chính là thông tin đăng nhập, chứ không phải là bản sao lưu. Tính năng cuối cùng này đang phát triển nhanh chóng: Liên minh FIDO cho biết gần một nửa trong số 100 trang web hàng đầu đã chấp nhận khóa xác thực.
| Giao thức | Chức năng của nó là gì? | Thay thế |
|---|---|---|
| FIDO2 / WebAuthn | Tên đăng nhập và mật khẩu chống lừa đảo | Mật khẩu và xác thực hai yếu. |
| U2F | Yếu tố thứ hai gắn liền với nguồn gốc | Mã SMS và mã ứng dụng |
| Yubico OTP | Mật khẩu dùng một lần gồm 44 ký tự | Mã xác thực ngắn |
| TOTP / LỜI THỀ | Mã dựa trên thời gian được lưu trữ trên chìa khóa | Một ứng dụng xác thực riêng biệt |
| Thẻ thông minh (PIV) | Đăng nhập dựa trên chứng chỉ | Đăng nhập bằng thẻ doanh nghiệp |
Vì sao YubiKey vượt trội hơn SMS và các ứng dụng xác thực?
Mọi yếu tố xác thực thứ hai thông thường khác đều có thể được chuyển tiếp đến một trang web giả mạo trong thời gian thực. YubiKey thì không thể, và chính lỗ hổng đó là nơi tiền điện tử bị đánh cắp.
SMS là mắt xích yếu nhất
Mã xác thực qua tin nhắn SMS có vẻ tiện lợi nhưng lại là lựa chọn tồi tệ nhất. Mã này được gửi đến số điện thoại của bạn, và số điện thoại của bạn có thể bị đánh cắp. Trong trường hợp đổi SIM, kẻ tấn công thuyết phục nhà mạng chuyển số điện thoại của bạn sang SIM của chúng, sau đó trực tiếp lấy mã xác thực của bạn. Đây không phải là trường hợp hiếm gặp. Gian lận đổi SIM ở Anh đã tăng hơn 1055% trong năm 2024. Đó là lý do tại sao CISA và FBI từ chối coi SMS là phương thức xác thực đa yếu tố (MFA) chống lừa đảo. Đối với tài khoản chứa tiền, tin tưởng SMS là một sai lầm, và chính điểm yếu này khiến khóa phần cứng trở nên quan trọng hơn đối với người nắm giữ tiền điện tử so với hầu hết những người khác.
Ngay cả các ứng dụng xác thực cũng có lỗ hổng bảo mật.
Các ứng dụng xác thực là một bước tiến lớn so với tin nhắn SMS và được coi là phương thức xác thực hai yếu tố mạnh mẽ bên cạnh mã xác thực qua tin nhắn, nhưng chúng vẫn giữ một điểm yếu. Bất kỳ hình thức xác thực đa yếu tố nào cũng đáng để bật; Microsoft đã phát hiện ra rằng nó chặn được 99,9% các cuộc tấn công tự động. Tuy nhiên, loại hình xác thực sẽ quyết định liệu kẻ lừa đảo là người thật có thể vượt qua được hay không. Mã sáu chữ số mà ứng dụng hiển thị chỉ là một con số, và một con số có thể được nhập vào một ô giả mạo. Một trang web lừa đảo hiện đại yêu cầu mã của bạn và chuyển tiếp nó đến dịch vụ thật trong vòng 30 giây. YubiKey sẽ bịt kín lỗ hổng đó, bởi vì chữ ký của nó được liên kết với tên miền thật và không thể được sử dụng lại trên một tên miền khác. Đó không phải là lý thuyết. Đó là lý do tại sao 85.000 nhân viên của Google đã ngừng bị lừa đảo kể từ ngày các khóa phần cứng thay thế tất cả các phương thức khác.
| Phương pháp | Chống lừa đảo | Chống đổi SIM | Hoạt động ngoại tuyến |
|---|---|---|---|
| Mã SMS | KHÔNG | KHÔNG | KHÔNG |
| Ứng dụng xác thực | KHÔNG | Đúng | Đúng |
| YubiKey | Đúng | Đúng | Đúng |
Sử dụng YubiKey để bảo mật tiền điện tử của bạn
Đây là phần thưởng dành cho bất kỳ ai tham gia vào thị trường tiền điện tử: YubiKey khóa chính xác những tài khoản mà các vụ đánh cắp SIM và rút tiền từ ví nhắm đến đầu tiên. Hầu hết các sàn giao dịch lớn hiện nay đều hỗ trợ khóa bảo mật phần cứng để bảo vệ tài khoản, và một số cho phép đăng nhập đầy đủ bằng FIDO2 hoặc mật khẩu, bao gồm Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com và KuCoin. Kraken và Bitfinex chấp nhận khóa phần cứng như một yếu tố xác thực thứ hai. Kích hoạt tính năng này có nghĩa là kẻ trộm có mật khẩu và số điện thoại của bạn vẫn không thể đăng nhập nếu không có khóa vật lý.
Đừng chỉ dừng lại ở việc trao đổi tài khoản. Tài khoản quan trọng nhất là email của bạn — nó là con đường khôi phục cho mọi thứ khác — vì vậy hãy đặt mã khóa cho nó trước tiên. Tiếp theo, hãy thêm mã khóa vào trình quản lý mật khẩu của bạn, sau đó là tài khoản trao đổi và bất kỳ dịch vụ ví nào hỗ trợ. Mục tiêu rất đơn giản: loại bỏ mọi đăng nhập chỉ dựa vào mã mà kẻ gian có thể đánh cắp hoặc chặn được. Mã khóa đó sau đó sẽ bảo mật các dịch vụ trực tuyến khác của bạn chỉ bằng một thói quen, và vì công nghệ này được xây dựng đặc biệt để chống lại các cuộc tấn công lừa đảo, nó sẽ vô hiệu hóa chính xác bước mà các trang web rút tiền giả mạo hoặc trang airdrop giả dựa vào. Trên tất cả các tài khoản trực tuyến đó, YubiKey trở thành thông tin xác thực duy nhất mà không ai có thể sao chép từ xa, điều này âm thầm đóng cánh cửa mà các trang web đánh cắp SIM và rút tiền giả mạo dựa vào.
Các mẫu YubiKey và cách lựa chọn
Danh mục sản phẩm của Yubico trông có vẻ "khủng" hơn so với thực tế. Ba câu hỏi sẽ giúp bạn quyết định: thiết bị của bạn có những cổng kết nối nào, bạn có muốn NFC cho điện thoại của mình không, và bạn có muốn cảm biến vân tay không.
Đối với hầu hết mọi người, câu trả lời là YubiKey 5 NFC với giá khoảng 58 đô la. Nó hỗ trợ mọi giao thức trên và cung cấp cho bạn cả USB-A và NFC. Tất cả thiết bị của bạn đều là USB-C? YubiKey 5C NFC là cùng một loại khóa nhưng khác về hình thức. Muốn chi ít hơn? Security Key với giá khoảng 29 đô la loại bỏ các tính năng bổ sung và chỉ hỗ trợ FIDO2 và U2F, đủ dùng cho mã hóa và đăng nhập hàng ngày. Thích vân tay hơn? YubiKey Bio Series, gần 98 đô la, bổ sung thêm cảm biến sinh trắc học để sử dụng không cần mã PIN, và có dòng FIPS dành cho môi trường làm việc được quy định. Dù bạn chọn loại nào, hãy mua hai cái. Cái thứ hai là bản sao lưu của bạn, và bạn sẽ biết ơn nó vào ngày cái đầu tiên bị hỏng.
Hướng dẫn thiết lập và sử dụng YubiKey
Quá trình thiết lập mất khoảng mười phút cho mỗi tài khoản. Phần mà không ai cảnh báo bạn chính là việc sao lưu dữ liệu.
Đăng ký khóa của bạn
Bắt đầu từ trang thiết lập chính thức, chọn một dịch vụ và mở cài đặt xác thực hai yếu tố hoặc mật khẩu. Sau đó, chọn một trong ba cách để cấu hình khóa: đăng ký nó như một khóa bảo mật, lưu mật khẩu vào đó hoặc thả nó vào khe cắm của ứng dụng xác thực. Nhấn khi được nhắc và bạn đã hoàn tất. Hầu hết mọi người đều có hai Yubikey và một vài tùy chọn xác thực trên mỗi tài khoản, vì vậy việc mất một thiết bị sẽ không bao giờ khiến họ bị khóa. Cùng một khóa hoạt động trên Windows, macOS, Linux, Android và iOS, vì vậy nó bảo vệ cả máy tính xách tay và điện thoại của bạn. Hãy bảo vệ email trước, sau đó là trình quản lý mật khẩu, rồi đến Exchange. Ba thiết bị đó sẽ bảo vệ hầu hết các rủi ro thực sự của bạn.
Điểm mấu chốt: sao lưu dữ liệu và giới hạn hợp lý.
YubiKey không phải là phép màu, và những điều cần biết về nó là rất quan trọng. Chỉ cần đăng ký một khóa, nếu làm mất, bạn có thể bị khóa tài khoản, vì vậy hãy luôn đăng ký một khóa dự phòng hoặc cất giữ mã khôi phục ở nơi an toàn. Không phải mọi dịch vụ đều hỗ trợ khóa phần cứng, mặc dù danh sách này ngày càng dài ra mỗi năm. Chi phí ban đầu cũng khá cao, khoảng 58 đô la. Và phần cứng cũng từng gặp lỗi: một lỗi năm 2017 có tên là ROCA, một vấn đề của Infineon năm 2024, cả hai đều cần truy cập vật lý và đều đã được khắc phục trong firmware mới hơn. Đây chỉ là những chi tiết nhỏ, không phải là vấn đề nghiêm trọng. Không điều nào trong số đó quan trọng hơn điều cốt lõi ở đây, đó là ngăn chặn việc chiếm đoạt tài khoản từ xa.
YubiKey có đáng giá đối với người dùng tiền điện tử không?
Đối với bất kỳ ai đang nắm giữ tiền điện tử, câu trả lời rất đơn giản: có. YubiKey là thiết bị chỉ cần mua một lần, khoảng 58 đô la cộng thêm phí sao lưu, không cần đăng ký thuê bao. Hãy so sánh điều đó với việc bị đánh cắp SIM hoặc bị lừa đảo lấy sạch tiền trong tài khoản sàn giao dịch, và bạn sẽ thấy sự chênh lệch là rất lớn. Mật khẩu và ứng dụng xác thực đã nâng cao mức độ bảo mật; YubiKey MFA nâng mức độ bảo mật lên cao hơn, vượt xa tầm với của kẻ tấn công từ xa. Nếu dù chỉ một trong các tài khoản trực tuyến của bạn có chứa tiền, đây là khoản bảo hiểm rẻ nhất mà bạn từng mua.
YubiKey biến dấu vân tay của bạn thành mật khẩu.
Bỏ qua các giao thức và số hiệu sản phẩm, YubiKey làm một việc cực kỳ hiệu quả: nó biến phần bảo mật mạnh nhất của việc đăng nhập thành một vật thể vật lý mà bạn cầm và chạm vào. Tấn công lừa đảo có thể sao chép mật khẩu và truyền mã, nhưng không thể sao chép một chiếc khóa nằm trong túi bạn — hoặc giả mạo thao tác chạm ngón tay của bạn. Đó là toàn bộ lý do tại sao nó hoạt động hiệu quả trong khi mọi thứ khác đều bị lộ. Hãy trang bị một chiếc cho email và tài khoản giao dịch chính của bạn trong tuần này, và thêm một chiếc dự phòng. Vì vậy, câu hỏi thực sự còn lại là câu hỏi thực tế: bạn đang bảo vệ tài khoản nào chứa tiền của mình bằng một mã mà người lạ có thể đánh cắp ngay hôm nay?
