Quản chặt tài khoản lập trình tại kho ứng dụng

Các vụ mất cắp thông tin do giả mạo tài khoản có thể được ngăn chặn rất dễ dàng, ít nhất bằng bảo mật

Mới đây xuất hiện thông tin về một số vụ lừa đảo thông qua tài khoản App Store. Qua quá trình tìm hiểu, ngoài việc chủ nhân của các tài khoản này thông báo bị đánh cắp dữ liệu thì một số phiên bản giả mạo Quickoffice cũng đã được tung lên “chợ ứng dụng” này.

Một khi các tài khoản này bị chiếm quyền điều khiển liệu có đồng nghĩa với hệ thống bảo mật xác thực 2 cấp của Apple là không đáng tin cậy? Thực ra không phải vậy, hệ thống bảo mật cơ chế mới của Apple mới được áp dụng từ năm ngoái và có lẽ nhiều nhà phát triển vẫn chưa áp dụng cơ chế này và đinh ninh rằng họ vẫn an toàn.

tin-tuc-15-1-1

cũng không mặc định bật chế độ bảo mật 2 lớp song hãng cho phép người dùng có thể kích hoạt tính năng này thông qua trang quản lý tài khoản. Nếu người dùng chưa kích hoạt tính năng này thì hãng sẽ gửi thư điện tử về cho chủ nhân tài khoản mỗi khi có bất cứ biến động nào và yêu cầu người dùng nhập mã xác thực gửi kèm trong thư. Chính sách này cũng áp dụng mỗi khi người dùng sử dụng thiết bị mới đăng nhập vào tài khoản.

Hệ điều hành cũng có thể áp dụng được cơ chế xác thực 2 lớp để bảo vệ các tài khoản Play cho giới lập trình viên song phương pháp thì rắc rối hơn nhiều so với Apple và Microsoft. Ngay cả các nhà lập trình mới cũng có vẻ nghiêng về phía sử dụng giải pháp bảo mật kém hơn mà Apple đã áp dụng từ lâu là gửi thư thông báo về biến động tài khoản. Việc nhận được email này còn tốt hơn là không có gì song nó chẳng có tác dụng gì trong việc ngăn chặn việc chiếm tài khoản. Mỉa mai hơn là khi người dùng nhận ra ý nghĩa của những bức thư này thì tài khoản của họ đã bị đột nhập. Nếu chuyện này xảy ra, người dùng chỉ có thể chờ đợi các hệ thống tự động của Apple và Google phục hồi lại tài khoản. Trong khoảng thời gian chờ đợi đó, tài khoản hợp pháp của người dùng thực chất đã bị chiếm quyền điều khiển và hacker đã có thể lợi dụng để phát tán ứng dụng giả mạo hay phần mềm độc hại. Cơ chế xác thực hai lớp không phải là bất khả xâm phạm song ít ra nó cung cấp được những phòng tuyến phòng vệ cơ bản cho người dùng.

Bảo mật tài khoản lập trình tại App Store

Với các lập trình viên tham gia cung cấp ứng dụng trên App Store của Apple, họ có thể đăng ký thiết bị iOS như là bước phòng vệ thứ hai và mọi biến động liên quan đến tài khoản đều phải được sự xác nhận từ thiết bị này mới có thể thực thi. Việc này cũng tương tự như những gì Apple thiết lập cho các tài khoản người dùng iCloud thông thường. Song điều tối quan trọng cần lưu tâm vẫn là mật khẩu. Vì Apple sử dụng chung một hệ thống định danh nên thiết bị iOS có thể sẽ lẫn giữa tài khoản cá nhân và tài khoản lập trình và mang tới những hiểm họa không đáng có.

tin-tuc-15-1-2

Kích hoạt xác nhận 2 bước đối với Apple ID

Để kích hoạt tính năng xác thực 2 bước này, người dùng cần đăng nhập vào trang quản lý bảo mật và mật khẩu của Apple, bấm hoặc chạm vào đường dẫn Get Started bên dưới tiêu đề Two-Step Verification và tiếp tục làm theo các bước hướng dẫn trên màn hình.

Apple cũng cung cấp mật khẩu khôi phục trong trường hợp người dùng lỡ quên hoặc đánh mất thiết bị, đây cũng là giải pháp dự phòng hiệu quả trong nhiều trường hợp. Tác giả đề xuất nên lưu mật khẩu khôi phục này trên một thiết bị hoặc máy tính riêng biệt khác chứ không lưu ngay trên thiết bị, kể cả khi bạn có giữ chúng trong iCloud hay các ứng dụng khác ngay trên máy thì cũng không an toàn.

Lưu ý rằng việc kích hoạt tính năng xác thục 2 bước này sẽ làm cho người dùng cảm thấy khá phiền phức trong thời gian đầu khi mọi thay đổi liên quan đều được Apple gửi thư cảnh báo. Song nếu so sánh với sự an toàn của dữ liệu nếu chẳng may bị mất thiết bị thì rõ ràng là việc nên làm. Google cũng bắt đầu tiến hành áp dụng phương thức này.

Bảo mật tài khoản lập trình Android

Với hệ điều hành Android thì mọi chuyện không đơn giản như vậy, các nhà lập tình thậm chí còn không tìm thấy đường dẫn kích hoạt bảo mật 2 bước nào trên trang quản lý tài khoản lập trình tại Play Store. Tác giả bài viết này đã phải tìm nó thông qua trang tìm kiếm Google và “moi” nó ra từ một trang trợ giúp. (Độc giả quan tâm có thể vào đường dẫn này ). Google hiện áp dụng phương thức giống như các ngân hàng vẫn làm, sau khi đăng nhập và kích hoạt theo đường dẫn, người dùng sẽ nhận được tin nhắn hay cuộc gọi cung cấp một mã xác thực dùng một lần để xác nhận.

tin-tuc-15-1-3

Kích hoạt xác nhận 2 bước đối với tài khoản Google

Bạn có thể thông báo Google không yêu cầu mã xác thực từ một trình duyệt cụ thể trên một máy tính cụ thể trong những lần sau, vì vậy bạn không cần sử dụng bước thứ hai mỗi khi bạn thực hiện thay đổi – chỉ khi bạn (hoặc người khác) tìm cách thay đổi từ một thiết bị khác. Tất nhiên, nếu bạn vô hiệu hóa các yêu cầu mã xác thực trên máy tính hoặc thiết bị và bị người khác đánh cắp nó và biết ID và mật khẩu của bạn, thì bạn sẽ không còn được bảo vệ bởi bước thứ hai. Giống như với Apple, việc sử dụng các tài khoản định danh Google khác nhau trên thiết bị Android là việc nên làm. Nó sẽ gây ra phiền toái không nhỏ cho chủ nhân thiết bị bởi lẽ Google thích sử dụng một tài khoản định danh trên thiết bị cho toàn bộ các dịch vụ mà hãng cung cấp.

Như vừa nói, việc chuyển đổi qua lại giữa các tài khoản Google là không thuận tiện và dễ xảy ra trường hợp chuyển dữ liệu từ tài khoản này sang tài khoản khác. Cần lưu ý là Goole lưu toàn bộ dữ liệu về quá trình tìm kiếm của người dùng và điều này không an toàn chút nào cho các chủ nhân của thiết bị Android. Và cũng đừng quên là các thiết bị Android luôn là mồi ngon và đích ngắm của tin tặc, do vậy việc tách bạch việc quản lý các tài khoản Google trên thiết bị là việc nên làm cho dù nó có gây ra phiền toái.

Bảo mật tài khoản lập trình Microsoft

Còn đối với các thiết bị sử dụng hệ điều hành Microsoft thì sao? Liệu sau khi Windows 10 ra mắt vào năm tới có làm cho Windows Metro khởi sắc và qua đó thu hút được nhiều lập trình viên tham gia hay không? Bản thân Microsoft cũng cung cấp phương thức bảo mật 2 bước dành cho người dùng: ứng dụng Microsoft Authenticator chạy trên các thiết bị cài đặt Android hay Windows Phone, ứng dụng Google Authenticator chạy trên iOS. Người dùng cần tải các ứng dụng tương thích về thiết bị của mình, đăng nhập vào trang quản lý bảo mật bảo vệ tài khoản của Microsoft, sau đó bấm hoặc chạm vào đường dẫn hướng dẫn cài đặt bảo mật hai lớp Set Up Two-Step Verification rồi làm theo các hướng dẫn tiếp theo để đồng bộ thiết bị cài đặt với tài khoản Microsoft là xong. Sau đó người dùng còn phải xác thực một lần nữa trên thiết bị thông qua ứng dụng để hoàn tất.

tin-tuc-15-1-4

Kích hoạt xác thực 2 bước đối với tài khoản Microsoft

Với sự thiếu an toàn trên môi trường mạng hiện nay, các nhà lập trình cũng nên chú ý và siết chặt quản lý hơn nữa đối với tài khoản của mình tại các kho ứng dụng như Apple, Google và Microsoft. Cần lưu ý tách bạch tài khoản cá nhân và tài khoản lập trình và chấp nhận các phiền phức nếu có để đổi lấy sự an toàn.

Theo: PCWorld VN

Bài viết liên quan