Với Delegated Recovery, Facebook có thể giúp khôi phục tài khoản của bạn thuộc các trang web khác, đây được xem là bước tiến mới dành cho người dùng sợ mất thiết bị khi sử dụng xác thực hai yếu tố (2FA).
2FA – Xác thực hai lớp là gì?
2FA (two-factor authentication) hay còn gọi là xác thực hai lớp, đa phần khi bạn đăng nhập vào tài khoản thì đó là xác thực 1 yếu tố. 2FA yêu cầu người dùng phải có 2 trong số 3 loại thông tin quan trọng nữa mới có thể truy cập vào tài khoản, thông thường là mã PIN sẽ được gửi qua SMS của số di động bạn đã đăng ký.
Phương thức xác thực 2 lớp thực ra được dùng phổ biến nhất là thẻ ATM vì bạn phải trải qua 2 bước: cho thẻ vào máy, nhập password để sử dụng.
Facebook Delegated Recovery được kỳ vọng thay thế 2FA
Theo đó, kỹ sư bảo mật của Facebook, Brad Hill đã đưa ra những lo ngại về phương thức bảo mật 2FA cũ với TechCrunch: “không cần quan tâm website thế nào, nhưng bạn có thể gặp rắc rối khi một người dùng bị mất mật khẩu hoặc mã xác thực. Tính năng Delegated Recovery có thể giúp bạn lấy lại tài khoản ngay cả khi bạn bị rớt điện thoại xuống nước.”
Tính năng bảo mật xác thực tài khoản là mối quan tâm của người dùng khi thiết bị gắn liền với tài khoản bị mất. Đối với những người không quen dùng 2FA, thường chỉ cần đăng nhập bằng mật khẩu. Phương thức 2FA đòi hỏi phải có mã xác thực thứ hai – thường là một tin nhắn chứa mã gửi đến điện thoại di động. Mất thiết bị có thể làm cho bạn không thể truy cập tài khoản vì bạn không thể nhận được các mã xác thực. Facebook đã có có cách giải quyết việc này với phương thức mới Delegated Recovery.
Với Delegated Recovery, Facebook cho phép người dùng thiết lập một mã phục hồi cho các trang web như GitHub và lưu trữ nó vào Facebook. Nếu bạn bị mất các thông tin đăng nhập tại GitHub, bạn chỉ cần đăng nhập vào Facebook và gửi mã token được lưu trữ để chứng minh danh tính của bạn và lấy lại quyền truy cập. Token sẽ được mã hóa, và Facebook không thể truy cập vào các thông tin được lưu trữ trên đó, mạng xã hội này cho biết cũng sẽ không chia sẻ nó với trang web của bên thứ ba (ngoài những trang bạn cho phép).
Hiện tại, tính năng này còn đang thử nghiệm hạn chế và chỉ phù hợp với GitHub. Đây là công cụ mã nguồn mở và đã được bổ sung vào chương trình tìm lỗi nhận thưởng của Facebook (bug bounty program) nên các nhà nghiên cứu có thể kiểm tra và chỉ ra bất kỳ lỗ hổng bảo mật trước khi đưa nó vào các trang web và các nền tảng khác như là một sự thay thế phương thức 2FA truyền thống.
Với Delegated Recovery, Facebook đã loại bỏ phương pháp truyền thống, thay vì phụ thuộc vào email, mạgn xã hội này muốn người dùng cần đến nó với vai trò là một trung tâm xác nhận mã bảo mật của các trang web.
Hill giải thích thêm: “Có rất nhiều lý do khiến cho kỹ thuật khôi phục qua email không an toàn. Bảo mật email không phải là phương thức tối ưu nhất hiện tại. Đó là điểm thất bại duy nhất đối với tất cả mọi thứ bạn làm trực tuyến.” Động thái này cũng giúp cho người dùng sẽ gắn bó với Facebook nhiều hơn.
Những tin đồn về hồi kết của email đã được phóng đại lên rất nhiều, nhưng rõ ràng mong muốn kết thúc nó không phải là một điều dễ. Điều gì sẽ xảy ra khi bạn không thể truy cập vào tài khoản Facebook của mình? Chắc chắn email vẫn còn hữu dụng lâu dài trước khi nó bị khai tử.
Theo: thenextweb