Tắt Quảng Cáo [X] Đăng Nhập để ẩn Tất Cả Quảng Cáo # Lastpass, Authy bị tấn công và một vài suy nghĩ cá nhân xung quanh vụ việc này *Xin chào các bác, các anh em, đã một thời gian em chưa có content nào vì hơi bận rộn, nên hôm nay sẽ là bài viết tiếp theo trình bày đôi dòng suy nghĩ của em về một việc khá hot cuối tuần vừa rồi – Lastpass lần thứ 3 bị tấn công.* Thứ sáu tuần trước (28/8/2022), một trong số những password manager nổi tiếng là Lastpast và trình quản lý OTP Authy thông báo họ đã bị tấn công. Việc thông báo này là đương nhiên vì Lastpass là một ứng dụng có phí, chúng ta là khách hàng của họ và dù có gây lo ngại hay mất khách, họ vẫn phải có thông báo chính thức rằng những gì đã xảy ra. Từ vụ tấn công vào hai ứng dụng nổi tiếng này, liệu việc sử dụng những password manager này có nên được cân nhắc? Rõ rang Lastpass lớn như thế nhưng bị tấn công thì còn nên tin tưởng vào những app này không? Để làm rõ những ý này, sau đây em xin trình bày đôi dòng suy nghĩ, mong nhận được góp ý của các bác nhé. **1. Lastpass đã lần thứ 3 bị tấn công vậy nó còn an toàn để sử dụng không?** **Theo em là CÓ, vẫn nên tiếp tục sử dụng.** So với việc dùng não thì dùng app sẽ giúp chúng ta an toàn hơn rất nhiều (ít nhất là với một đứa não cá như em và có tới hàng trăm account). Cho dù Lastpass bị tấn công nhưng data khách hàng (bao gồm các công ty và người dùng cá nhân) đều không bị ảnh hưởng. Từ 2 lần bị tấn công trong quá khứ, họ thừa biết không có hệ thống nào an toàn 100% nên việc thiết kế để cloud có bị hack thì dữ liệu bị đánh cắp đều bị mã hóa, không thể giải mã là điều được tính đến. Nên em nghĩ chúng ta vẫn nên tiếp tục sử dụng. **2. Authy bị hack thì có nên tiếp tục xài?** **Câu trả lời của em vẫn là CÓ.** Authy được nhiều bên khuyên dùng vì tính năng đồng bộ đa nền tảng sẽ giúp đảm bảo OTP an toàn trong trường hợp có bị hỏng hoặc mất thiết bị. Việc một app chứa OTP bị tấn công cũng sẽ ít nghiêm trọng hơn password manager bị tấn công, nên nếu ta có hàng trăm OTP lưu trong Authy và không tìm được một ứng dụng OTP mạnh mẽ khác thay thế thì hãy yên tâm sử dụng Authy tiếp. **3. Có nên sử dụng những app mã nguồn đóng và lưu trữ dữ liệu trong cloud của riêng họ?**Bản thân là một người sử dụng 1Password đã nhiều năm nên hiện tại em đang dùng một app mã nguồn đóng và dữ liệu lưu trữ hoàn toàn trong cloud của 1Password. Việc sử dụng app mã nguồn mở (như Bitwarden) hay mã nguồn đóng (1Password, Lastpass) không liên quan đến việc app đó có bị tấn công thường xuyên không hay có được update bảo mật liên tục không? Nếu mã nguồn mở cho phép cộng đồng thấy được app đó hoạt động thế nào, lưu data ra sao, có lỗi gì để fix nhưng cũng sẽ có trường hợp có lỗi những họ không công bố và dễ dàng bị lợi dụng nhằm chiếm data người dùng. Các app còn lại không công bố mã nguồn (hay mã nguồn đóng) có thể an toàn hơn, khó hack hơn nhưng một số người lại cảm thấy bất an liệu công ty có đang sử dụng dữ liệu trái phép. Tuy nhiên, những logic này không liên quan đến việc app có bị tấn công hay không, app có đủ tin cậy, an toàn để sử dụng hay không. Và về góc độ người dùng, khi chúng ta trả tiền mua một sản phẩm của 1Password hay Lastpass, công ty sẽ luôn có trách nhiệm bảo vệ chúng ta khỏi mọi cuộc tấn công, vì đó là mục đích của app do họ làm ra, nếu không làm được đương nhiên họ bị mất khách, ế hàng và công ty bay màu. **Nên câu trả lời của em cho câu hỏi này là: ai đang dùng quen món gì thì cứ tiếp tục dùng món đó, mã nguồn mở hay đóng đều được, chỉ cần chọn được app phù hợp với nhu cầu và hầu bao là được.** **4. Đang dùng combo Lastpass free + Authy, nghe tin cả 2 thằng bị tấn công thì nên thế nào?**Bác nào đang dùng combo này thì không nên xỉu ngang, mà cứ tiếp tục tin dùng thôi. Trong thông báo chính thức, Lastpass đã khẳng định rằng dữ liệu khách hàng vẫn an toàn nên anh em không cần lo lắng. Trong trường hợp nếu muốn chuyển đổi sang app khác thì vẫn có nhiều lựa chọn: 1Password, Dashlane, Nordpass,… cho password manager và Microsoft Authenticator cho app OTP. Tuy nhiên, không một hệ thống nào là hoàn hảo và không công ty nào không có khả năng bị hack trong tương lai. Vì thế các công ty lưu trữ dữ liệu bảo mật, kinh doanh cloud mã hóa chắc chắn sẽ có biện pháp riêng để bảo vệ khách hàng của mình. Việc lộ thông tin đăng nhập hầu hết đều từ các cuộc tấn công vào cơ sở dữ liệu các bên cung cấp dịch vụ, do tấn công phishing vào người dùng, do thói quen dùng mật khẩu yếu, dùng một mật khẩu cho nhiều dịch vụ của người dùng, chứ chưa ghi nhận dữ liệu người dùng bị rò rỉ từ những lần bị tấn công của Lastpass (những password manager khác em chưa có thông tin cụ thể). Cho nên, an toàn nhất hiện tại vẫn là nên sử dụng password manager và OTP trên hầu hết các dịch vụ có hỗ trợ. **5. Nên mua thuê bao những ứng dụng lớn hay nên dùng free?**Chắc nhiều anh em mua premium của Lastpass khi nghe tin app bị hack cũng rén lắm. Nhưng như em đã trình bày ở trên, khi mua sản phẩm của họ, chúng ta đã là khách hàng, là “ông hoàng bà hoàng” cần được phục vụ, nên họ còn bán sản phẩm thì ta còn an tâm sử dụng thôi, không cần quá rén. Những anh em nào hầu bao chưa đủ hoặc chưa thấy cần thiết thì cứ tiếp tục dùng app free. Bitwarden là một trong những cái tên nổi tiếng nhất. Dùng app trả tiền thì đương nhiên tốt rồi, nhưng free thì không có nghĩa là không tốt. Tuy nhiên, các bác cũng nên tìm hiểu thật kỹ để xuống tiền hoặc lựa chọn app sử dụng. Dữ liệu mật khẩu là những dữ liệu quan trọng nhất nên không phải cứ app nào ghi password manager cũng có thể dùng được, hãy lựa chọn cho kỹ nhé, biết đâu app đó trong quá khứ từng bị tấn công mà họ không công bố trên báo cũng nên. **6. Nên đầu tư mua một con Yubikey (hay security key bất kỳ khác) hay không?**Trong cuộc tấn công này còn có một cái tên khác được nhắc đến là Cloudflare. Công ty cũng được nhắm đến nhưng đã thoát nạn vì nhân viên của họ dùng các chìa khóa vật lý để xác thực 2 lớp (như Yubikey, security key) nên đã thoát nạn khi Authy bị tấn công. Những chìa khóa vật lý này đương nhiên có điểm xịn hơn các app online rồi. Chúng không thể bị làm giả nên hacker khả nghi nhất sẽ chỉ là vợ các bác chứ không thể là một ông bên Tây bên Tàu nào cả. Tuy nhiên, việc sử dụng các key này cũng cần vốn đầu tư ban đầu, từ 500k đến gần 1tr5, có loại hơn 2tr, hơn nữa nếu chỉ dùng key vật lý thì ta nên có 2 key để 1 key sử dụng, 1 key dự phòng cất ở nhà. Nên nếu anh em nào muốn thử móc khóa mới với tính năng xác thực 2 lớp thì có thể sắm 1 con về chơi, kết hợp vừa app online và vừa key vật lý luôn. Còn những anh em nào cảm thấy chưa cần thiết thì cứ tiếp tục sử dụng như hiện tại. Bài viết cũng đã dài và em đã trình bày đầy đủ ý muốn nói. Chốt vấn đề một lần nữa là: Ông nào đang gắn bó với Lastpass thì cứ tiếp tục dùng và không lo ngại gì hết. Ông nào chưa dùng thì nhanh tay chọn ngay một app mà dùng đi vì 2022 rồi không ai dùng pass “longxaodua@69” cho nhiều tài khoản nữa đâu. ## CẢM ƠN CÁC BÁC ĐÃ ĐỌC BÀI VIẾT CỦA EM NHÉ! *P.S. Bài viết được chia sẻ từ góc nhìn của một người dùng bình thường, mong nhận được suy nghĩ của anh em và những ý kiến góp ý về những điều em đã trình bày trong bài viết nhé!* *#j2team_share #j2team_discussion*
Vẫn tin dùng Google Authenticator vì không có backup lên Cloud, chỉ có backup duy nhất là mã QR của mình.
Bác não lười nhớ thì cứ dùng, có thể mã hoá thêm theo công thức của mình trước khi lưu vào những app đó thì càng an toàn )
Độ an toàn của password manager theo mình không phải là do mã nguồn đóng hay mở mà là số bên kiểm tra (audit) độc lập, càng nhiều thì nó càng an toàn, và bitwarden là một trong các bên công bố họ đã pass qua các kì kiểm tra như vậy nên rất tin tưởng bitwarden Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO
Pass thì mình lưu lên trình duyệt, acc trình duyệt thì mình bật 2fa vật lý (lát nói sau). Dịch vụ nào ko có 2fa vật lý thì mình dùng Google Authen chứ ko dùng mấy loại sync được, vì như vậy nó bảo mật hơn, chấp nhận đổi tính tiện dụng lấy bảo mật. Key của 2fa authen thì lưu vào nơi khác có 2fa vật lý (gdrive chẳng hạn) 2fa vật lý mình dùng ví lạnh nanoX, vì mình có dùng để trữ coin, key của ví lạnh thì ghi ra giấy. Cơ bản là vậy, các loại dính đến bảo mật, backup thì hạn chế cho sync cloud
Tui không hiểu mấy ông xài cái này làm gì luôn =)) Google nó support hết rồi còn không an tâm xài? (trừ mấy ông bên apple) Sợ Virut thì bớt xài crack