Theo NYTimes, cuộc tấn công mạng vào Facebook mới đây đã gióng lên một hồi chuông cảnh báo, về cách mà người dùng đang sử dụng tài khoản mạng xã hội này như một chiếc chìa khóa đa năng. Nhờ sự phổ biến của Facebook, tất cả được tích hợp qua một tài khoản và người dùng đơn giản chỉ cần một lần nhấn nút. Điều này mang lại sự thuận tiện và phần nào đó, cũng an toàn hơn việc tạo và ghi nhớ hàng chục mật khẩu cho các trang web khác nhau. Facebook có đủ tiềm lực tài chính và uy tín để thuê những nhân viên bảo mật tốt nhất nhằm bảo vệ chiếc chìa khóa này, điều mà các trang web nhỏ không thể làm được. Nếu các trang nhỏ bị tấn công, việc này cũng khó có thể gây ảnh hưởng gì tới tài khoản Facebook của người dùng.
Tuy nhiên, vụ hack vừa qua đã làm thay đổi suy nghĩ này. Bởi khi chìa khóa gốc đã bị trộm, toàn bộ các trang web kia sẽ mở rộng cửa cho các tin tặc vào tìm kiếm thông tin.
Trên thực tế, có nhiều cách an toàn và tiện lợi hơn để đăng nhập vào các trang web trực tuyến. Cách tốt nhất được nhiều chuyên gia khuyến nghị là sử dụng một dịch vụ quản lý mật khẩu chuyên dụng, như LastPass hoặc 1Password. Chúng tạo và ghi nhớ mật khẩu khá mạnh cho từng trang web khác nhau. Các hệ điều hành và trình duyệt ngày nay cũng đang trở nên tốt hơn trong việc quản lý mật khẩu. Ví dụ iPhone, cho phép người dùng truy cập các trang web bằng nhận dạng khuôn mặt, thuận tiện tương tự nhấn nút Facebook Login.
Nếu vì một lý do nào đó, người dùng không muốn sử dụng các dịch vụ quản lý mật khẩu, vẫn còn các lựa chọn khác. Đơn cử công cụ của nhiều "đại gia công nghệ" như Google hoặc Microsoft. Tất nhiên, một ngày nào đó các công ty này cũng có thể bị tấn công. Nhiều tên tuổi lớn như Yahoo, LinkedIn hay Equifax đã bị hack. Nhưng vào lúc này, so với Facebook, các dịch vụ đăng nhập của Google hoặc Microsoft vẫn có một lợi thế lớn hơn. Đó là các công ty này không bị mất quyền kiểm soát tới hơn 50 triệu tài khoản người dùng.
Jason Polakis, trợ lý giáo sư về khoa học máy tính tại Đại học Illinois ở Chicago, đã nghiên cứu tính bảo mật của các dịch vụ đăng nhập như Facebook. Ông cho rằng tính năng đăng nhập một lần duy nhất có những lợi ích và thuận tiện to lớn, thậm chí cả về mặt an ninh.
"Rõ ràng, các công ty lớn như Facebook và Google có những kỹ sư tuyệt vời và kinh nghiệm bảo mật của họ nói chung là đi trước so với các trang web nhỏ", ông nói.
Nhưng ông cũng tin rằng không có công ty nào, thậm chí là giàu có và có quy mô khổng lồ như Facebook hay Google, có thể đảm bảo an ninh một cách hoàn hảo. Theo một số cách, Polakis nói, chính quy mô và sự phức tạp của Facebook đã chống lại hệ thống an ninh của nó. Ví dụ như cuộc tấn công vừa qua vào Facebook dường như đã được gây ra bởi ba lỗi khác nhau.
"Hệ thống mã hóa của các dịch vụ này rất lớn, ông nói. "Họ có các đội ngũ khác nhau, làm việc trên các thành phần khác nhau và có thể tương tác với nhau theo nhiều cách. Điều này có thể tạo ra những kịch bản tấn công điên rồ mà không ai ngờ tới".
Ngay cả khi hàng triệu tài khoản Facebook không bị tấn công, người dùng cũng luôn phải đối mặt với nhiều nguy cơ bị tấn công thông qua các thủ thuật trực tuyến. Bất cứ ai xâm nhập tài khoản Facebook của người khác đều có quyền truy cập vào mọi thứ mà họ liên kết với Facebook.
Còn về các dịch vụ quản lý mật khẩu, theo Polakis, chúng tốt hơn việc sử dụng tính năng đăng nhập một lần của các hệ thống lớn. Bởi dù các dịch vụ này có thể bị tấn công, nhưng "so với các nền tảng khổng lồ có hàng triệu dòng mã cùng vô số chức năng khác nhau, đội ngũ của dịch vụ quản lý mật khẩu có một công việc cụ thể và đơn giản hơn, do đó giảm thiểu cơ hội xảy ra sự cố".
Theo một phát ngôn viên của Facebook, việc sử dụng Facebook Login vẫn an toàn hơn những mật khẩu yếu mà mọi người thường tạo ra và tái sử dụng cho nhiều trang web và dịch vụ cùng lúc. Bên cạnh đó, mạng xã hội này đang ngày càng quan tâm, đầu tư một cách nghiêm túc và mạnh vào các hoạt động bảo mật cũng như quyền riêng tư của người dùng trong thời gian vừa qua, đặc biệt sau các scandal nổi lên gần đây.
Cuối tháng 9 vừa qua, Facebook bị tấn công mạng. Dữ liệu cá nhân của ít nhất 50 triệu người dùng có thể đã bị tin tặc khai thác thông qua lỗ hổng phần mềm. Điều này đồng nghĩa với việc những kẻ tấn công có thể không chỉ truy cập vào tài khoản Facebook mà còn có thể là nhiều trang web khác mà người dùng đã sử dụng tài khoản Facebook để đăng nhập. Ví dụ như Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia và hơn 100.000 địa chỉ trực tuyến khác.
Cả Facebook lẫn các trang web của bên thứ ba dường như vẫn không biết chính xác mức độ thiệt hại mà vụ tấn công này gây ra. Trong một tuyên bố hôm 2/10, Guy Rosen, phó chủ tịch quản lý sản phẩm của Facebook, cho biết công ty "không có bằng chứng" xác định kẻ tấn công đã sử dụng thông tin có được để truy cập trái phép vào tài khoản của người dùng trên các ứng dụng và dịch vụ khác. Các bên đang tiến hành xây dựng và thực hiện các biện pháp tinh vi hơn để điều tra sâu sự việc. Nhưng đây không phải điều đơn giản bởi khối lượng công việc là khổng lồ và rất phức tạp.