Câu hỏi bảo mật là một mật khẩu mà bạn không hề chọn

Đăng ngày bởi David Carrero

Khi một biểu mẫu hỏi bạn tên thời con gái của mẹ bạn, nó không hề xin bạn một bí mật. Nó đang xin bạn một dòng trong sổ hộ tịch.

Toàn bộ lời phê bình nằm gọn ở đó; phần còn lại chỉ là chi tiết. Câu hỏi bảo mật là một mật khẩu mang ba khuyết tật mà mật khẩu bình thường không có: bạn không phải người chọn nó, câu trả lời đoán được vì rất nhiều người trả lời giống hệt nhau, và nó thường đã nằm sẵn ở một nơi bạn không kiểm soát. Đổi lại, nó được ban cho một đặc quyền khổng lồ: nó có thể thay thế mật khẩu của bạn. Đó là cửa sau của tài khoản, và nó ọp ẹp hơn cửa trước.

Đây không phải linh cảm nghề nghiệp. Đây là thứ Google đã đo.

Nghiên cứu mà không ai đọc trước khi thiết kế cái biểu mẫu

Năm 2015, năm nhà nghiên cứu — Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson và Mike Williamson — trình bày tại hội nghị WWW ở Florence một công trình mà cái tựa đã nói gần hết: Secrets, Lies, and Account Recovery. Đây không phải phòng thí nghiệm với ba chục tình nguyện viên: họ phân tích hàng trăm triệu câu trả lời bí mật và hàng triệu lượt khôi phục tài khoản có thật.

Phát hiện của họ có hai nửa. Người ta hầu như chỉ kể một nửa.

Nửa thứ nhất: chúng bị đoán trúng

Mô hình đe dọa của bài báo không phải ông anh rể tò mò của bạn: đó là kẻ tấn công hàng loạt và chỉ cần trúng một phần nhỏ là đủ. Nhìn qua cái kính lúp ấy, các con số đổi hẳn ý nghĩa.

Chỉ với một lần thử duy nhất, kẻ tấn công sẽ đoán trúng 19,7 % câu trả lời của người dùng nói tiếng Anh cho câu “Món ăn yêu thích của bạn là gì?”. Một lần. Và câu trả lời, nếu bạn còn nghi ngờ, thường đúng là cái đang hiện lên trong đầu bạn lúc này. Với mười lần thử, hắn trúng 39 % câu trả lời của người dùng Hàn Quốc cho câu “Thành phố nơi bạn sinh ra?”. Còn chỉ một lần thử thì trúng 3,8 % câu trả lời của người dùng nói tiếng Tây Ban Nha cho câu mà Google dịch ra thành “Họ thứ nhất của cha bạn?”.

Con số 3,8 % nghe có vẻ bé, cho tới khi bạn nhớ ra rằng kẻ tấn công không tấn công tài khoản của bạn: hắn tấn công một triệu tài khoản. Và cũng chẳng cần phải là Google mới dựng được cái danh sách đó. Chính các tác giả đã kiểm chứng: chỉ với một nghìn câu trả lời mua trên một dịch vụ crowdsourcing, họ dựng được các phân phối đạt từ 75 % đến 80 % hiệu quả so với phân phối thật khi thử tới một trăm lần. Thí nghiệm đó tốn của họ 100 đô la và chưa hết một ngày.

Điều tàn nhẫn là ngay cả những câu hỏi được thiết kế để độc nhất cũng không thoát. Một số hiệu khách hàng thường xuyên của hãng bay lẽ ra phải là không trùng lặp theo đúng định nghĩa; trên thực tế, một lần thử duy nhất trúng 4,2 % ở nhóm nói tiếng Anh. Lý do thì tuyệt vời, và ta sẽ quay lại: người ta nói dối, và nói dối theo bầy.

Nửa thứ hai: chúng bị quên

Đến đây thì lập luận sụp hẳn, bởi lý do duy nhất khiến chúng ta còn dùng câu hỏi bảo mật là niềm tin rằng chúng đáng tin cậy. Tiền đề nghe cũng hợp lý: nhớ tên thành phố quê mình thì phải dễ hơn nhớ xK4$mz chứ. Không hề. 40 % người dùng Mỹ nói tiếng Anh không tài nào nhớ nổi câu trả lời của chính mình vào đúng lúc cần đến nó. Họ không quên nó một cách trừu tượng: họ đang cố vào tài khoản của mình và không vào được.

Rồi xuất hiện cái nghịch lý hoàn hảo, thứ lẽ ra đã phải khai tử công nghệ này từ mười năm trước. Câu hỏi càng an toàn thì càng khó nhớ. Cũng trong nhóm dân số ấy, câu “Tên đệm của cha bạn?” — một câu hỏi ọp ẹp — có tỷ lệ nhớ đúng 76 %. Câu “Số điện thoại đầu tiên của bạn?”, khó đoán hơn hẳn, tụt xuống 55 %. Còn các ứng viên trên lý thuyết là an toàn nhất thì chìm nghỉm: “Số thẻ thư viện của bạn?” được 22 %, “Số khách hàng thường xuyên của hãng bay?” được 9 %.

Thời gian bồi nốt cú cuối. Với câu “Món ăn yêu thích của bạn?”, tỷ lệ nhớ đúng là 74 % sau một tháng, 53 % sau ba tháng và chỉ còn 47 % sau một năm. Mà các lượt khôi phục không dồn hết vào lúc đầu: các tác giả phát hiện người dùng không hề có xu hướng đi khôi phục tài khoản sớm hơn là muộn, nên phần lớn chỉ chạm tới câu hỏi khi ký ức đã bay hơi từ lâu.

Kết luận của các tác giả cũng chẳng cho phép diễn giải lại nhiều: dường như gần như bất khả thi để tìm ra những câu hỏi bí mật vừa an toàn vừa dễ nhớ.

Nói dối không cứu được bạn, nó nhốt bạn lại

Phản ứng tỉnh táo, khi bạn đã hiểu vấn đề, là nói dối: nếu người ta hỏi thành phố quê bạn, cứ trả lời “Reykjavík” rồi đi tiếp.

Bài báo cũng đo cả chuyện đó, bằng một khảo sát trên dân số Mỹ. Trong số những người thừa nhận có đưa câu trả lời giả, 37 % làm vậy để gây khó cho kẻ tấn công, 15 % làm vậy để dễ nhớ hơn — đọc lại lần nữa đi — và 31,9 % vì quyền riêng tư, đơn giản vì họ chẳng muốn tặng không tiểu sử của mình cho một công ty.

Vấn đề là làm cho câu trả lời cứng cáp hơn lại là một động tác dễ đoán. Con số 4,2 % của mấy cái số hiệu khách hàng thường xuyên nằm ngay đó: lời nói dối của nhiều người giống nhau hơn hẳn so với sự thật của họ. Và cái giá thì trả ở nửa còn lại. Những người dùng Mỹ điền câu “Số điện thoại đầu tiên của bạn?” bằng một thứ có bảy chữ số — tức một câu trả lời nghe hợp lý — nhớ ra câu trả lời của mình 55 % số lần. Những người điền sáu ký tự, tức là những người bịa đại ra một thứ gì đó, chỉ nhớ đúng 18 %.

Nói dối mà không ghi lại thì không phải là chiến lược bảo mật. Đó là vứt luôn chìa khóa.

Trong tiếng Việt, câu hỏi ấy thậm chí còn vô nghĩa

Hãy quay lại với tên thời con gái của mẹ bạn. Ở Việt Nam, phụ nữ lấy chồng vẫn giữ nguyên họ tên của mình, nên “tên thời con gái của mẹ” chính là tên mẹ bạn, cái tên bạn gọi mỗi ngày. Câu trả lời được in sẵn trong giấy khai sinh của bạn.

Và đây không phải chuyện kỳ quặc của riêng một nơi. Chính bài báo dẫn lại một nghiên cứu của Griffith và Jakobsson, những người suy ra được cái họ ấy của ít nhất 30 % cư dân bang Texas từ hồ sơ khai sinh và đăng ký kết hôn công khai; và dẫn Rabkin, người phát hiện 16 % các câu hỏi đang được dùng trên thực tế có câu trả lời được liệt kê sẵn như cơm bữa trên các trang cá nhân mạng xã hội công khai.

Một dữ liệu đã nằm trong sổ đăng ký và hiện lên trên trang cá nhân của bạn thì không phải bí mật chung. Đó là thông tin công khai với một ô nhập mật khẩu đặt phía trước.

Làm gì với cái biểu mẫu đang ép bạn

Đôi khi không có đường thoát: ngân hàng đòi ba câu hỏi và không điền thì không đi tiếp được. Trong trường hợp đó, hãy thôi coi chúng là câu hỏi và hãy đối xử với chúng đúng như bản chất của chúng.

  • Hãy trả lời bằng một mật khẩu, đừng trả lời bằng đời mình. Câu “Thành phố nơi bạn sinh ra?” hoàn toàn có thể được đáp bằng một chuỗi ngẫu nhiên lấy từ trình tạo mật khẩu, hoặc bằng một cụm từ mà bạn đã cho chạy qua trình kiểm tra trước đó. Đó là câu trả lời duy nhất không có mặt trong bất kỳ sổ đăng ký nào.
  • Hãy lưu nó vào trình quản lý mật khẩu, ngay trong mục của trang đó. Việc này không phải tùy chọn: nó đúng là khoảng cách giữa 55 % và 18 % tỷ lệ nhớ ra. Lời nói dối chỉ có tác dụng nếu bạn cất giữ nó.
  • Nếu dịch vụ cho bạn chọn phương thức khôi phục khác, hãy chọn. Theo dữ liệu của Google, SMS thành công 81 % số lần và email 75 %, so với 61 % của câu hỏi bí mật ở nhóm người dùng Mỹ nói tiếng Anh — và chỉ 44 % ở nhóm người Pháp.

Google đã hành động đúng theo dữ liệu của chính mình đang bày ra trước mắt: họ đẩy câu hỏi bí mật xuống hàng phương án cuối cùng, và luôn phải đi kèm các tín hiệu khác. Điều bài báo khuyến nghị là đừng dùng chúng một mình.

Mười một năm sau, công ty bảo hiểm vẫn hỏi bạn tên con vật nuôi đầu tiên của bạn. Hãy đáp lại nó bằng mười sáu ký tự ngẫu nhiên. Nó xứng đáng được thế.


Nguồn: J. Bonneau, E. Bursztein, I. Caron, R. Jackson và M. Williamson, “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google”, WWW 2015, Florence · V. Griffith và M. Jakobsson, “Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records”, ACNS 2005, và A. Rabkin về các câu hỏi bảo mật trên thực tế, cả hai đều được dẫn trong công trình nói trên.

← Quay lại blog