Các nhà nghiên cứu tại Cornell Tech đã phát triển một hệ thống mới giúp người dùng phát hiện khi tài khoản trực tuyến của họ bị xâm phạm - mà không để lộ thiết bị cá nhân cho việc theo dõi xâm phạm từ các dịch vụ web.

Hệ thống có tên Client-Side Encrypted Access Logging (CSAL) được giới thiệu tại Hội nghị Bảo mật USENIX vào ngày 15/8 tại Seattle. Phương pháp "đặt quyền riêng tư lên hàng đầu" giúp xác minh xem việc đăng nhập có đến từ thiết bị của người dùng hay không, giải quyết một lỗ hổng trong cách các nền tảng lớn như Google và Facebook hiện đang ghi nhật ký truy cập tài khoản.

Các nhà khoa học cho biết hệ thống mới này có thể đặc biệt hữu ích cho những người dùng có nguy cơ cao bị tấn công mạng có chủ đích, như nhà báo, nhà hoạt động và nhân vật công chúng, những người cần xác minh hoạt động tài khoản. Nghiên cứu này được thúc đẩy bởi công việc của các tác giả với những người sống sót sau bạo lực từ người thân tại Phòng khám Chấm dứt Lạm dụng Công nghệ (CETA) của Cornell Tech; sự an toàn của những người sống sót thường phụ thuộc vào việc biết liệu và khi nào đối tác của họ đã truy cập vào tài khoản của họ.

Nghiên cứu được dẫn đầu bởi Carolina Ortega Pérez và Alaa Daffalla, cả hai đều là nghiên cứu sinh tiến sĩ ngành khoa học máy tính, và Thomas Ristenpart, giáo sư tại Cornell Tech và Trường Đại học Cornell Ann S. Bowers về Khoa học Máy tính và Thông tin. Nhóm nghiên cứu phát hiện ra rằng các bản ghi truy cập hiện tại dựa vào dữ liệu phía máy khách - như định danh thiết bị và địa chỉ IP - mà tin tặc có thể dễ dàng giả mạo. Ngay cả sau khi một tài khoản bị xâm phạm, các bản ghi vẫn có thể gây hiểu nhầm rằng việc đăng nhập đến từ một thiết bị quen thuộc.

"Đối với người dùng có nguy cơ cao, một sự cố xâm phạm tài khoản có thể đe dọa tính mạng. Các công cụ như CSAL trao quyền cho những người dùng này chẩn đoán các truy cập bất hợp pháp vào tài khoản trực tuyến của họ, điều này rất quan trọng cho sự an toàn của họ," Daffalla nói.

CSAL cung cấp một giải pháp thay thế bằng mật mã. Thay vì gửi dữ liệu phía máy khách cho các nhà cung cấp dịch vụ, hệ thống mã hóa nó đầu cuối bằng một khóa chỉ các thiết bị của khách hàng biết. Trong quá trình đăng nhập, hệ điều hành của thiết bị khách tạo ra một mã thông báo mật mã chứa định danh thiết bị, được mã hóa đầu cuối và lưu trữ bởi nhà cung cấp dịch vụ, đảm bảo rằng chỉ người dùng mới có thể giải mã và xác minh nguồn gốc đăng nhập sau này.

Cách tiếp cận này cho phép người dùng phát hiện truy cập trái phép mà không tiết lộ thông tin nhận dạng của họ cho nền tảng họ đang sử dụng. Nhóm nghiên cứu cho biết, nó cũng tránh được việc các nền tảng phải thu thập và lưu trữ dấu vân tay thiết bị chi tiết, thường được sử dụng để theo dõi.

Kết luận

Báo cáo cho thấy hệ thống này có thể được tích hợp vào quy trình xác thực hiện có với chi phí tối thiểu. Các nhà nghiên cứu cho biết hệ thống cũng tương thích với các giao thức bảo mật được sử dụng rộng rãi, khiến việc áp dụng bởi các nền tảng lớn là khả thi. Nhóm nghiên cứu cho biết, bằng cách suy nghĩ lại về cách nhật ký truy cập được tạo ra và diễn giải, CSAL mang đến một con đường hứa hẹn để cân bằng giữa bảo mật và quyền riêng tư trong quản lý tài khoản số.