• Website bán hàng chính thức của HPT Vietnam Corporation
  • Hỗ trợ 247 qua hotline - Ms Thư: 091 313 7342
  • An toàn - Bảo mật - Chuyên nghiệp - Tiết kiệm
  • Cam kết chính hãng
    Cam kết chính hãng
  • Bảo hành 12 tháng
    Bảo hành 12 tháng
  • Đổi trả trong vòng 15 ngày
    Đổi trả trong vòng 15 ngày

Tìm kiếm

0 Giỏ hàng

Giỏ hàng

0₫
Hiện chưa có sản phẩm
TỔNG TIỀN: 0₫
Xem giỏ hàng
  1. Trang chủ
  2. Góc chia sẻ
  3. Vì sao phishing vẫn tồn tại dù đã có passkey và xác thực mạnh

Vì sao phishing vẫn tồn tại dù đã có passkey và xác thực mạnh

bởi: Mr Nam
Vì sao phishing vẫn tồn tại dù đã có passkey và xác thực mạnh

Nhiều doanh nghiệp tin rằng chỉ cần áp dụng các hình thức xác thực mạnh như passkey hoặc khóa bảo mật vật lý là đã đủ để ngăn chặn tấn công mạng. Thực tế, các chuyên gia bảo mật cảnh báo rằng tội phạm mạng vẫn đang tìm ra những cách mới để vượt qua cả các cơ chế được xem là kháng phishing.

 

Bài viết dưới đây giúp bạn hiểu rõ các phương thức tấn công mới, lý do vì sao chúng vẫn hiệu quả, và cách kết hợp khóa vật lý YubiKey để đảm bảo an toàn tuyệt đối cho hệ thống của doanh nghiệp.

 

Các hình thức tấn công mới nhắm vào xác thực kháng phishing

1. Tấn công hạ cấp (Downgrade attack)

Đây là chiêu thức hacker lợi dụng khi hệ thống vẫn duy trì các phương thức đăng nhập cũ song song với xác thực mạnh. Thay vì đánh vào passkey, kẻ tấn công sẽ ép người dùng đăng nhập qua một kênh yếu hơn như OTP qua SMS hoặc email, từ đó lấy được quyền truy cập.

 

2. Tấn công mã thiết bị (Device code phishing)

Khi người dùng đăng nhập qua các thiết bị không hỗ trợ passkey, hệ thống thường cung cấp mã xác minh để nhập vào thiết bị khác. Hacker có thể giả mạo luồng đăng nhập, lừa người dùng nhập mã thật vào trang giả mạo và thực hiện xác thực từ xa.

 

3. Lợi dụng quyền truy cập (Consent phishing)

Một số kẻ tấn công tạo ứng dụng giả mạo hoặc cửa sổ xác thực OAuth trông như thật để người dùng vô tình cấp quyền truy cập dữ liệu. Cách này cho phép hacker vào hệ thống mà không cần vượt qua bước xác thực.

Theo BleepingComputer, các hình thức tấn công này không phải khai thác lỗi trong passkey, mà lợi dụng các kẽ hở trong quá trình triển khai và hành vi người dùng. (BleepingComputer, 2025)

 

Vì sao hệ thống vẫn bị tấn công dù đã dùng passkey hoặc khóa vật lý

  1. Luồng xác thực chưa được thống nhất: Nhiều tổ chức triển khai xác thực mạnh nhưng vẫn giữ lại phương án dự phòng bằng mật khẩu hoặc OTP. Điều này vô tình tạo ra lối tắt để hacker khai thác.

  2. Người dùng chưa được đào tạo đầy đủ: Không phải ai cũng hiểu rõ cách phân biệt trang xác thực hợp lệ và trang giả mạo. Khi người dùng nhấp vào liên kết lạ, nguy cơ lộ thông tin vẫn còn nguyên.

  3. Môi trường lưu trữ khóa chưa an toàn: Nếu passkey được đồng bộ qua tài khoản đám mây hoặc trình duyệt, việc mất quyền truy cập tài khoản này có thể khiến toàn bộ hệ thống bị đe dọa.

 

Giải pháp: Kết hợp xác thực mạnh với khóa vật lý YubiKey

Khóa bảo mật vật lý YubiKey được xem là lớp bảo vệ cuối cùng chống lại phishing. Thiết bị này lưu trữ khóa riêng trong phần cứng bảo mật, không thể sao chép hay trích xuất từ xa.

Khi người dùng đăng nhập, họ phải trực tiếp chạm hoặc cắm thiết bị vào máy tính. Điều này giúp xác nhận rằng người thật đang truy cập, không phải một phần mềm hay kẻ tấn công từ xa.

 

Ưu điểm của YubiKey trong doanh nghiệp

  • Hỗ trợ chuẩn FIDO2 và WebAuthn, tương thích với hầu hết hệ thống hiện đại.

  • Không cần pin, không kết nối mạng, hoạt động ổn định trong thời gian dài.

  • Dễ dàng triển khai cho nhân viên và quản lý tập trung toàn bộ thiết bị xác thực.

  • Giảm đáng kể rủi ro từ các phương thức xác thực phụ hoặc lỗi đồng bộ.

Theo chuyên gia, việc sử dụng khóa vật lý kết hợp đào tạo người dùng và loại bỏ các luồng xác thực yếu là hướng đi an toàn nhất hiện nay.

 

Lộ trình triển khai khuyến nghị cho doanh nghiệp

  1. Đánh giá hệ thống hiện tại: Kiểm tra các phương thức đăng nhập còn tồn tại trong tổ chức, xác định những điểm dễ bị tấn công.

  2. Chuẩn hóa xác thực: Chỉ giữ lại các phương thức kháng phishing như FIDO2 hoặc YubiKey, loại bỏ đăng nhập bằng mật khẩu hoặc OTP qua SMS.

  3. Đào tạo nhân viên: Giúp nhân viên nhận biết email lừa đảo, hiểu quy trình xác thực hợp lệ, và biết cách kiểm tra tên miền trước khi đăng nhập.

  4. Giám sát và cập nhật: Thiết lập cảnh báo khi phát hiện hành vi đăng nhập bất thường, cập nhật chính sách bảo mật định kỳ và quản lý vòng đời thiết bị xác thực

 

Kết luận

Không có công nghệ nào mang lại an toàn tuyệt đối nếu doanh nghiệp không triển khai đúng cách. Passkey và khóa bảo mật vật lý như YubiKey là nền tảng xác thực mạnh, nhưng vẫn cần được kết hợp với quy trình quản trị, đào tạo và kiểm soát kỹ lưỡng.

Với vai trò là đối tác chính hãng của Yubico tại Việt Nam, HPT Tech Store cung cấp đầy đủ các dòng YubiKey tương thích với mọi nền tảng doanh nghiệp, kèm hướng dẫn triển khai và hỗ trợ kỹ thuật. Đây là giải pháp giúp tổ chức của bạn bảo vệ người dùng và dữ liệu trước các mối đe dọa ngày càng tinh vi.

 

Tham khảo

Đang xem: Vì sao phishing vẫn tồn tại dù đã có passkey và xác thực mạnh

Bài trước Bài sau

Bài viết liên quan

0 sản phẩm
0₫
Xem chi tiết
0 sản phẩm
0₫
Đóng

Giỏ hàng

0₫
Hiện chưa có sản phẩm
TỔNG TIỀN: 0₫
Xem giỏ hàng