'Bảo vệ Nâng Cao' của Google Khóa Tài Khoản Như Chưa Từng Có năm 2025

Khi nói về sự đánh đổi vĩnh viễn giữa an ninh số và thuận tiện, hầu hết các công ty công nghệ tập trung vào đa số người chọn trải nghiệm người dùng dễ dàng hơn là người sợ hãi. Nhưng Google đang thêm vào một bộ tính năng dành riêng cho những người ưa thích sự lo lắng. Bạn có thể bảo vệ tài khoản của mình đến mức mà chưa có công ty công nghệ lớn nào từng cung cấp trực tiếp cho người dùng, thậm chí là mất đi sự thuận tiện.

Vào thứ Ba, Google công bố ra mắt cài đặt "bảo vệ nâng cao" mới cho các tài khoản Google, làm cho việc đánh cắp dữ liệu nhạy cảm trên Gmail, Google Drive, YouTube hoặc bất kỳ tài sản Google nào trở nên khó khăn hơn bao giờ hết đối với hacker. Chế độ an toàn tuyển chọn này dành cho những người sử dụng thực sự rủi ro cao, bao gồm những người đối mặt với nguy cơ bị tấn công của kỹ thuật xâm nhập mạng do nhà nước tài trợ có nguồn lực cao. Hãy nghĩ về các chính trị gia và quan chức, những người có giá trị ròng cao, nhà hoạt động, những người chống đối và nhà báo.

Do đó, đó là một hệ thống nghiêm túc và không khoan nhượng, được thiết kế để củng cố mọi mắt xích yếu đuối có thể hacker sử dụng để chiếm đoạt tài khoản của bạn. Đăng nhập từ máy tính để bàn sẽ yêu cầu một chiếc USB key đặc biệt, trong khi truy cập dữ liệu từ thiết bị di động cũng sẽ đòi hỏi một cái dongle Bluetooth tương tự. Tất cả các dịch vụ và ứng dụng không phải của Google sẽ bị đày xa, không thể truy cập vào Gmail hoặc Google Drive của bạn. Các chương trình quét malware của Google sẽ sử dụng một quy trình tăng cường hơn để cách ly và phân tích tài liệu đang đến. Và nếu bạn quên mật khẩu, hoặc mất chìa khóa đăng nhập phần cứng của mình, bạn sẽ phải làm nhiều công đoạn hơn bao giờ để khôi phục quyền truy cập, hơn để ngăn chặn bất kỳ kẻ xâm nhập nào có thể lợi dụng quá trình đó để vượt qua tất cả các biện pháp bảo vệ khác của Google.

"Điều này thực sự là một cách rất mạnh mẽ để khóa tài khoản," nói Joseph Lorenzo Hall, chuyên gia công nghệ hàng đầu của Trung tâm Dân chủ và Công nghệ. "Ngay cả với những người có rất ít kiến thức về công nghệ, đây là một cách để họ có một hồ sơ cực kỳ được bảo vệ."

Cuộc triển khai Advanced Protection diễn ra sau một loạt các chiến dịch hack tinh vi đã nhắm vào Gmail và tập trung vào tài khoản của các nhà báo, nhà hoạt động và đối thủ chính trị của chính phủ Nga. Phổ biến nhất trong số đó là cuộc xâm nhập được hậu thuẫn bởi Kremlin đã tấn công vào tài khoản Gmail của quản lý chiến dịch của Hillary Clinton, John Podesta, và dẫn đến việc WikiLeaks rò rỉ email của ông trong nhiều tuần, với những tác động chính trị có ảnh hưởng rộng lớn.

"Có một phần nhỏ bị bỏ qua của người dùng của chúng tôi đang đối mặt với rủi ro cao của các cuộc tấn công trực tuyến nhắm mục tiêu," đọc một bài đăng trên blog về tính năng mới từ đội ngũ an ninh của Google. "Ví dụ, đây có thể là nhân viên chiến dịch chuẩn bị cho một cuộc bầu cử sắp diễn ra, nhà báo cần bảo vệ tính bí mật của nguồn tin, hoặc những người trong mối quan hệ bạo lực đang tìm kiếm sự an toàn."

Hoặc như Joseph Hall của CDT mô tả, "Nếu John Podesta có thể bật tính năng này vào một thời điểm nào đó năm ngoái, thế giới có thể đã khác rất nhiều."

Trong số tất cả các biện pháp bảo mật được củng cố, thay đổi lớn nhất hàng ngày của Advanced Protection đối với hầu hết người dùng có lẽ là yêu cầu họ sử dụng một thiết bị vật lý mỗi lần đăng nhập. Người dùng sẽ phải tự mua chìa khóa Universal Second Factor hoặc U2F keys - một chìa khóa USB cho máy tính để bàn có giá khoảng 20 đô la và một chìa khóa Bluetooth-LE cho di động có giá gần 25 đô la. Google nói rằng nó hỗ trợ bất kỳ chìa khóa nào được phê duyệt bởi FIDO Alliance, một nhóm quản lý các giao thức xác nhận và xác thực danh tính.

Những thiết bị này đại diện cho một bước tiến quan trọng so với việc xác nhận hai yếu tố hoàn toàn số đã trở thành tiêu chuẩn ở Silicon Valley. Lớp bảo vệ thêm đó gửi mã đăng nhập tạm thời đến người dùng qua SMS hoặc tạo chúng bằng ứng dụng điện thoại thông minh như Google Authenticator. Yêu cầu một mã thông báo U2F thay vì mã đó làm cho việc giả mạo người dùng khó khăn hơn nhiều. Khác với mã một lần, những mã thông báo đó không thể bị chặn trên mạng vận chuyển, hoặc bị lấy đi bằng cách hack điện thoại của người dùng. Quan trọng hơn, đăng nhập được kích hoạt bằng phần cứng không bị tấn công bởi các trang web lừa đảo mô phỏng trang đăng nhập của Google, và sau đó sử dụng một mã và mật khẩu đánh cắp để ngay lập tức chiếm đoạt tài khoản người dùng. Chìa khóa U2F thực hiện bước xác thực riêng với trang web của Google để kiểm tra tính hợp lệ, và chỉ sau đó cung cấp một chìa khóa để đăng nhập mà không cần gõ một mã.

Google đã hỗ trợ những chìa khóa U2F trong ba năm qua. Nhưng Advanced Protection sử dụng một cài đặt nghiêm ngặt hơn so với những gì Google đã cung cấp trước đây: Chỉ có những chìa khóa vật lý đó - cùng với một mật khẩu - mới mở khóa tài khoản của bạn. Nếu bạn mất chúng, bạn không thể sử dụng mã sao lưu in ra trong ví của mình, hoặc yêu cầu gửi mã mới. Thay vào đó, bạn sẽ phải trải qua quy trình phục hồi tài khoản mà Google nói sẽ khắt khe và đòi hỏi nhiều công sức hơn so với quy trình sử dụng cho người dùng thông thường khi họ nhấp vào "quên mật khẩu?"

Google không chia sẻ chi tiết về quá trình đó. Nhưng Joseph Hall của CDT, người mà Google đã giới thiệu về chi tiết, nói rằng nó sẽ bao gồm một giai đoạn "làm mát" sẽ khóa tài khoản trong một khoảng thời gian trong khi người dùng chứng minh danh tính của họ qua một số yếu tố khác nhau. Quá trình kiểm tra chậm, chặt chẽ này được thiết kế để làm cho quá trình khôi phục tài khoản trở nên ít hấp dẫn hơn làm cửa sau vào dữ liệu của nạn nhân.

Thang lấy lại tài khoản không phải là động thái hy sinh trải nghiệm người dùng duy nhất mà Advanced Protection đòi hỏi. Khi ra mắt, nó chỉ hoạt động khi bạn truy cập các tài sản của Google trong Chrome. Nó trì hoãn việc nhận các tệp đính kèm và tệp khác khoảng 60 giây, trong khi thực hiện quét chống malware cẩn thận hơn bình thường. Và nó cấm tất cả các ứng dụng không phải của Google truy cập Gmail hoặc tài khoản Google của bạn, ngăn bạn xuất email của mình vào bất kỳ phần mềm nào khác như ứng dụng email iOS, Outlook hoặc Thunderbird.

Hall nói rằng tất cả điều đó có nghĩa là Google cần truyền đạt một cách rõ ràng đến người dùng rằng bảo mật của Advanced Protection đòi hỏi một thay đổi thực sự trong thói quen của họ - đặc biệt là theo dõi cẩn thận hai miếng silic vật lý - nhưng rằng các hạn chế nghiêm ngặt của nó sẽ đem lại những lợi ích bảo mật đáng giá. "Nếu điều này dẫn đến việc người ta thường xuyên bị khóa khỏi các tài khoản quan trọng, nó sẽ không được sử dụng nhiều," ông cảnh báo. "Thông điệp xung quanh điều này phải thực sự rõ ràng rằng khi bạn bật nó lên, đó là một 'thật sự không được phép đi qua.'"

Trong việc đổi lấy những bất tiện đó, Advanced Protection lý thuyết sẽ bảo vệ chống lại một số cuộc tấn công gần đây nhất vào Gmail. Điều hệ thống lừa đảo khá thuyết phục đã làm cho John Podesta bị mắc bẫy hầu như chắc chắn sẽ thất bại. Thậm chí một kế hoạch thông minh hơn, như những email lừa đảo Google Docs tháng 5 năm ngoái khiến người dùng cài đặt một ứng dụng của bên thứ ba chiếm đoạt tài khoản của họ, có thể bị thất bại; các hạn chế của Advanced Protection đối với quyền truy cập của phần mềm không phải của Google vào Gmail sẽ đã ngăn chặn điều đó.

Tất cả điều đó có nghĩa là Advanced Protection đưa ra một thỏa thuận mới mạnh mẽ cho những người thực sự cần nó. Bác của bạn, người đã bị hack tài khoản và gửi spam cho bạn từng đợt trong nhiều năm, có thể thấy liệu pháp này khó chịu hơn là bệnh tật. Nhưng nếu việc email của bạn bị xâm phạm đại diện cho một sự kiện kết thúc sự nghiệp hoặc thậm chí là cuộc sống, việc bảo vệ nó có lẽ đáng giá để mang theo thêm một vài chìa khóa trong túi của bạn.