OpenAI tung ra chế độ Bảo mật Tài khoản Nâng cao cho người dùng có nguy cơ bị tấn công

OpenAI tung ra chế độ Bảo mật Tài khoản Nâng cao cho người dùng có nguy cơ bị tấn công

OpenAI vừa công bố tính năng Bảo mật Tài khoản Nâng cao (Advanced Account Security), cung cấp thêm một lớp bảo vệ nghiêm ngặt cho những người dùng lo ngại về nguy cơ bị lừa đảo hoặc chiếm đoạt tài khoản ChatGPT và Codex. Tính năng mới này yêu cầu xác thực bằng khóa vật lý hoặc passkey và loại bỏ các phương thức khôi phục truyền thống để đảm bảo an toàn tối đa.

Hình ảnh minh họa bảo mật

Lớp bảo vệ mới cho người dùng có rủi ro cao

Vào thứ Năm vừa qua, OpenAI đã thông báo về việc bổ sung một cấp độ bảo vệ tài khoản tùy chọn mới, được thiết kế để ngăn chặn các cuộc tấn công chiếm đoạt tài khoản. Được đặt tên là Advanced Account Security (Bảo mật Tài khoản Nâng cao), tính năng này áp dụng các biện pháp kiểm soát truy cập nghiêm ngặt, khiến cho việc kẻ tấn công xâm nhập trở nên cực kỳ khó khăn.

Mặc dù đây không phải là một ý tưởng mới trong lĩnh vực bảo mật (Google đã cung cấp cấp độ bảo vệ tương tự gần một thập kỷ nay), nhưng sự bùng nổ của các dịch vụ AI chủ lưu trên toàn cầu đã tạo ra nhu cầu cấp thiết về các biện pháp bảo vệ cơ bản. OpenAI cho biết việc ra mắt tính năng này là một phần của chiến lược an ninh mạng rộng lớn hơn mà công ty đã công bố vào đầu tháng này.

Tại sao tính năng này lại cần thiết?

"Mọi người đang chuyển sang sử dụng AI cho những câu hỏi mang tính cá nhân sâu sắc và công việc ngày càng có rủi ro cao", OpenAI cho biết trong một bài đăng trên blog. Theo thời gian, một tài khoản ChatGPT có thể chứa bối cảnh cá nhân và chuyên nghiệp nhạy cảm, đồng thời nằm trung tâm của các công cụ và quy trình làm việc được kết nối.

Đối với một số nhóm người như nhà báo, quan chức được bầu chọn, những người bất đồng chính kiến, nhà nghiên cứu và những người đặc biệt quan tâm đến bảo mật, rủi ro thậm chí còn cao hơn.

Cơ chế hoạt động của Bảo mật Tài khoản Nâng cao

Người dùng kích hoạt Bảo mật Tài khoản Nâng cao sẽ không còn được phép sử dụng mật khẩu thông thường cho tài khoản của mình. Thay vào đó, họ bắt buộc phải thêm ít nhất hai khóa bảo mật vật lý hoặc passkey để giảm đáng kể nguy cơ bị tấn công lừa đảo (phishing).

Tính năng này cũng loại bỏ hoàn toàn việc sử dụng email và tin nhắn SMS để khôi phục tài khoản. Người dùng phải sử dụng khóa khôi phục, passkey dự phòng hoặc khóa bảo mật vật lý. OpenAI tiết lộ họ đã hợp tác với Yubico để cung cấp các gói YubiKey giá rẻ hơn cho người dùng sử dụng tính năng này.

Hạn chế quyền truy cập của bộ phận hỗ trợ

Một điểm quan trọng là khi người dùng bật Bảo mật Tài khoản Nâng cao, họ sẽ không thể tìm kiếm sự trợ giúp từ đội ngũ hỗ trợ của OpenAI để khôi phục tài khoản. Lý do là bộ phận hỗ trợ sẽ không còn quyền truy cập hoặc kiểm soát bất kỳ tùy chọn khôi phục nào. Cách này ngăn chặn kẻ tấn công cố gắng xâm nhập tài khoản bằng cách nhắm vào các cổng hỗ trợ thông qua các cuộc tấn công kỹ thuật xã hội.

Ngoài ra, tính năng này thực thi các cửa sổ đăng nhập và phiên làm việc ngắn hơn, buộc người dùng phải đăng nhập lại thường xuyên hơn trên thiết bị. Nó cũng gửi cảnh báo bất cứ khi nào có ai đó đăng nhập vào tài khoản bị khóa, hướng người dùng đến bảng điều khiển để xem lại các phiên ChatGPT và Codex đang hoạt động.

Các yêu cầu khác

Mặc dù OpenAI cung cấp tùy chọn cho bất kỳ người dùng nào chọn không sử dụng các cuộc trò chuyện ChatGPT của họ để huấn luyện mô hình, nhưng việc loại trừ này được mặc định bật cho người dùng Bảo mật Tài khoản Nâng cao.

Các thành viên của chương trình "Truy cập Tin cậy cho An ninh mạng" (Trusted Access for Cyber) của OpenAI sẽ được yêu cầu bật Bảo mật Tài khoản Nâng cao bắt đầu từ ngày 1 tháng 6 hoặc gửi một tuyên bố xác thực thay thế rằng họ triển khai xác thực chống lừa đảo thông qua cơ chế đăng nhập một lần (SSO) của doanh nghiệp.