Yubico vừa phát hành bản vá cho lỗ hổng bảo mật YSA-2026-02 trong hệ thống hỗ trợ đăng nhập bằng passkey. Dù không ảnh hưởng trực tiếp đến khóa YubiKey, nhưng sự cố này cho thấy ngay cả các nền tảng xác thực hiện đại cũng rất cần được cập nhật và triển khai cẩn trọng để đảm bảo an toàn cho người dùng.
Lỗ hổng không ảnh hưởng đến khóa YubiKey
Theo Yubico, lỗ hổng xuất hiện trong một số hệ thống triển khai WebAuthn và được đánh giá ở mức độ nghiêm trọng cao. Công ty đã nhanh chóng phát hành phiên bản 2.8.2 để khắc phục vấn đề. Yubico cũng nhấn mạnh rằng sự cố không liên quan đến các khóa YubiKey đang được người dùng sử dụng. Thay vào đó, lỗ hổng nằm ở phần mềm máy chủ chịu trách nhiệm xử lý quá trình xác thực.
Sự việc một lần nữa cho thấy một thực tế quen thuộc trong lĩnh vực an ninh mạng: đó là ngay cả khi sử dụng công nghệ xác thực tiên tiến, rủi ro vẫn có thể xuất hiện nếu phần mềm triển khai mắc lỗi.
Vì sao khóa bảo mật vật lý là giải pháp hàng đầu chống phishing?
Phần lớn các vụ tấn công chiếm đoạt tài khoản hiện nay vẫn dựa vào phishing, đánh cắp mật khẩu hoặc mã OTP. Trong khi đó, các thiết bị vật lý như khóa YubiKey hoạt động dựa trên chuẩn FIDO2/WebAuthn và yêu cầu người dùng tương tác với khóa khi xác thực.
Nhờ cơ chế này, kẻ tấn công không thể dễ dàng chiếm đoạt tài khoản chỉ bằng cách lấy được mật khẩu hay mã xác thực. Đây cũng là lý do khóa bảo mật vật lý được xem là một trong những phương thức chống phishing hiệu quả nhất hiện nay.
Đây cũng là xu hướng được nhiều tổ chức lớn áp dụng. Và gần đây nhất, OpenAI đã hợp tác với Yubico để triển khai khóa YubiKey cho chương trình Trusted Access for Cyber (TAC), yêu cầu người dùng sử dụng xác thực mạnh dựa trên passkey.
Xu hướng bảo mật đang thay đổi
Sự cố YSA-2026-02 không phải là một thất bại của WebAuthn hay YubiKey. Ngược lại, nó cho thấy hệ sinh thái xác thực hiện đại đang ngày càng hoàn thiện. Việc Yubico nhanh chóng công bố lỗ hổng, phát hành bản vá và minh bạch về phạm vi ảnh hưởng cũng cho thấy ngành bảo mật đang chuyển từ việc chỉ bảo vệ mật khẩu sang bảo vệ toàn bộ chuỗi xác thực.
Đối với người dùng cá nhân và doanh nghiệp, khóa bảo mật vật lý vẫn là một trong những biện pháp hiệu quả nhất để chống lại các cuộc tấn công phishing, nhưng việc triển khai đúng chuẩn và cập nhật phần mềm thường xuyên vẫn đóng vai trò quyết định trong việc bảo vệ tài khoản.
