Microsoft cho người dùng đăng nhập không cần mật khẩu

Vì sao chúng ta vẫn phải sống chung với mật khẩu?

Nhiều giải pháp bảo mật hiện đại đã xuất hiện, tuy nhiên mật khẩu vẫn là cách bảo vệ dữ liệu được dùng phổ biến nhất.

Sau nhiều năm tồn tại, mật khẩu đã cho thấy các điểm yếu không thể khắc phục. Việc phải ghi nhớ từng ký tự khiến nhiều người sử dụng một mật khẩu cho nhiều trang web, chọn mật khẩu dễ đoán hoặc cả 2. Điều đó tạo cơ hội cho tin tặc xâm nhập tài khoản và đánh cắp dữ liệu.

Những năm qua, nhiều giải pháp bảo mật an toàn, tiện lợi hơn mật khẩu đã xuất hiện, trong đó có quét khuôn mặt hoặc vân tay trên smartphone hay laptop. Dữ liệu sinh trắc học được lưu trữ và bảo mật trên thiết bị, không phải máy chủ của website. Một số thiết bị như Yubikey cho phép xác thực bằng cách cắm vào cổng USB trên máy tính.

Những giải pháp trên ra đời với mục đích xóa sổ mật khẩu. Tuy nhiên, việc loại bỏ hoàn toàn phương thức bảo mật tồn tại hàng chục năm là điều không dễ dàng.

Tuy để lộ nhiều điểm yếu, mật khẩu vẫn là phương thức bảo mật được sử dụng phổ biến hiện nay.

Lý do mật khẩu chưa bị xóa sổ

"Quá trình phát triển (của các công nghệ bảo mật) đã đủ để chuyển trạng thái từ mới xuất hiện sang áp dụng đại trà. Chúng có nền tảng hỗ trợ mạnh mẽ, tương thích với nhiều hệ thống phổ biến và quen thuộc với người dùng. Trước đây, chúng ta còn không biết làm sao để loại bỏ mật khẩu. Dù có thể mất thời gian, hiện nay mọi người đã biết mình nên làm gì", Mark Risher, Giám đốc quản lý nền tảng bảo mật và nhận dạng của Google cho biết.

Cuối tháng 6, Microsoft đã giới thiệu Windows 11 tích hợp sâu các giải pháp đăng nhập không cần mật khẩu, sử dụng mã PIN hoặc sinh trắc học. Trước đó, Apple cho biết hệ điều hành iOS 15 và macOS 12 sẽ bổ sung tùy chọn Passkeys trong iCloud Keychain, hướng tới việc sử dụng sinh trắc học và mã PIN để đăng nhập nhiều website hơn. Google cũng chia sẻ cách quản lý mật khẩu an toàn và kế hoạch loại bỏ chúng.

Bất chấp nỗ lực từ các hãng công nghệ, có 2 thách thức khiến mật khẩu không dễ biến mất. Đầu tiên, tuy có độ bảo mật kém, mật khẩu vẫn được sử dụng phổ biến. Nói cách khác, không dễ từ bỏ thói quen hình thành từ nhiều thập kỷ.

"Một hành vi đã học hỏi trong thời gian dài: đầu tiên là phải cài mật khẩu. Phụ thuộc vào nền tảng bảo mật kém là vấn đề chính. Mục tiêu của chúng ta là phá bỏ sự phụ thuộc ấy", Andrew Shikiar, CEO FIDO Alliance, hiệp hội các tiêu chuẩn xác thực thay thế mật khẩu chia sẻ.

Tuy nhiên, đó là hành trình khó khăn. Thử nghiệm của FIDO cho thấy các tổ chức không sử dụng mật khẩu gặp khó trong việc thu hút người dùng. Từ đó, FIDO đã xây dựng khung hướng dẫn về trải nghiệm người dùng khi loại bỏ mật khẩu.

Thách thức thứ 2 còn phức tạp hơn. Ngay cả khi được người dùng chấp nhận, đa số giải pháp không dùng mật khẩu chỉ hoạt động trên những thiết bị mới, yêu cầu smartphone và ít nhất một thiết bị công nghệ khác. Trên thực tế, nhiều người sử dụng thường xuyên một thiết bị mà không nâng cấp trong thời gian dài, thậm chí dùng điện thoại cơ bản.

Vân tay, khuôn mặt là các giải pháp bảo mật sinh trắc học mới, ra đời để thay thế mật khẩu

Trong khi các tiêu chuẩn không mật khẩu ngày càng hoàn thiện để hoạt động liền mạch với nhau, các tùy chọn sao lưu để khôi phục thì không. Một số hệ thống yêu cầu trả lời câu hỏi bảo mật hoặc nhập mã PIN để sao lưu, thực ra chúng vẫn là mật khẩu nhưng ở dạng khác. Giải pháp đưa ra là sử dụng thiết bị đã xác thực trước đó để xác nhận thiết bị mới là đáng tin cậy.

"Giả sử bạn để quên điện thoại trên taxi nhưng có laptop ở nhà. Bạn mua điện thoại mới rồi dùng chính laptop để kích hoạt nó. Nếu có người nhặt được điện thoại cũ, thông tin bên trong vẫn được bảo vệ", Risher cho biết.

Cách sao lưu trên dễ dàng hơn nhiều so với nhớ/ghi mã PIN, câu trả lời bảo mật ra giấy. Tuy nhiên, không phải ai cũng có nhiều thiết bị để sử dụng phương pháp này.

Chúng ta vẫn sống chung với mật khẩu

Để sống chung với mật khẩu nhưng vẫn đảm bảo an toàn, nhiều người chọn các công cụ quản lý mật khẩu như 1Password. Tuy nhiên, bản thân ứng dụng này đã hỗ trợ sinh trắc học để xác thực người dùng trước khi tự động điền mật khẩu vào các website.

Các công cụ quản lý mật khẩu giúp người dùng tiết kiệm thời gian đăng nhập và không phải nhớ mật khẩu.

Tất nhiên, bảo mật sinh trắc học cũng mang đến rủi ro. Akshay Bhargava, Giám đốc sản phẩm 1Password cho rằng dữ liệu vân tay hoặc khuôn mặt của người dùng có thể bị kẻ xấu đánh cắp, lợi dụng để mạo danh nạn nhân. Trong khi người dùng có thể thay đổi mật khẩu thì khuôn mặt, ngón tay hay giọng nói là không thể.

Sẽ cần thêm thời gian và nhiều thử nghiệm để hoàn thiện hệ sinh thái không mật khẩu, đặc biệt về khả năng đồng bộ và phổ biến cho mọi người. Bảo mật cũng là vấn đề đáng quan tâm bởi khi lưu quá nhiều thông tin nhạy cảm vào điện thoại, tin tặc sẽ càng có động lực xâm nhập chúng.

Để sử dụng mật khẩu an toàn trước khi tiếp nhận giải pháp mới, Wired khuyên người dùng đặt các mật khẩu mạnh và không lặp lại, sử dụng các dịch vụ quản lý mật khẩu và thử nghiệm các giải pháp sinh trắc học nếu có thể.