Tương lai không mật khẩu
Mật khẩu vốn đóng vai trò quan trọng, nhưng hiện không còn an toàn và các công ty như Apple, Microsoft muốn loại bỏ hoàn toàn.
Mật khẩu là chuỗi ký tự được sử dụng để xác nhận danh tính của người dùng. Trong thời đại kỹ thuật số, đây là thứ không thể thiếu để đăng nhập phần mềm hoặc mạng máy tính. Gần đây, mật khẩu đã tiến hóa lên mức cao hơn, chẳng hạn xác thực bằng vân tay, mống mắt, khuôn mặt… nhưng phổ biến hơn cả là xác thực đa yếu tố.
Người dùng trong tương lai có thể không còn gặp các rào cản về mật khẩu. Ảnh: WSJ
Tuy vậy, dù bằng cách nào, mật khẩu vẫn được xem là điểm yếu lớn nhất trong một mắt xích của hệ thống bảo mật. Hàng loạt vụ hack mật khẩu diễn ra, được thực hiện với cả những hacker không cần quá am hiểu về công nghệ. Theo công ty an ninh mạng Group-IB, riêng mùa hè này đã có hơn 130 tổ chức bị hacker ghé thăm, gây thiệt hại cho hàng triệu người dùng.
Con người – điểm yếu lớn nhất
Mật khẩu được cho là không còn an toàn khi ngày càng dài và khó nhớ. Người dùng phải sử dụng trình quản lý riêng và các trình này cũng không bảo mật như quảng cáo.
Việc sử dụng mật khẩu cũng có liên quan đến yếu tố con người. Do đó, Google, Amazon, Nvidia và hàng trăm công ty công nghệ lớn khác xác định đây lỗ hổng bảo mật lớn nhất, từ đó áp dụng chiến thuật không tin ai cả.
“Dù bảo mật cỡ nào, hệ thống vẫn có thể bị hack nếu bị con người kiểm soát”, Ofer Maor, Giám đốc công nghệ và đồng sáng lập công ty ứng phó sự cố an ninh mạng Mitiga, cho biết. “Vài tháng qua, các cuộc tấn công được ghi nhận ngày một nhiều, nhất là cách thức tấn công qua xác thực hai yếu tố. Bất kể công ty lớn hay nhỏ, tất cả đều rơi vào cùng một cuộc tấn công dồn dập và bị dồn ép”.
Chẳng hạn, trong vụ tấn công Uber gần đây, một quản trị hệ thống thuộc nhà thầu được Uber thuê đã cảm thấy mệt mỏi vì bị spam tin nhắn yêu cầu ủy quyền đăng nhập vào tài khoản. Ông sau đó đã vô thức bấm chấp nhận, khiến hệ thống bị xâm nhập.
Video đang HOT
Tương lai không mật khẩu
Theo các chuyên gia, với một hệ thống không mật khẩu, mọi thứ lại khác. Trong trường hợp này, thông tin xác thực được truyền từ thiết bị số đến Internet, con người không thể đọc. Tất cả thông tin liên lạc được mã hóa, danh tính của người dùng được xác minh khi thiết bị, như smartphone, gửi mã xác thực một lần mà chỉ điện thoại đó mới có thể tạo ra. Bằng cách này, smartphone sẽ trở thành mật khẩu.
Với việc dùng thiết bị số làm phương thức xác thực, độ an toàn cũng tăng lên, bởi việc đánh cắp điện thoại và đăng nhập khó khăn hơn, nhất là khi chúng được bảo vệ bởi sinh trắc học như khuôn mặt hoặc vân tay. Đây cũng là một trong những lý do cảm biến sinh trắc học đang xuất hiện nhiều hơn trên laptop, PC và nhiều loại thiết bị khác.
“Một hệ thống như vậy sẽ không phải đối mặt với khả năng xảy ra các cuộc tấn công lừa đảo vì đã loại bỏ hoàn toàn liên kết yếu nhất là con người khỏi quá trình đăng nhập”, Andrew Shikiar, đứng đầu Liên minh Xác thực trực tuyến thế giới FIDO Alliance, cho biết. Liên minh này đã hoạt động hơn 10 năm qua, có nhiều thành viên là các công ty nổi tiếng như Apple, Google và Microsoft.
Giữa tháng 5, Apple, Google và Microsoft đưa ra thông báo chung liên quan đến việc đăng nhập không cần mật khẩu. Đây là tiêu chuẩn do FIDO Alliance và World Wide Web Consortium tạo ra. Theo đó, mỗi thiết bị có một mã nhận diện riêng biệt do FIDO cấp dùng để đăng nhập vào các website, ứng dụng khác nhau mà không cần mật khẩu. Apple, Google và Microsoft đã hỗ trợ tiêu chuẩn này trên các nền tảng của mình bằng cách cho phép người dùng vào tài khoản bằng các phương pháp xác thực sinh trắc học.
Xác thực dựa trên thiết bị để thay mật khẩu không mới. Trong hơn một thập kỷ, một số công ty có hệ thống đặc biệt an toàn thường yêu cầu người quản trị cắm USB chuyên dụng chứa mã mở khóa. Hệ thống sẽ không kết nối với mạng công ty hoặc chính phủ nếu không có chúng. Tuy nhiên, theo báo cáo từ Hypr tính đến giữa 2022, chỉ có 16% cung cấp cho nhân viên tùy chọn đăng nhập không mật khẩu.
Theo Todd McKinnon, CEO của Okta, mật khẩu vẫn được sử dụng là nhờ tính tiện dụng và công nghệ về bảo mật ở mức độ an toàn cao chưa được chú trọng đúng mức. Tuy nhiên, sự phổ biến của cảm biến sinh trắc học trong các thiết bị số hiện nay giúp cho việc triển khai bảo mật không mật khẩu trở nên khả thi.
“Mười năm trước, bạn không có Touch ID, Face ID hay Windows Hello. Nhưng giờ chúng có thể hỗ trợ đăng nhập vào hệ thống một cách dễ dàng”, McKinnon cho biết.
Còn theo Shikiar, xác thực dựa trên thiết bị đang có bước tiến nhảy vọt và an toàn hơn các hệ thống dựa trên mật khẩu ngày nay. Tuy nhiên, tùy thuộc vào mức độ an toàn mà một tổ chức muốn tạo ra hệ thống của mình, quá trình này chỉ nên là bước khởi đầu để vô hiệu hóa các nguy cơ tấn công, các bước sau vẫn phải cần đến mật khẩu để xác thực.
Bên cạnh các ưu điểm, hệ thống không có mật khẩu có thể gây ra nhiều bất tiện. Chẳng hạn, làm cách nào để lấy lại mật khẩu đã mất nếu người quản trị chỉ được giao thiết bị mở khóa mà không biết cách khôi phục. Nếu quá trình khôi phục quá khó khăn, nhân viên có thể bị khóa tài khoản và không thể thực hiện công việc của mình.
Mặt khác, nếu quá trình khôi phục tài khoản quá dễ dàng, hệ thống có nguy cơ bị xâm nhập. “Đối với nhiều công ty, bạn phải gọi đến bộ phận trợ giúp và tự nhận mình là người đó”, Weinert nói. “Điều này mở ra cơ hội cho những kẻ tấn công có thể lách qua bằng cách thuyết phục người ở cấp cao hơn đăng ký thiết bị khách vào hệ thống công ty mà không cần đánh cắp thông tin đăng nhập”.
Maor tin rằng các hệ thống đăng nhập không cần mật khẩu sẽ là xu hướng bảo mật tiếp theo. Tuy nhiên, ông đánh giá nó cần phải được tuân thủ nghiêm ngặt các yêu cầu khi vận hành. “Tôi đã làm việc trong lĩnh vực bảo mật 30 năm. Thực tế là với hầu hết mọi giải pháp, sự cân bằng giữa an toàn và sự thuận tiện sẽ để lại lỗ hổng, từ đó hacker vẫn có thể xâm nhập”, Maor nói thêm.
Ưu và nhược điểm của xác thực không cần mật khẩu
Người dùng có thể đã sử dụng xác thực không cần mật khẩu trên một số dịch vụ, nhưng liệu có nắm được những rủi ro và lợi ích của xác thực không cần mật khẩu là gì hay không?
Hầu hết mọi người sử dụng nhiều mật khẩu cho các dịch vụ trực tuyến khác nhau và đôi khi sẽ lúng túng vì không nhớ mật khẩu cần đăng nhập là gì.
Chính vì thế, xác thực không cần mật khẩu có khả năng cung cấp một giải pháp thay thế tốt hơn, nhưng rủi ro là gì?
Xác thực không cần mật khẩu là một phương pháp khá phổ biến hiện nay
Cách hoạt động của xác thực không cần mật khẩu
Xác thực không cần mật khẩu là xác minh danh tính của một người thông qua các tùy chọn an toàn hơn mật khẩu hoặc bất kỳ phần thông tin ghi nhớ nào khác. Người dùng có thể đã sử dụng một số loại kỹ thuật đăng nhập không cần mật khẩu, bao gồm:
Sinh trắc học: Chứng minh danh tính bằng một phương pháp như nhận dạng vân tay hoặc khuôn mặt.Liên kết ma thuật: Nhấp vào liên kết sử dụng một lần có chứa mã xác minh để truy cập trang web đăng nhập không cần mật khẩu.Khóa phần cứng: Dựa vào các thiết bị vật lý, chẳng hạn như ổ USB, để xác thực người dùng.Mật khẩu dùng một lần (OTP): Sử dụng mã số do người bán tạo để đăng nhập thay vì mật khẩu đã chọn trước đó.
Tính đến tháng 1.2021, Statista báo cáo hơn 4,66 tỉ người trên toàn thế giới có quyền truy cập internet, mà các chuyên gia tin rằng đã góp phần vào sự bùng nổ thương mại điện tử gần đây.
Người dùng có thể sử dụng Touch ID thay vì mật khẩu khi đăng nhập một iPhone
Nếu sử dụng Microsoft Store hoặc một dịch vụ Windows khác mà không cần mật khẩu, hiện có 4 cách để thực hiện điều đó. Người dùng có thể sử dụng ứng dụng Microsoft Authenticator, Microsoft Hello, khóa bảo mật hoặc OTP được gửi đến điện thoại hoặc email.
Ưu và nhược điểm
Một số chuyên gia thương mại điện tử cho rằng mua sắm không cần mật khẩu có thể là giải pháp cho việc mua hàng nhanh gọn. Bởi lẽ, mục tiêu là cung cấp cho mọi người trải nghiệm mua hàng mượt mà nhất có thể, không cần phải nhớ mật khẩu.
Có nhiều ưu điểm và nhược điểm khác nhau của xác thực không cần mật khẩu
Tương tự, xác thực không cần mật khẩu an toàn hơn mật khẩu do người dùng tạo vì hiện nay có quá nhiều người dùng đặt mật khẩu dễ đoán. Ngoài ra, một cuộc khảo sát năm 2019 cho thấy 65% người dùng đã sử dụng lại mật khẩu trên nhiều trang web. Thói quen đó có thể cho phép tin tặc truy cập nhiều hơn vào các thông tin đăng nhập bị đánh cắp.
Nhưng sử dụng xác thực không cần mật khẩu không phải là không có rủi ro, như ai đó có thể lấy khóa vật lý, hoặc phương pháp OTP đôi khi không ổn định. Ngoài ra, hiện cũng có phương pháp giả mạo sinh trắc học bằng mặt nạ 3D.
Việc xác thực không cần mật khẩu không phải là không có rủi ro như các phương pháp nào khác mà người dùng sử dụng để truy cập internet. Chính vì thế, người dùng vẫn cần phải tự bảo quản mật khẩu của mình thật kỹ lưỡng và chọn phương pháp nào an toàn nhất để sử dụng.
Google công bố công nghệ passkey đã có mặt trên Android và Chrome Google mới đây đã công bố công nghệ passkey - tùy chọn giúp người dùng có thể đăng nhập dễ dàng và bảo mật hơn, đã có mặt trên Android và Chrome Ảnh: Neowin Mới đây, Google đã công bố hỗ trợ passkey cho Android và Chrome. Giai đoạn đầu tiên này cung cấp cho các nhà phát triển quyền truy cập vào...