Chờ...

Password đã lỗi thời, hãy dùng Passkey là thứ “không thể hack được”

VOH - Công nghệ passkey được cho là tương lai của hệ thống bảo mật, được phát triển để thay thế cho password vẫn còn nhiều lỗ hổng.

Vì vậy, “chìa khoá vạn năng” (passkey) được dự đoán sẽ là bước phát triển tiếp theo của mật khẩu và hứa hẹn mang đến cho chúng ta một tương lai an toàn hơn, ít cần mật khẩu hơn.

 Passkey sẽ thay thế Password đã lỗi thời trong tương lai
 Passkey sẽ thay thế Password đã lỗi thời trong tương lai - Ảnh minh họa

Các vấn đề với mật khẩu

Trong suốt một thời gian dài, chúng ta đã sử dụng tên người dùng (username) và mật khẩu(password) để đăng nhập vào các trang web, ứng dụng cũng như thiết bị. Cách làm rất đơn giản, bạn tạo một tên người dùng, đôi khi đó chỉ là một địa chỉ email, và ghép nối với một mật khẩu duy nhất, lý tưởng nhất là chỉ mình bạn biết.

Hệ thống sử dụng tên người dùng và mật khẩu đã không thay đổi suốt nhiều năm qua. Hãy nghĩ xem, passkey có thể là một sự thay thế hoàn toàn cho hệ thống mật khẩu xưa lắc này.

Về cơ bản, hai cách đều là để bạn sử dụng cùng một phương pháp để mở khóa điện thoại của mình để đăng nhập vào các ứng dụng và trang web…Tuy nhiên, một trong những điểm khác biệt lớn nhất giữa mật khẩu kiểu cũ và passkey kiểu mới. 

Ví dụ, bạn có thể sử dụng một mật khẩu Facebook ở mọi nơi để truy cập Facebook. Thế nhưng, passkey thì phải gắn với thiết bị mà nó được tạo ra. Bạn không tạo một mật khẩu (password) có thể được sử dụng ở bất cứ đâu, điều này làm cho passkey trở nên an toàn hơn rất nhiều.

Để đăng nhập trên một thiết bị khác, bạn có thể quét mã QR từ điện thoại của mình và sử dụng cùng một phương thức bảo mật để xác thực. Vì không có mật khẩu liên quan nên không có gì có thể bị rò rỉ hoặc đánh cắp.

Bạn phải có điện thoại để đăng nhập vì vậy bạn không phải lo lắng về việc một người ngẫu nhiên trên toàn thế giới sử dụng mật khẩu của bạn.

Về mặt kỹ thuật, passkey là một chuẩn dựa trên WebAuthn hoạt động theo nguyên lý mã hóa bất đối xứng "public key - private key" dùng trong công nghệ blockchain.

Những tên tuổi lớn như Apple, Google và Microsoft đã tham gia Liên minh hiệp hội công nghiệp - FIDO nhằm loại bỏ xác thực bằng mật khẩu, thay thế xác thực bằng passkey chính là tương lai cho công nghệ bảo mật.

Việc quét dấu vân tay hay sử dụng Face ID để đăng nhập vào một trang web (ứng dụng) sẽ thuận tiện hơn so với việc nhập các mật khẩu khó nhớ và khó chịu.

Tương lai không cần mật khẩu

Trước đây, cách chủ yếu để đăng nhập vào một dịch vụ/tài khoản là sử dụng mật khẩu, cao cấp hơn là ứng dụng xác thực hai yếu tố (2FA). Tuy nhiên, ngay cả với việc xác thực 2FA cũng có thể tạo ra lỗ hổng bảo mật khi bị phụ thuộc vào kết nối di động, khiến tin tặc có nhiều cơ hội đánh cắp thông tin của người dùng. Để giải quyết vấn đề này, Google đã công bố passkey, sử dụng “mật mã” - passkey thay vì mật khẩu.

Passkey là gì? Cách hoạt động như thế nào?

Với thông điệp “Password-less future” (Tương lai không mật khẩu), những gã khổng lồ công nghệ: Google, Microsoft và Apple đã bắt tay tạo ra một hệ thống đăng nhập không cần mật khẩu – được gọi là passkey.

Đây là một cách xác thực mới dựa trên tiêu chuẩn xác thực không cần mật khẩu (Passwordless authentication) của Liên minh FIDO. (Liên minh FIDO - FIDO Alliance là một hiệp hội công nghiệp mở có hơn 250 thành viên, bao gồm các công ty công nghệ, nhà cung cấp dịch vụ, và nhà phát triển).

Các chuyên gia bảo mật đã tiết lộ cách những người sử dụng các ứng dụng phổ biến như Google, TikTok, Amazon và Uber cần kiểm tra cài đặt của họ ngay lập tức. Có một loại công nghệ đăng nhập mới được gọi là passkey, cho phép bạn đăng nhập mà không cần nhập mật khẩu.

Chúng thường được liên kết với một số loại xác thực trên iPhone hoặc Android của bạn, như máy quét dấu vân tay, Face ID hoặc mật khẩu của bạn.

Tuy nhiên, không phải tất cả các ứng dụng và trang web đều có hỗ trợ chúng, nhưng dần dần sẽ có thêm nhiều ứng dụng và trang web hỗ trợ chúng trong tương lai.

Các chuyên gia mạng tại Keeper Security đang kêu gọi người dùng hãy dùng thử chúng vì chúng an toàn hơn nhiều so với mật khẩu.

Nếu dụng mật khẩu rất nguy hiểm, tin tặc chuyên nghiệp có thể bẻ khóa đươc dễ dàng. Để bắt đầu, nhiều người chọn những mật khẩu đơn giản có thể "bẻ khóa" trong vài giây.

Và những người có mật khẩu phức tạp thường sử dụng lại chúng ở những tài khoản khác nhau, khiến một lần hack có thể khiến nhiều tài khoản bị xâm nhập.

Ngay cả khi bạn sử dụng mật khẩu mạnh và duy nhất, mật khẩu đó vẫn có thể bị rò rỉ do vi phạm hoặc bị phần mềm độc hại trên thiết bị của bạn đánh cắp. Nếu dùng passkey (mật mã) sẽ an toàn hơn nhiều.

Một báo cáo từ nhà cung cấp an ninh mạng Pentasecurity đã mô tả mật mã của họ là “không thể hack”, “không thể lừa đảo” và “không thể đánh cắp”.

“Bên cạnh việc cung cấp trải nghiệm người dùng thuận tiện và liền mạch, mật mã cũng là một trong những tùy chọn xác thực an toàn nhất hiện có.” Họ lưu ý.

Passkey được tạo thành từ hai thứ kết hợp: khóa chung và khóa riêng.

Khóa công khai sẽ được lưu trữ cùng với ứng dụng bạn đang đăng nhập như Google hoặc Uber. Và khóa riêng sẽ được lưu trên thiết bị của bạn.

Chuyên gia công nghệ Aranza Trevino của Keeper Security cho biết: “Mật mã nhìn chung cũng an toàn hơn khi sử dụng so với mật khẩu vì chúng có khả năng chống lừa đảo, chống lỗi và hỗ trợ Xác thực hai yếu tố (2FA) theo thiết kế”.

"Vì mật mã không phải do người dùng tạo mà được tạo tự động bằng cách sử dụng mật mã khóa công khai nên chúng cũng có khả năng chống lỗi đối với các lỗi mật khẩu phổ biến hiện nay và không thể dễ dàng bị xâm phạm."

Ứng dụng nào sử dụng passkey?

Nhiều ứng dụng hiện sử dụng passkey và có thể bạn đã cài đặt một số ứng dụng. Keeper Security cho biết hiện Google, TikTok, Amazon và Uber đều hỗ trợ passkey và kêu gọi người dùng thiết lập chúng.

Ví dụ: để thiết lập một tài khoản trên Google, chỉ cần đăng nhập và đi tới cài đặt tài khoản của bạn.

Điều hướng đến Bảo mật ---) Cách bạn đăng nhập vào Google ---) passkey, sau đó xác minh danh tính của bạn. Sau đó, bạn sẽ được hướng dẫn cách thiết lập mật mã của mình. Bạn có thể thực hiện quy trình tương tự trên TikTok, Amazon và Uber để kích hoạt passkey.

Passkey hiện khả dụng trên các thiết bị:

Thiết bị iPhone sử dụng hệ điều hành iOS 16 trở lên.

Máy tính Macbook có hệ điều hành macOS Ventura trở lên.

Thiết bị Android có điều hành từ Android 9 trở lên.

Máy tính hỗ trợ Windows 10 trở lên.

Khóa bảo mật hỗ trợ passkey gồm: mỗi khóa bảo mật Titan có thể lưu trữ hơn 250 passkey. Mỗi khóa bảo mật YubiKey có thể lưu trữ tối đa 25 passkey.

Khóa xác thực VinCSS FIDO2 Fingerpint và VinCSS FIDO2 Touch 1.

Passkey hiện khả dụng trên các trình duyệt: Chrome 109 trở lên; Safari 16 trở lên; Edge 109 trở lên.

Google cũng khẳng định sẽ triển khai rộng rãi và cập nhật danh sách các thiết bị/trình duyệt có khả năng tương thích với passkey trong thời gian tới.