Apple, Google và Microsoft “bắt tay" vì một tương lai đăng nhập không mật khẩu | Vietcetera
Billboard banner

Apple, Google và Microsoft “bắt tay" vì một tương lai đăng nhập không mật khẩu

Khi mật khẩu không còn làm khó người dùng “não cá vàng."
Minh Anh
Apple, Google và Microsoft “bắt tay" vì một tương lai đăng nhập không mật khẩu

Trà Nhữ @averagetea_ cho Vietcetera

1. Chuyện gì đã xảy ra?

Vào thứ 5 tuần qua, một “liên minh” công nghệ vừa được thành lập giữa Apple, Google và Microsoft để cùng tiến tới một tương lai xóa bỏ mật khẩu.

Cụ thể hơn, 3 công ty công nghệ lớn nhất nhì này đều chung tay hỗ trợ cho FIDO Alliance. Đây là một hiệp hội công nghiệp mở, được thành lập với mục đích tạo ra một tiêu chuẩn đăng nhập không cần mật khẩu. Tính năng mới này trong tương lai sẽ được mở rộng trên khắp các nền tảng và thiết bị của Apple, Google và Microsoft.

alt
Có rất nhiều công ty lớn tham gia vào FIDO Alliance | Nguồn: micronews

2. FIDO hoạt động như thế nào?

Cách thực hoạt động của FIDO khá tương đồng với cách bạn sử dụng điện thoại thông minh. Khi bạn đăng nhập tài khoản, các trang web hoặc ứng dụng sẽ gửi thông báo đến điện thoại của bạn để xác minh danh tính. Bạn chỉ cần xác thực bằng cách nhập mã pin, xác thực sinh trắc học (dấu vân tay hoặc khuôn mặt) để được đăng nhập mà không cần gõ mật khẩu.

Để làm được điều này, điện thoại mỗi người sẽ có lưu trữ một khóa FIDO (FIDO passkey), giúp xác thực đăng nhập trên các thiết bị và nền tảng khác nhau. Vì sử dụng chung một tiêu chuẩn FIDO, việc đăng nhập xuyên nền tảng có thể xảy ra. Theo như Google thì khóa FIDO này còn có thể lưu trữ trên Icloud trong trường hợp thiết bị chính bị mất.

Cho tới hiện tại, nhiều ứng dụng đã áp dụng phương thức hỗ trợ xác nhận FIDO. Tuy nhiên, quy trình này vẫn còn yêu cầu tạo tài khoản có tên đăng nhập và mật khẩu. Bản mở rộng mới lần này sẽ bỏ đi bớt quy trình này, giúp người dùng sở hữu khóa FIDO ngay từ ban đầu.

3. Phương pháp đăng nhập cũ gây ra những “nỗi đau” gì?

Ghi nhớ mật khẩu luôn là một nỗi đau, mỗi lần đăng nhập còn có thể là mỗi lần lấy lại mật khẩu mới. Đó là chưa kể tới việc phương pháp này yêu cầu người dùng phải thường xuyên thay đổi mật khẩu. Tuy nhiên, nếu chẳng may thiếu kiến thức về công nghệ, bạn còn dễ dàng trở thành nạn nhân bị đánh cắp mật khẩu của phương thức phishing.

Sở hữu mật khẩu cá nhân đồng nghĩa với việc có khả năng truy cập gần như mọi thứ từ email tới tài khoản ngân hàng. Thói quen sử dụng một mật khẩu cho nhiều tài khoản hay đặt mật khẩu quá yếu cũng khiến nhiều người lâm vào cảnh khốn đốn. Và dù chúng ta có một mật khẩu đúng chuẩn thì cũng không thể lường trước được khả năng bị lộ mật khẩu do rò rỉ thông tin.

Hình thức đăng nhập mật khẩu này đã được sử dụng từ những năm 60, vốn dùng để đăng nhập tài khoản riêng ở những máy tính công cộng dùng chung. Cho tới hiện này chúng ta có phương thức mật khẩu 2 lớp, tuy nhiên, hacker chỉ đơn giản phá 2 lớp bảo mật thay vì một như xưa.

4. Không có mật khẩu thì xác thực kiểu gì?

Các phương thức xác thực phổ biến hiện tại là xác thực hai lớp (2 factors) và xác thực đa lớp (multifactors). Có 3 yếu tố dùng để xác thực chủ yếu và được kết hợp với nhau giúp làm tăng mức độ bảo mật lên:

  • Thứ bạn sở hữu: mã thông báo, khóa USB hoặc thiết bị di động có ứng dụng xác thực.
  • Kiến thức bạn có: mật khẩu, mã PIN hoặc câu trả hỏi bí mật.
  • Yếu tố cố hữu: nhận dạng khuôn mặt, vân tay hoặc sinh trắc học.

Tuy nhiên, điều này đồng nghĩa một trong số thông tin “bí mật" của bạn vẫn sẽ nằm trong tay một bên cung cấp dịch vụ.

Với xác thực không mật khẩu (passwordless authentication), người dùng không phải chia sẻ bất kỳ bí mật nào, mọi thông tin của người đùng đều được giữ kín bằng một cặp khóa mã hóa. Nó bao gồm khóa riêng tư (private key) và một khóa công khai (public key) dành cho cơ sở cung cấp dịch vụ. Khi 2 khóa này được xác nhận, người dùng sẽ được đăng nhập.

Các giao thức và thông tin này đều được mã hóa. Bản thân các khóa riêng tư cũng được gắn liền với thông tin sinh trắc học và thiết bị cá nhân của người dùng để được kích hoạt, giúp tăng tính bảo mật cho phương thức này.

alt
Khi khóa riêng tư và công khai được xác nhận, người dùng sẽ được đăng nhập. | Nguồn: onelogin

5. Mật khẩu sinh trắc học có phải rủi ro của tính tiện lợi?

Trong những năm gần đây, mật khẩu sinh trắc học được ưa chuộng hơn cả khi giải quyết được các vấn đề của hình thức nhập mật khẩu truyền thống. Tuy nhiên, vấn đề của việc sử dụng sinh trắc học là thông tin này có thể bị lạm dụng và xâm phạm quyền riêng tư.

Vấn đề tương tự xảy ra ở Trung Quốc khi người dân nước này sử dụng khuôn mặt để xác thực cho hầu hết mọi việc trong cuộc sống. Bên cạnh đó, các tổ chức cá nhân như công viên cũng thu thập trái phép thông tin này của người dùng. Điều này tạo nên sự khó chịu và bất an cho nhiều người, nhất là khi bộ luật bảo vệ sinh trắc học của nước này chưa được hoàn thiện.

alt
Người dân Trung Quốc sớm trở nên phiền lòng vì sự tiện lợi của sinh trắc học | Nguồn: SMCP

Bên cạnh đó, việc lưu giữ nó đồng nghĩa với việc các thông tin này vẫn có khả năng bị rò rĩ. Đó là lý do mà FIDO cấm lưu trữ dữ liệu sinh trắc học trên máy chủ mà chỉ giữ thông tin đó trên thiết bị của người dùng.

Vậy nên, song song với việc phát triển công nghệ này, bộ luật bảo vệ dữ liệu sinh trắc học cũng là một khía cạnh đang được nhiều quốc gia quan tâm. Cho tới hiện tại, vẫn còn rất nhiều rào cản cho tới khi công nghệ này trở thành tương lai.