Cái chết của mật khẩu sắp xảy ra khi công nghệ passkeys đang trên đà được người tiêu dùng chấp nhận

Anna Pobletts đã dành vài năm qua cho sứ mệnh biến mật khẩu trở thành dĩ vãng, nhưng passkeys - công nghệ có thể thay thế chúng - chưa bao giờ thực sự trên đà được người tiêu dùng chấp nhận rộng rãi cho đến năm nay.

Pobletts, người đứng đầu bộ phận mật khẩu tại 1Password, một công ty cung cấp mật khẩu có trụ sở tại Toronto, cho biết: “Chúng tôi thấy một số trang web có tên tuổi thực sự lớn như EBay, Best Buy và (vào đầu tháng 5) Google đã thông báo rằng họ đang hỗ trợ passkeys trên tài khoản Gmail.”

"Đó thực sự là một điểm bùng phát đột ngột, khi một tỷ người dùng có thể thêm passkeys (Gmail) nếu họ muốn."

Động thái này theo sau Apple, Shopify, Microsoft, DocuSign và PayPal, những công ty đã hỗ trợ passkeys — một chứng chỉ kỹ thuật số dựa trên mật mã có thể mở khóa tài khoản chỉ bằng một cái nháy mắt hoặc quét vân tay trên điện thoại của bạn.

Passkeys được cho là an toàn hơn mật khẩu vì không có chuỗi ký tự, số và ký hiệu để ghi nhớ, khiến chúng khó bị hack hơn. Chúng không cần phải thay đổi, không thể bị đánh cắp bởi ai đó đoán mò hoặc lén nhìn qua vai bạn và không có cách nào vô tình sử dụng chúng trên trang web sai.

Claudette McGowan nói: “Passkeys rất thú vị bởi vì… nó thực sự hiệu quả hơn và an toàn hơn.”

Sau 19 năm làm việc tại Bank of Montreal và gần 3 năm làm việc tại TD Bank, bà gần đây đã thành lập Protexxa, một nền tảng có trụ sở tại Toronto, sử dụng trí tuệ nhân tạo để nhanh chóng xác định và giải quyết các sự cố mạng cho nhân viên.

Trong những năm làm việc trong ngân hàng, mật khẩu là lỗ hổng hàng đầu.

“Khi mọi thứ đi chệch hướng, không bao giờ là do mã hóa không hoạt động hoặc tường lửa không hoạt động,” bà nói. "Luôn luôn có một con người ở giữa."

Tuy nhiên, passkeys là một biện pháp bảo vệ chống lại các cuộc tấn công lừa đảo, trong đó mọi người bị lừa đưa mật khẩu của họ cho tin tặc người gửi cho họ email hoặc tin nhắn có trang đăng nhập giả làm doanh nghiệp hợp pháp.

Tất cả 2.000 người trả lời trong một cuộc khảo sát trực tuyến được thực hiện cho 1Password vào tháng 1 cho biết họ đã nhận được một tin nhắn lừa đảo trong năm qua hoặc biết ai đó đã làm điều đó.

Passkeys làm cho các cuộc tấn công lừa đảo trở nên lỗi thời phần lớn do cấu trúc của chúng. 1Password cho biết, passkeys có hai phần được liên kết về mặt toán học — khóa chung được chia sẻ trên trang web hoặc ứng dụng mà bạn có tài khoản và khóa riêng tư luôn ở trên thiết bị của bạn.

Khi bạn đăng nhập vào một tài khoản, máy chủ của trang web hoặc ứng dụng sẽ gửi một "câu đố" đã xáo trộn mà chỉ có thể giải được bằng khóa cá nhân, khóa này sau đó được phép giải bằng sinh trắc học của người dùng. Khi câu đố được giải, dịch vụ sẽ biết khớp khóa công khai và khóa riêng tư và sẽ đăng nhập cho người dùng.

Không thể thiết kế ngược một khóa từ khóa kia. Nếu không có quyền truy cập vật lý vào thiết bị của bạn và không có cách để mở khóa chúng như dấu vân tay hoặc khuôn mặt của bạn, thì không ai có thể đăng nhập vào tài khoản được bảo vệ bằng mã khóa của bạn.

Vậy tại sao thế giới không bị hấp dẫn bởi passkeys sớm hơn?

Andrew Shikiar, giám đốc điều hành kiêm giám đốc tiếp thị của Liên minh Fast IDentity Online (FIDO) cho biết: “Mật khẩu là một công nghệ đã 60 tuổi.”

"Thật khó để thay thế chúng vì chúng đã ăn sâu vào mọi việc chúng ta làm và mật khẩu có lợi thế là phổ biến. Bạn có thể nhập mật khẩu ở bất cứ đâu và bạn biết cách thực hiện."

Mật khẩu trở thành tiêu chuẩn một phần là do Fernando Corbató, một nhà khoa học máy tính quá cố tại Viện Công nghệ Massachusetts.

Vào những năm 1960s, các nhà nghiên cứu của MIT như Corbató đang sử dụng Hệ thống Chia sẻ Thời gian Tương thích, nơi người dùng ở các địa điểm khác nhau có thể truy cập đồng thời vào một hệ thống máy tính thông qua đường dây điện thoại.

Mô hình này không cung cấp nhiều quyền riêng tư cho các tệp, vì vậy Corbató đã phát triển mật khẩu, mật khẩu này cuối cùng được hầu hết mọi công ty tìm cách bảo vệ quyền truy cập vào các tệp và hệ thống áp dụng.

Nhưng Liên minh FIDO, một nhóm toàn cầu với mục tiêu cắt giảm rò rỉ dữ liệu, rất muốn phá vỡ sự phụ thuộc vào mật khẩu đó.

Shikiar cho biết: “Phần lớn các vụ rò rỉ dữ liệu là do mật khẩu gây ra, vì vậy thực sự bằng cách giải quyết vấn đề về mật khẩu, bạn đang giải quyết vấn đề rò rỉ dữ liệu.”

Và Liên minh FIDO có rất nhiều đồng minh trong cuộc chiến.

Các thành viên của nhóm bao gồm 1Password, Google, Apple, eBay, Amazon, Twitter, chủ sở hữu Facebook Meta và PayPal, American Express, Sony và TikTok. (1Password sẽ bắt đầu hỗ trợ passkey vào ngày 6 tháng 6 và cho phép người dùng mở khóa tài khoản 1Password của họ bằng passkey vào tháng 7.)

Một số đã tham gia vì họ thấy mọi người từ bỏ giỏ hàng trực tuyến khi họ không nhớ mật khẩu của mình, trong khi những người khác chỉ muốn làm cho sản phẩm của họ an toàn hơn hoặc dễ dàng hơn cho khách hàng.

Tuy nhiên, Pobletts cho biết việc điều chỉnh các trang web, ứng dụng, máy chủ và hơn thế nữa để chấp nhận passkey "có thể khó khăn."

"Nó chắc chắn phức tạp hơn mật khẩu, một phần vì nó mới."

Liên minh FIDO đã tạo ra các tiêu chuẩn để giúp các công ty thực hiện bước chuyển mình và Shikiar tin rằng những cái tên quen thuộc khi chuyển hướng sang công nghệ sẽ thúc đẩy những người khác chấp nhận passkey.

Nhưng để công nghệ thực sự thành công, công chúng sẽ cần được giáo dục, ông và Pobletts nói.

Khảo sát của 1Password cho thấy chỉ một phần tư số người được hỏi thậm chí đã nghe nói về công nghệ không cần mật khẩu và 42% chưa sử dụng thông tin đăng nhập sinh trắc học.

Pobletts cho biết một số người có quan niệm sai lầm về cách thức hoạt động của một trong hai công nghệ.

"Đôi khi mọi người không nhận ra rằng thông tin sinh trắc học của bạn không được gửi đến trang web. Chúng không được Apple lưu trữ và không ai thực sự nắm giữ dữ liệu vân tay hoặc quét võng mạc của bạn," bà nói.

"Nhưng một khi mọi người biết và hiểu rằng sinh trắc học của bạn an toàn... thì họ thực sự cảm thấy thoải mái với điều đó."

Shikiar cũng hy vọng mọi người sẽ thích nghi với passkey vì chúng sẽ không được triển khai cùng một lúc.

Nhiều công ty sẽ khuyến khích khách hàng dùng thử chúng trong khi vẫn giữ mật khẩu, mật khẩu mà họ sẽ ngày càng ít dựa vào hơn theo thời gian trước khi công nghệ bị loại bỏ hoàn toàn.

"Có một điều không thể tránh khỏi về điều đó," ông nói, đồng thời nói thêm rằng ông nghĩ rằng trong vòng ba năm tới, hầu hết các dịch vụ sẽ cung cấp hỗ trợ passkey.

"Không ai giống như, ‘trời ơi, cho tôi thêm mật khẩu,’ cho dù đó là người tiêu dùng hay công ty. Mọi người đều sẵn sàng bỏ qua chúng."

Bản tiếng Việt của The Canada Life