Đến gần hơn với thế giới không mật khẩu

Ảnh: Getty Images

Cách đây 10-15 năm, mỗi người cùng lắm chỉ cần nhớ 1-2 mật khẩu (password) cho tài khoản email và thẻ ngân hàng. Ngày nay thì không thể nhớ hết được vì không biết bao nhiêu thiết bị có khóa bảo mật, dịch vụ trực tuyến, tài khoản mạng xã hội yêu cầu có mật khẩu.

Chính Microsoft, nhà sản xuất hệ điều hành Windows, phải thừa nhận không ai thích mật khẩu, trừ giới tin tặc. Người ta không thích mật khẩu vì họ buộc phải nhớ chúng.

Để đỡ đau đầu vì mật khẩu, chúng ta có xu hướng đặt mật khẩu dễ đoán, hoặc dùng một cái cho nhiều tài khoản và điều này biến ta thành mục tiêu hàng đầu của tin tặc muốn xâm nhập máy tính hay đánh cắp thông tin của ta.

Tất cả đòi hỏi một giải pháp xác thực mới, không yêu cầu người dùng phải nghĩ ra hay nhớ bất cứ thứ gì, mà dựa trên thứ họ sẵn có (điện thoại, máy tính bảng) và thứ chỉ duy nhất họ có (vân tay, gương mặt).

Nghĩ khác về mật khẩu

Bỏ hẳn mật khẩu là đích đến cuối cùng của giới công nghệ trong cuộc chiến với tin tặc, khi mà cứ mỗi lần hacker tìm ra cách phá các phương thức xác thực thì các công ty lại đưa ra giải pháp mới.

Trước đây, các tài khoản trực tuyến chỉ yêu cầu nhập mật khẩu dưới dạng chuỗi ký tự và số một lần. Song vì mật khẩu loại này rất dễ đoán, bị đánh cắp hay bị các phần mềm bẻ khóa giải mã, người ta tạo ra cơ chế xác thực hai lớp (2FA): sau khi nhập mật khẩu còn phải xác thực một lần nữa bằng mã bảo mật gửi qua tin nhắn SMS trên điện thoại. Tuy nhiên, cách này cũng không an toàn vì tin tặc đã tìm ra cách đánh cắp được mã bảo mật thứ 2.

Cuối cùng, giải pháp được cho là an toàn nhất hiện nay là xác thực đa yếu tố (multi-factor authentication - MFA), không chỉ dựa vào một mình mật khẩu mà kết hợp thêm các yếu tố xác thực khác như thiết bị di động hay yếu tố sinh trắc học của người dùng, khi có đủ mới hoàn tất quá trình đăng nhập.

Ví von mà nói thì cách bảo mật này giống như để vào được kho báu của 40 tên cướp, Alibaba ngoài câu “Vừng ơi mở ra” thì phải trình ra được con dao có đúng vân tay của trùm băng cướp. Ví dụ phổ biến nhất là trong thanh toán di động. Khi người dùng chìa điện thoại di động ra cho nhân viên quét mã thanh toán trên ứng dụng ví điện tử, giao dịch sẽ được xử lý luôn chứ không hỏi thêm mã bảo mật nào nữa vì đã đủ các yếu tố: người dùng có thiết bị và thiết bị đã được mở khóa thì đúng là chính chủ rồi.

Biến chiếc điện thoại thông minh mà ai cũng có và luôn mang theo người thành “chìa khóa” để mở các thiết bị và đăng nhập các tài khoản trực tuyến là lối tiếp cận được Google ủng hộ. Giới công nghệ cũng thành lập Liên minh FIDO (Fast Identity Online - Xác thực nhanh) và đặt ra chuẩn FIDO để công nhận các hệ thống đủ an toàn, tin cậy nhằm giúp người dùng đăng nhập mà không cần mật khẩu truyền thống.

Tháng 2-2019, Google tuyên bố đã đạt chuẩn FIDO2 cho các điện thoại di động chạy Android 7.0 trở lên, giúp người dùng đăng nhập các dịch vụ của Google và nhiều dịch vụ khác mà không cần phải cố nhớ mật khẩu nữa. Ví dụ, khi cần đăng nhập tài khoản Gmail trên máy tính, sau khi nhập tên tài khoản, điện thoại di động của họ sẽ yêu cầu xác thực bằng vân tay hay nhận diện gương mặt (tùy thiết bị). Nếu qua được vòng xác thực trên điện thoại, người dùng sẽ đăng nhập thành công vào Gmail trên máy tính. Đây là cách đăng nhập bảo mật nhất vì không có mật khẩu, nên ta không cần phải nhớ và cũng không ai đánh cắp được.

Biến điện thoại Android thành chìa khóa là minh chứng cho thấy mật khẩu có thể bị thay thế hoàn toàn, và Google đang tiếp tục hướng đến tương lai đó. “Chúng tôi muốn thấy thế giới mà bạn sẽ không phải hoàn tất quá trình xác thực theo kiểu truyền thống với mật khẩu” - Steven Soneff, giám đốc sản phẩm phụ trách hệ thống xác thực trên Android của Google, nói với The Verge.

Một gã khổng lồ công nghệ khác là Microsoft cũng chia sẻ tầm nhìn này. Hệ điều hành Windows 10 được trang bị Windows Hello, hệ thống đăng nhập bằng vân tay, nhận diện gương mặt và mã PIN truyền thống. Trong bản cập nhật Windows tới đây, Windows Hello sẽ đạt chứng nhận FIDO2, nghĩa là người dùng có thể đăng nhập các thiết bị, ứng dụng và dịch vụ trực tuyến thông qua Windows Hello, thay vì phải nhập mật khẩu cho từng dịch vụ hay ứng dụng đó.

Theo trang Engadget, các trình duyệt Microsoft Edge, Google Chrome, Mozilla Firefox sẽ hỗ trợ kiểu đăng nhập này và Windows Hello cũng sẽ giúp người dùng quét vân tay, nhận diện gương mặt hay nhập PIN để dùng hàng loạt dịch vụ như Outlook.com, Office 365, Skype, Xbox Live. “Với hơn 800 triệu máy tính hiện đang chạy Windows 10, việc Windows tham gia thúc đẩy “thế giới không mật khẩu” sẽ có tác động rất lớn” - Engadget bình luận.

Cần nhân rộng

Thế giới không mật khẩu sẽ thành hiện thực nếu mọi dịch vụ, thiết bị đều hỗ trợ kiểu đăng nhập chuẩn FIDO2.

Giả sử một người có điện thoại thông minh, máy tính bảng và máy tính. Chỉ cần xác thực một lần trên điện thoại, khi muốn đăng nhập các tài khoản trên máy tính bảng và máy tính, họ sẽ không cần phải đăng nhập lại và chỉ cần quét vân tay hay gương mặt trên điện thoại. Nhưng đó chỉ là “thế giới không mật khẩu” của người dùng Android hay Windows 10, còn người dùng Apple thì sao?

Apple chưa tham gia biến iPhone thành thiết bị xác thực chuẩn FIDO2, song đã có những động thái cho thấy công ty này cũng muốn loại mật khẩu khỏi đời sống của người dùng. Chẳng hạn, người dùng máy Mac có thể thiết lập để đăng nhập bằng Apple Watch. Thay vì nhập mật khẩu, người dùng sẽ chạm vào thông báo yêu cầu xác nhận thông tin đăng nhập hiện trên mặt đồng hồ là xong.

Nghe có vẻ đơn giản và không có chút bảo mật nào vì giống như ai có chìa khóa thì mặc định là chủ nhà. Nhưng Apple không sơ đẳng đến thế, vì quy trình đăng nhập này chỉ được chấp nhận khi người dùng cài mật mã cho Apple Watch. Nghĩa là cũng đúng nguyên tắc FIDO2: cần một thiết bị làm “chìa khóa” và chứng minh được ta chính là chủ nhân của thiết bị đó. Tuy nhiên, cách này “yếu” hơn vì mật mã của Apple Watch không thể sánh với vân tay hay nhận diện gương mặt của thiết bị Android.

Chưa rõ Apple sẽ tiếp tục tìm lối đi riêng trong cuộc chơi loại bỏ mật khẩu ra khỏi đời sống hay gia nhập cộng đồng FIDO2. The Verge cho biết nhiều khả năng Apple sẽ tự tạo cuộc chơi của riêng mình. Trang tin công nghệ này cũng dẫn lời Brett McDowell, đại diện Liên minh FIDO, cho rằng ngay cả khi công nghệ FIDO2 hoàn thiện và được áp dụng rộng rãi, mật khẩu truyền thống vẫn còn chỗ đứng bên cạnh chuẩn xác thực mới “trong một thời gian đáng kể nữa”.

“Điều này tương tự như việc điện thoại thông minh hiện đại vẫn có tùy chọn nhập mã PIN, dù khuyến khích mở khóa thiết bị bằng vân tay hay nhận diện gương mặt - McDowell nói với The Verge - Song về lâu dài, thói quen người dùng cũng sẽ thay đổi khi các hãng công nghệ tiếp tục khiến họ tin rằng mật khẩu không an toàn và không hiệu quả”.■