“Liệu chúng ta có thấy được sự kết thúc của mật khẩu?”

Đối với nhiều người trong chúng ta, mật khẩu đã trở thành một sự bất tiện khó chịu, một điều ác cần thiết để bảo vệ dữ liệu cá nhân của chúng ta khỏi rơi vào tay kẻ xấu. Tuy nhiên, với số lượng các cuộc tấn công lừa đảo ngày càng tăng và nhu cầu về mật khẩu phức tạp, biện pháp bảo vệ này đã trở thành một hệ thống mê cung gồm các mã tin nhắn văn bản, câu hỏi bí mật và các thủ thuật khác để xác minh danh tính.

Theo một cuộc khảo sát gần đây của ExpressVPN, trung bình một người dành ba phút 46 giây để đặt lại mật khẩu mỗi khi họ quên. Cuộc khảo sát tương tự cho thấy khoảng một nửa số người Mỹ lướt web đặt lại mật khẩu của họ ít nhất mỗi tháng một lần, với kết quả tương tự ở Pháp và Vương quốc Anh. Tuy nhiên, người Đức dường như rất hiếm khi quên mật khẩu của mình, chỉ 35% cần phải đặt lại mật khẩu ít nhất mỗi tháng một lần.

Nhưng thời của mật khẩu có thể sẽ sớm được đánh số khi sinh trắc học trở thành một giải pháp thay thế an toàn và thân thiện hơn với người dùng.

Các công ty công nghệ hàng đầu, bao gồm Apple, Google và Microsoft, đã cam kết loại bỏ dần mật khẩu thông qua hệ thống không mật khẩu FIDO Alliance. Sáng kiến ​​này, lần đầu tiên được bắt đầu vào năm 2013 bởi nhiều công ty công nghệ với mục tiêu giảm sự phụ thuộc của thế giới vào mật khẩu, đánh dấu một bước quan trọng hướng tới cách truy cập tài khoản trực tuyến an toàn và thuận tiện hơn. Nhưng cách tiếp cận này không có lỗi của nó?

Vấn đề với mật khẩu

Mật khẩu thường khó quản lý do nhiều người dùng chọn cùng một chuỗi trên nhiều tài khoản. Một nghiên cứu cho thấy gần một nửa số người dùng sử dụng lại cùng một mật khẩu cho các tài khoản khác nhau với các biến thể nhỏ, giúp tội phạm mạng dễ dàng truy cập vào nhiều tài khoản hơn nếu chúng chỉ có một mật khẩu. Đó là một nhược điểm lớn trong thời đại vi phạm dữ liệu và rò rỉ mật khẩu, vì cơ sở dữ liệu bị tấn công trên một nền tảng có thể làm lộ thông tin cá nhân nhạy cảm của bạn trên các sản phẩm trực tuyến khác.

Vấn đề này còn phức tạp hơn do nhiều người dùng chọn mật khẩu dựa trên thông tin cá nhân, chẳng hạn như ngày sinh hoặc tên thú cưng của họ, khiến tội phạm mạng dễ dàng phát hiện ra hơn. Thật vậy, một phần tư người Mỹ sử dụng mật khẩu như “password,” “Qwerty” và “123456”.

Mặc dù trình quản lý mật khẩu và xác thực hai yếu tố cung cấp một số cải tiến đáng hoan nghênh, trải nghiệm xác thực hiện tại của hầu hết mọi người trên web mở đều gây khó chịu và nguy hiểm do có nhiều lỗ hổng bảo mật. Đó là lý do tại sao có sự hợp tác trong toàn ngành để tạo ra các công nghệ đăng nhập đơn giản và an toàn hơn.

Ngành công nghệ đang hướng tới sinh trắc học như một cách an toàn và dễ dàng hơn để truy cập hồ sơ trực tuyến. Nếu bạn có điện thoại thông minh có cảm biến vân tay hoặc công nghệ nhận dạng khuôn mặt, thì bạn đã sử dụng hệ thống sinh trắc học. Theo Andrew Shikiar, Giám đốc điều hành của Liên minh FIDO, tiêu chuẩn xác thực không cần mật khẩu của FIDO đã được sử dụng trong hàng tỷ trình duyệt trên toàn thế giới.

Sinh trắc học cung cấp sự kết hợp hoàn hảo giữa tiện lợi và bảo mật. Nó dựa trên ba nguyên tắc bảo mật cơ bản: thứ bạn biết (mật khẩu), thứ bạn có (thẻ hoặc điện thoại di động) và thứ bạn (dấu vân tay hoặc mống mắt). Với sinh trắc học, việc truy cập các trang web hoặc ứng dụng dễ dàng như mở khóa điện thoại thông minh của bạn. Thiết bị đáng tin cậy thứ hai hoạt động như một “chìa khóa” để cung cấp thêm một lớp bảo mật, khiến xác thực hai yếu tố trở nên lỗi thời.

Với thông báo mới, người dùng trên nền tảng FIDO có hai khả năng mới để đăng nhập không cần mật khẩu mượt mà và an toàn hơn:

1. Tự động truy cập vào thông tin đăng nhập FIDO của họ (được một số người gọi là “mật khẩu”) trên hầu hết các thiết bị của họ, kể cả thiết bị mới, mà không cần đăng ký lại từng tài khoản.
2. Có thể sử dụng xác thực FIDO trên thiết bị di động của họ để đăng nhập vào các ứng dụng hoặc trang web trên các thiết bị khác ở gần, chẳng hạn như máy tính để bàn hoặc máy tính bảng, bất kể nền tảng hệ điều hành hoặc trình duyệt mà chúng đang chạy.

Tính năng mới dự kiến ​​sẽ xuất hiện trực tuyến trên các sản phẩm của Apple, Google và Microsoft trong suốt năm 2023.

Tuy nhiên, thách thức tiếp theo là đảm bảo lưu trữ an toàn dữ liệu sinh trắc học, José María Avalos, chuyên gia về an ninh mạng và giám đốc tại BeDisruptive, cảnh báo trong một cuộc phỏng vấn với EL PAíS.

Mặc dù bảo mật sinh trắc học mạnh mẽ hơn và khó bẻ khóa hơn các phương thức xác thực khác, chẳng hạn như kết hợp tên người dùng-mật khẩu, nhưng nó cũng khiến người dùng dễ bị tổn thương hơn nếu vi phạm dữ liệu làm lộ thông tin đăng nhập sinh trắc học của họ. Bạn không thể thay đổi dấu vân tay hoặc mống mắt của mình, vì vậy một khi tin tặc nắm giữ thông tin đó, thông tin đăng nhập sinh trắc học của bạn có thể bị lộ vĩnh viễn. Mặc dù vậy, tương lai của mật khẩu vẫn chưa chắc chắn khi ngành công nghệ tiếp tục sử dụng sinh trắc học.

Hành trình không cần mật khẩu sẽ không diễn ra trong một sớm một chiều, nhưng mật khẩu sẽ kết thúc. Shikiar giải thích rằng quá trình chuyển đổi từ mật khẩu sang sinh trắc học sẽ diễn ra dần dần nhưng trải nghiệm người dùng sẽ được cải thiện. Với sinh trắc học, việc truy cập tài khoản trực tuyến sẽ dễ dàng và an toàn như mở khóa điện thoại thông minh của bạn.