Thêm một "nạn nhân" nữa sắp bị Apple dẹp bỏ: mật khẩu

[trungthuc]

Trong nhiều năm qua, chúng ta đã được nghe khá nhiều về "ngày tàn của MẬT KHẨU". Và có vẻ như tương lai không có mật khẩu đang tiến đến gần hơn bao giờ hết, khi mà có hàng triệu người sẽ sớm buộc phải lựa chọn chấm dứt sử dụng mật khẩu trong bản cập nhật iOS 16, dự kiến sẽ ra mắt ngày 12/9 tới đây, cũng như macOS Ventura vào tháng 10 tới. Hai hệ điều hành của Apple có kết hợp một chức năng thay thế cho mật khẩu, gọi là passkeys, dành cho iPhone, iPad, và Mac.

Passkeys sẽ cho phép bạn đăng nhập vào các ứng dụng và website, hoặc tạo ra tài khoản mới, mà không cần phải ghi nhớ, hoặc lưu trữ mật khẩu. Passkeys, được tạo ra từ một cặp khóa mã hóa, sẽ thay thế mật khẩu truyền thống và được đồng bộ qua iCloud Keychain. Đây được được xem như là giải pháp giúp loại bỏ hoàn toàn mật khẩu và cải thiện mức an toàn cho người tiêu dùng trong quá trình sử dụng internet, thay thế cho những mật khẩu vốn kém bảo mật cùng những thói quen xấu mà bạn có lẽ đang mắc phải khi sử dụng mật khẩu.

Cho đến lúc này, việc Apple tung ra passkeys là một trong những cột mốc quan trọng nhất nhằm triển khai kỹ thuật không mật khẩu, và là thành quả sau nhiều năm nghiên cứu của Liên minh FIDO, một tổ chức kỹ thuật có sự góp mặt của những công ty lớn nhất trong ngành kỹ nghệ. Passkeys của Apple là phiên bản được Liên minh FIDO tạo ra dành riêng cho các sản phẩm của nhiều tập đoàn, có nghĩa là về sau, passkeys cũng sẽ tương thích với các hệ thống của Google, Microsoft, Meta, và Amazon.

Passkey trên Safari

Passkey là gì?

Sử dụng passkey cũng tương tự như sử dụng mật khẩu. Trên các thiết bị Apple, nó được kết hợp vào ô nhập mật khẩu truyền thống mà các website và ứng dụng sử dụng để giúp cho bạn khi đăng nhập. Passkeys đóng vai trò như một khóa kỹ thuật số độc nhất và có thể được tạo cho từng ứng dụng hoặc website bạn sử dụng. (Chữ "passkey" cũng được sử dụng bởi Google và Microsoft, trong khi FIDO gọi là "chứng chỉ FIDO đa thiết bị")

Nếu bạn chưa đăng ký tài khoản trên một ứng dụng hay website, bạn sẽ có thể tạo ra passkey thay vì mật khẩu trong quá trình đăng ký. Còn với các dịch vụ mà bạn đã có tài khoản, có nhiều khả năng bạn phải đăng nhập vào tài khoản hiện có bằng mật khẩu rồi mới tạo passkey được.

Trong màn demo kỹ thuật passkey của Apple, chúng ta thấy có một cửa sổ hiện ra trên thiết bị trong quá trình đăng nhập hoặc tạo ra tài khoản. Cửa sổ này sẽ hỏi liệu bạn có muốn "lưu passkey" cho tài khoản đang sử dụng hay không. Nếu có, thiết bị sẽ đề nghị xác nhận bằng Face ID, Touch ID, hoặc một phương thức xác thực khác để tạo ra passkey.

Sau khi đã tạo xong, passkeycó thể được lưu trữ trong iCloud Keychain và đồng bộ với nhiều thiết bị, có nghĩa là passkey của bạn sẽ sẵn sàng trên iPad và MacBook mà không cần làm thêm bước nào khác. Passkeys hoạt động trong trình duyệt web Safari của Apple, cũng như trên các thiết bị của hãng. Chúng cũng có thể được chia sẻ với các thiết bị Apple gần đó bằng AirDrop.

Bởi vì passkey của Apple được dựa trên các tiêu chuẩn không xài mật khẩu của Liên minh FIDO, nên chúng có thể được lưu trữ ở những nơi khác. Ví dụ, trình quản lý mật khẩu Dashlane vừa qua đã công bố sẽ hỗ trợ passkeys, và khẳng định đây là "một giải pháp độc lập và toàn diện tương thích mọi thiết bị hay nền tảng".

Cho dù Apple sắp sửa tung ra passkeys cùng iOS 16 và macOS Ventura, sẽ có nhiều hạn chế mà người tiêu dùng buộc phải chấp nhận.
- Đầu tiên, bạn cần cập nhật thiết bị lên hệ điều hành mới.
- Thứ hai, các ứng dụng và website cần hỗ trợ việc sử dụng passkeys, có thể là thông qua sử dụng các tiêu chuẩn của FIDO.

Ở thời điểm hiện tại, chưa rõ ứng dụng hay website nào đã hỗ trợ cho passkeys, dù Apple đã trình diễn kỹ thuật thay thế này từ tận năm 2021!

Passkeys của Apple hoạt động ra sao?

Passkeys của Apple được dựa trên API Web Authentication (WebAuthn), vốn được triển khai bởi Liên minh FIDO và Hiệp hội World Wide Web (WC3). Bản thân các passkeys sử dụng cơ chế mã hóa khóa công khai để bảo vệ tài khoản của bạn. Do đó, một passkey sẽ có cấu trúc khá loằng ngoằng và bạn khó mà tự tay gõ ra được.

Khi bạn tạo một passkey, một cặp khóa kỹ thuật số có liên quan sẽ được tạo bởi hệ thống. "Những khóa này được tạo ra bởi các thiết bị của bạn, bảo mật và độc nhất, cho mọi tài khoản", theo Garret Davidson, kỹ sư nhóm trải nghiệm xác thực của Apple. Một trong những khóa đó là khóa công khai và được lưu trữ trên các máy chủ của Apple, trong khi khóa còn lại là khóa bí mật và luôn nằm trên thiết bị của bạn. "Máy chủ (server) không bao giờ biết được khóa riêng tư của bạn, và thiết bị của bạn sẽ giữ nó an toàn", Davidson nói.

Khi bạn tìm cách đăng nhập vào một trong các tài khoản của mình bằng passkey, máy chủ của website hay ứng dụng sẽ gửi cho thiết bị của bạn một "thử thách", về ăn bản là đề nghị thiết bị của bạn chứng minh rằng chính bạn là người đang tìm cách đăng nhập. Khóa riêng tư, vốn được lưu trữ trên thiết bị, có thể trả lời thử thách này và gửi phản hồi lại máy chủ. Câu trả lời này sau đó sẽ được xác nhận bởi khóa công khai, cho phép bạn đăng nhập. "Có nghĩa là máy chủ có thể biết chắc bạn có khóa riêng tư phù hợp, mà không cần phải biết rõ 'khóa riêng tư' đó thực ra như thế nào?", Davidson nói.

Passkeys trên Windows

Nếu bạn dùng các thiết bị khác không phải của Apple thì sao?

Do Apple triển khai passkeys dựa trên các tiêu chuẩn của Liên minh FIDO, passkeys có thể hoạt động trên nhiều thiết bị và trang web khác nhau. Nếu bạn tìm cách đăng nhập vào một trong các tài khoản của mình trên một máy tính sử dụng Windows, bạn sẽ phải sử dụng một phương thức khác, bởi vì passkeys sẽ không được lưu trữ trên máy đó (nếu bạn lưu passkey trên một ứng dụng quản lý mật khẩu bên thứ ba, bạn cần đăng nhập vào ứng dụng quản lý đó trước).

Thay vào đó, khi đăng nhập vào một website, bạn sẽ phải dùng một mã QR và iPhone để đăng nhập. Mã QR chứa một URL, bao gồm các khóa mã hóa dùng một lần. Khi quét mã, điện thoại của bạn và máy tính sẽ giao tiếp được với nhau bằng một mạng lưới mã hóa hai đầu thông qua Bluetooth và chia sẻ thông tin passkeys với nhau.

(Minh họa)

"Có nghĩa là một mã QR được gửi qua email hay tạo ra trên một website giả mạo sẽ không hoạt động, bởi một kẻ tấn công từ xa sẽ không thể nhận thông báo từ Bluetooth và hoàn tất quy trình trao đổi nội bộ", ông Davidson nói. Quy trình này diễn ra giữa điện thoại của bạn và trình duyệt web, website mà bạn đang đăng nhập không tham gia vào đó!

Ngoài Apple, các công ty kỹ nghệ khác cũng đang trong quá trình chuẩn bị để triển khai kỹ thuật passkeys của riêng họ. Website dành cho các ứng dụng của Google cho biết họ dự định hỗ trợ passkey cho các ứng dụng của Android vào cuối năm 2022. Microsoft đã sử dụng qua các hệ thống đăng nhập không mật khẩu từ vài năm qua, và nói rằng trong tương lai gần, người tiêu dùng sẽ có thể đăng nhập vào tài khoản Microsoft với một passkey từ thiết bị của Apple hay Google.

Vậy, Passkeys có tốt hơn mật khẩu hay không?

Không một hệ thống nào sẽ an toàn 100%, nhưng mật khẩu mà chúng ta quen dùng hiện nay là một trong những vấn đề bảo mật lớn nhất khi lướt web. Mỗi năm, những mật khẩu phổ biến nhất mà mọi người hay dùng, theo các báo cáo phân tích, đều là "123456789" và "password". Sử dụng những mật khẩu yếu và lặp lại là một trong những nguy cơ đáng longại nhất đối với các hoạt động lên mạng của bạn.

Có rất nhiều giải pháp nhằm hỗ trợ việc loại bỏ mật khẩu từ Liên minh FIDO và có sự góp mặt của hầu hết các công ty kỹ nghệ lớn, và họ đều đang nghiên cứu cách thức để loại bỏ mật khẩu truyền thống. Jen Easterly, giám đốc Cơ quan An ninh mạng và Bảo mật cơ sở hạ tầng Hoa Kỳ, từng khen ngợi quá trình triển khai kỹ thuật không sử dụng mật khẩu hồi tháng 5 năm nay.

"Mọi passkey đều rất mạnh và an toàn. Chúng không bao giờ bị đoán ra, tái sử dụng được, hay bị đánh giá là yếu", Apple nói. "Để thực sự giải quyết được các vấn đề của mật khẩu, chúng ta cần dùng thứ khác ngoài mật khẩu", Google nói trong tài liệu của họ về passkeys, khẳng định passkeys sẽ giúp giảm các cuộc tấn công phishing và mọi người sẽ không thể bị lừa để chia sẻ passkeys được. Hơn nữa, passkeys sẽ ít bị hacker nhắm đến vì chi tiết về chúng không được lưu trữ trên các máy chủ.

Dẫu vậy, mật khẩu sẽ còn tồn tại thêm một thời gian dài nữa. Thuyết phục được mọi người chuyển sang sử dụng phương thức đăng nhập mới là điều khó khăn, phải làm sao để họ tin tưởng và hiểu được hệ thống mới. Muốn vậy, các ứng dụng và website cần hỗ trợ passkey ngay lập tức. Và vẫn còn một số câu hỏi chưa được trả lời, như liệu các bản sao lưu lên đám mây từ iOS có tương thích với Android không? Mật khẩu có vẻ chưa thể ra đi sớm được, nhưng số phận của nó thì đã được định đoạt rồi.

Tham khảo: Wired

Nói thì rất hay, rất hấp dẩn và dể dàng, nhưng khi bắt đầu thực hiện sẽ nảy sinh ra nhiều vấn đề khác như liệu có để làm hay không nếu dốt chữ, ít hiểu biết về IT, liệu có an toàn hay không vì không lẽ bọn hacker sẽ ngồi im và bó tay? Thời gian sẽ chứng minh ra sự thật, còn bây giờ ai muốn ca muốn hát kiểu nào cũng đượchết. Người tiêu dùng đã bị lừa gạt rất nhiều rồi, có cam đoan, cam kết gì thì hãy đợi đấy, chúng em chưa gấp gáp đâu???