Công nghệ giúp bạn không còn quên mật khẩu

Màn hình xác thực khi đăng nhập bằng passkey trên iPhone. Ảnh: New York Times.

Những năm gần đây, mật khẩu bị xem là điểm yếu của các hệ thống an ninh mạng. Máy móc thường rất dễ đoán mật khẩu tạo bởi con người, trong khi mật khẩu phức tạp lại khó nhớ.

Khi lượng tài khoản ngày càng nhiều, người dùng có xu hướng đặt chung mật khẩu, thói quen gây rủi ro lớn. Các app quản lý mật khẩu giúp cải thiện phần nào tình trạng, song không phải ai cũng muốn tốn thời gian cho thao tác này.

Xác thực 2 yếu tố là lớp bảo vệ bổ sung phổ biến, nhưng khiến việc đăng nhập trở nên phiền toái. Công nghệ passkey xuất hiện để giải quyết tình trạng trên. Thay vì nhập mật khẩu hay mã xác minh 2 lớp, thiết bị sẽ tìm passkey phù hợp khi có yêu cầu đăng nhập. Người dùng chỉ cần xác nhận bằng vân tay, khuôn mặt hay mã PIN.

Dù chưa hoàn hảo và cần thêm thời gian phổ cập, New York Times cho rằng người dùng nên tìm hiểu cách hoạt động và cài đặt passkey trên một số nền tảng quen thuộc. Điều này giúp hướng đến tương lai sử dụng Internet an toàn hơn.

Cần gì để dùng passkey?

Về cơ bản, passkey giống như chìa khóa mở cửa, giúp đăng nhập tài khoản an toàn mà không cần mật khẩu. Mỗi tài khoản có một chuỗi passkey độc nhất, không thể sao chép và chỉ kích hoạt khi được yêu cầu.

Khi nhận yêu cầu đăng nhập, thay vì hỏi mật khẩu, thiết bị sẽ tự động tìm passkey phù hợp. Chỉ cần xác thực bằng mã PIN, khuôn mặt hoặc quét vân tay. Sau khi xác thực thành công, thiết bị sẽ dùng chuỗi passkey để đăng nhập tài khoản.

Jacob Hoffman-Andrews, chuyên gia tại Tổ chức Biên giới Điện tử (Electronic Frontier Foundation), ví passkey như mật khẩu siêu dài. Người dùng không thể sao chép và dán, nhưng máy tính hay điện thoại có thể đăng nhập website theo cách nhanh chóng, an toàn hơn.

Passkey cũng loại bỏ nguy cơ quên mật khẩu. Mỗi passkey liên kết cố định với từng website, không thể sử dụng trên các trang lừa đảo hoặc bị gửi cho tin tặc. Nếu website bị tấn công, dữ liệu passkey vẫn an toàn.

Người dùng có thể lưu trữ passkey ở nhiều nơi khác nhau, bao gồm trực tiếp trên máy, ứng dụng quản lý mật khẩu hoặc khóa vật lý. Tất cả passkey được mã hóa đầu cuối, nhà cung cấp dịch vụ không thể giải mã dữ liệu.

Thao tác thiết lập passkey trên ứng dụng Facebook.

Một số nền tảng lớn như Amazon, Google, Facebook hay Microsoft đã hỗ trợ passkey để đăng nhập tài khoản. Các hệ điều hành phổ biến cũng cho phép tạo, lưu trữ và sử dụng công nghệ bảo mật này.

Nếu dùng sản phẩm Apple, passkey được lưu vào ứng dụng Mật khẩu (Passwords) và đồng bộ qua iCloud. Thiết bị Android, Chromebook và trình duyệt Chrome sẽ lưu passkey vào trình quản lý mật khẩu (Google Password Manager). Windows cũng hỗ trợ lưu và đồng bộ passkey sang thiết bị có cùng tài khoản Microsoft.

Người dùng có thể chọn lưu passkey trong ứng dụng quản lý mật khẩu bên thứ ba. Hầu hết app quản lý mật khẩu hỗ trợ đa nền tảng, tiện ích mở rộng để đăng nhập nhanh trên trình duyệt. Nếu chọn giải pháp này, cần đặt mật khẩu an toàn cho ứng dụng và bật xác thực 2 lớp.

Khóa vật lý cũng là giải pháp phù hợp nếu muốn lưu trữ offline. Một số thiết bị hỗ trợ NFC để kết nối điện thoại, hoặc cổng USB phục vụ xác thực trên máy tính. Tuy nhiên, người dùng sẽ mất toàn bộ passkey nếu làm mất khóa. Nếu có thể, nên tạo thêm passkey dự phòng, lưu trên khóa thứ 2 và cất ở nơi an toàn.

Hạn chế của passkey

Người dùng có thể xem danh sách nền tảng hỗ trợ passkey trên website FIDO Alliance (fidoalliance.org/passkeys-directory), liên minh phát triển công nghệ passkey. Một số website cũng sẽ hiện thông báo nếu hỗ trợ chuẩn xác thực này.

Trải nghiệm sử dụng passkey có thể khác nhau tùy nền tảng. Trong đa số trường hợp, website sẽ yêu cầu xác thực khuôn mặt (hoặc vân tay) để tạo và lưu passkey. Trong lần đăng nhập tiếp theo, thiết bị sẽ tự nhận diện và yêu cầu xác thực.

Người dùng cũng có thể sử dụng thiết bị có sẵn passkey để đăng nhập trên máy khác vốn không có passkey. Ví dụ khi đăng nhập trên máy tính, trình duyệt sẽ hiển thị mã QR để quét và xác thực từ điện thoại. Lưu ý cả 2 thiết bị cần bật Bluetooth, máy tính cũng không tự động lưu passkey trừ khi nền tảng hỗ trợ đồng bộ.

Theo New York Times, trở ngại lớn nhất với passkey có thể đến từ sự mệt mỏi khi phải tiếp nhận cách bảo vệ tài khoản mới.

Passkey hỗ trợ nhiều phương thức lưu trữ, kể cả khóa vật lý. Ảnh: New York Times.

Passkey vẫn trong giai đoạn triển khai đầu tiên, lượng website hỗ trợ chưa nhiều. Do đó, người dùng vẫn phải duy trì mật khẩu và xác thực 2 lớp. Một số nền tảng hỗ trợ passkey vẫn dùng mật khẩu và xác minh 2 bước làm phương án dự phòng.

Quy trình vận hành giữa các nền tảng vẫn chưa thống nhất. Một số website yêu cầu xác thực 2 bước khi dùng passkey, số khác lại không.

Thao tác đăng nhập giữa các hệ điều hành có thể khác nhau. Người dùng cũng chưa thể chuyển trực tiếp passkey giữa các hệ điều hành. Hoffman-Andrews cho rằng điều này giúp bảo vệ khỏi lừa đảo.

Việc lưu trữ passkey trên đám mây của bên thứ ba cũng tiềm ẩn rủi ro bảo mật. Kẻ xấu có thể tiếp cận passkey nếu lấy cắp thiết bị, hoặc có quyền truy cập app quản lý mật khẩu.

Theo New York Times, đó là lý do không nên tiết lộ mã PIN cho người khác, đồng thời kích hoạt các công cụ chống trộm có sẵn để giảm thiểu rủi ro. Nhóm người có nguy cơ cao nên cân nhắc sử dụng khóa vật lý.

Nhìn chung, passkey vẫn mang đến nhiều lợi ích dù chưa thay thế hoàn toàn mật khẩu. Người dùng nên chủ động kích hoạt tính năng này nếu website hỗ trợ, giúp bảo vệ tốt hơn khi sử dụng Internet.