Thêm một nạn nhân nữa sắp bị Apple tiêu diệt: mật khẩu

Nhiều năm qua, chúng ta đã được nghe khá nhiều về “ngày tàn của mật khẩu”. Và có vẻ như tương lai không mật khẩu đang tiến đến gần hơn bao giờ hết, khi mà hàng triệu người sẽ sớm được lựa chọn chấm dứt sử dụng mật khẩu trong bản cập nhật iOS 16, dự kiến ra mắt ngày 12/9 tới đây, cũng như macOS Ventura vào tháng tới. Hai hệ điều hành của Apple có tích hợp một tính năng thay thế cho mật khẩu, gọi là passkeys, dành cho iPhone, iPad, và Mac.

Passkeys cho phép bạn đăng nhập vào các ứng dụng và website, hoặc tạo tài khoản mới, mà không cần tạo, ghi nhớ, hoặc lưu trữ mật khẩu. Passkey, được tạo thành từ một cặp khóa mã hóa, sẽ thay thế mật khẩu truyền thống và được đồng bộ qua iCloud Keychain. Nó được xem là giải pháp giúp loại bỏ hoàn toàn mật khẩu và cải thiện an toàn cho người dùng trong quá trình sử dụng internet, thay thế những mật khẩu vốn kém bảo mật cùng những thói quen xấu mà bạn có lẽ đang mắc phải khi sử dụng mật khẩu.

Cho đến lúc này, việc Apple tung ra passkeys là một trong những cột mốc quan trọng nhất nhằm triển khai công nghệ không mật khẩu, và là thành quả sau nhiều năm nghiên cứu của Liên minh FIDO, một tổ chức công nghiệp có sự góp mặt của những công ty lớn nhất trong ngành công nghệ. Passkeys của Apple là phiên bản được Liên minh FIDO phát triển dành riêng cho các sản phẩm của hãng, có nghĩa là về sau, passkeys cũng sẽ tương thích với các hệ thống của Google, Microsoft, Meta, và Amazon.

Passkey là gì?

Sử dụng passkey cũng tương tự sử dụng mật khẩu. Trên các thiết bị Apple, nó được tích hợp vào ô nhập mật khẩu truyền thống mà các website và ứng dụng sử dụng để giúp bạn đăng nhập. Passkeys đóng vai trò như một khóa kỹ thuật số độc nhất và có thể được tạo cho từng ứng dụng hoặc website bạn sử dụng. (Từ “passkey” cũng được dùng bởi Google và Microsoft, trong khi FIDO gọi chúng là “chứng chỉ FIDO đa thiết bị”)

Nếu bạn chưa đăng ký tài khoản trên một ứng dụng hay website, bạn sẽ có thể tạo passkey thay vì mật khẩu trong quá trình đăng ký. Còn với các dịch vụ mà bạn đã có tài khoản, nhiều khả năng bạn phải đăng nhập vào tài khoản hiện có bằng mật khẩu rồi mới tạo passkey được.

Trong màn demo công nghệ passkeys của Apple, chúng ta thấy có một hộp thoại hiện ra trên thiết bị trong quá trình đăng nhập hoặc tạo tài khoản. Hộp thoại này sẽ hỏi liệu bạn có muốn “lưu passkey” cho tài khoản đang sử dụng hay không. Nếu có, thiết bị sẽ đề nghị xác nhận bằng Face ID, Touch ID, hoặc một phương thức xác thực khác để tạo passkey.

Sau khi đã tạo xong, passkey có thể được lưu trữ trong iCloud Keychain và đồng bộ với nhiều thiết bị - có nghĩa là passkey của bạn sẽ sẵn sàng trên iPad và MacBook mà không cần làm thêm bước nào khác. Passkey hoạt động trong trình duyệt web Safari của Apple, cũng như trên các thiết bị của hãng. Chúng cũng có thể được chia sẻ với các thiết bị Apple gần đó bằng AirDrop.

Bởi passkeys của Apple được dựa trên các chuẩn không mật khẩu của Liên minh FIDO, chúng có thể được lưu trữ ở những nơi khác. Ví dụ, trình quản lý mật khẩu Dashlane vừa qua đã công bố sẽ hỗ trợ passkeys, và khẳng định đây là “một giải pháp độc lập và toàn diện tương thích mọi thiết bị hay nền tảng”

Dù Apple sắp sửa tung ra passkeys cùng iOS 16 và macOS Ventura, sẽ có nhiều hạn chế mà người dùng buộc phải chấp nhận. Đầu tiên, bạn cần cập nhật thiết bị lên hệ điều hành mới. Thứ hai, các ứng dụng và website cần hỗ trợ việc sử dụng passkeys - có thể là thông qua sử dụng các tiêu chuẩn của FIDO. Ở thời điểm hiện tại, chưa rõ ứng dụng hay website nào đã hỗ trợ passkeys, dù Apple đã trình diễn công nghệ này trước các nhà phát triển từ tận năm 2021!

Passkeys của Apple hoạt động ra sao?

Passkeys của Apple được dựa trên API Web Authentication (WebAuthn), vốn được phát triển bởi Liên minh FIDO và Hiệp hội World Wide Web (WC3). Bản thân các passkeys sử dụng cơ chế mã hóa khóa công khai để bảo vệ tài khoản của bạn. Do đó, một passkey có cấu trúc khá loằng ngoằng và bạn khó mà tự tay gõ nó ra được.

Khi bạn tạo một passkey, một cặp khóa kỹ thuật số liên quan sẽ được tạo bởi hệ thống. “Những khóa này được tạo ra bởi các thiết bị của bạn, bảo mật và độc nhất, cho mọi tài khoản" - theo Garret Davidson, kỹ sư nhóm trải nghiệm xác thực của Apple. Một trong những khóa đó là khóa công khai và được lưu trữ trên các máy chủ của Apple, trong khi khóa còn lại là khóa bí mật và luôn nằm trên thiết bị của bạn. “Máy chủ không bao giờ biết được khóa riêng tư của bạn, và thiết bị của bạn sẽ giữ nó an toàn” - Davidson nói.

Khi bạn tìm cách đăng nhập vào một trong các tài khoản của mình bằng passkey, máy chủ của website hay ứng dụng sẽ gửi cho thiết bị của bạn một “thử thách”, về cơ bản là đề nghị thiết bị của bạn chứng minh rằng chính bạn là người đang tìm cách đăng nhập. Khóa riêng tư, vốn được lưu trữ trên thiết bị, có thể trả lời thử thách này và gửi phản hồi lại máy chủ. Câu trả lời này sau đó sẽ được xác nhận bởi khóa công khai, cho phép bạn đăng nhập. “Có nghĩa là máy chủ có thể biết chắc bạn có khóa riêng tư phù hợp, mà không cần biết khóa riêng tư đó thực ra như thế nào" - Davidson nói.

Nếu bạn dùng các thiết bị khác không phải của Apple thì sao?

Bởi Apple phát triển passkeys dựa trên các tiêu chuẩn của Liên minh FIDO, passkeys có thể hoạt động trên nhiều thiết bị và web. Nếu bạn tìm cách đăng nhập vào một trong các tài khoản của mình trên một máy tính Windows, bạn sẽ phải sử dụng một phương thức khác, bởi passkeys sẽ không được lưu trữ trên máy đó (nếu bạn lưu passkey trên một trình quản lý mật khẩu bên thứ ba, bạn cần đăng nhập vào trình quản lý đó trước).

Thay vào đó, khi đăng nhập vào một website, bạn sẽ phải dùng một mã QR và iPhone để đăng nhập. Mã QR chứa một URL, bao gồm các khóa mã hóa dùng một lần. Khi quét mã, điện thoại của bạn và máy tính sẽ giao tiếp được với nhau bằng một mạng lưới mã hóa hai đầu thông qua Bluetooth và chia sẻ thông tin passkeys với nhau.

“Có nghĩa là một mã QR được gửi qua email hay tạo ra trên một website giả mạo sẽ không hoạt động, bởi một kẻ tấn công từ xa sẽ không thể nhận thông báo từ Bluetooth và hoàn tất quy trình trao đổi nội bộ" - Davidson nói. Quy trình này diễn ra giữa điện thoại của bạn và trình duyệt web - website mà bạn đang đăng nhập không tham gia vào đó!

Ngoài Apple, các công ty công nghệ khác cũng đang trong quá trình chuẩn bị triển khai công nghệ passkeys của riêng họ. Website dành cho nhà phát triển của Google cho biết họ dự định hỗ trợ passkey cho các nhà phát triển Android vào cuối năm 2022. Microsoft thì đã sử dụng các hệ thống đăng nhập không mật khẩu từ vài năm qua, và nói rằng trong tương lai gần, người dùng sẽ có thể đăng nhập vào tài khoản Microsoft với một passkey từ thiết bị của Apple hay Google.

Passkeys có tốt hơn mật khẩu không?

Không hệ thống nào an toàn 100%, nhưng mật khẩu mà chúng ta quen dùng hiện nay là một trong những vấn đề bảo mật lớn nhất khi lướt web. Mỗi năm, những mật khẩu phổ biến nhất mà mọi người hay dùng - theo các báo cáo phân tích - đều là “123456789” và “password”. Sử dụng những mật khẩu yếu và lặp lại là một trong những nguy cơ đáng quan ngại nhất đối với hoạt động trực tuyến của bạn.

Có rất nhiều giải pháp nhằm hỗ trợ việc loại bỏ mật khẩu - Liên minh FIDO có sự góp mặt của hầu hết các công ty công nghệ lớn, và họ đều đang nghiên cứu cách loại bỏ mật khẩu. Jen Easterly, giám đốc Cơ quan An ninh mạng và Bảo mật Hạ tầng Mỹ, từng khen ngợi quá trình triển khai công nghệ không mật khẩu hồi tháng 5 năm nay.

“Mọi passkey đều rất mạnh. Chúng không bao giờ đoán được, tái sử dụng được, hay bị đánh giá là yếu” - Apple nói. “Để thực sự giải quyết được các vấn đề của mật khẩu, chúng ta cần dùng thứ khác ngoài mật khẩu" - Google nói trong tài liệu của họ về passkeys. Gã khổng lồ tìm kiếm khẳng định passkeys sẽ giúp giảm các cuộc tấn công phishing - mọi người sẽ không thể bị lừa chia sẻ passkeys được - và passkeys ít bị hacker nhắm đến vì chi tiết về chúng không được lưu trữ trên các máy chủ.

Dẫu vậy, mật khẩu sẽ còn tồn tại thêm một thời gian dài nữa. Thuyết phục được mọi người chuyển sang sử dụng phương thức đăng nhập mới là điều khó khăn, phải làm sao để họ tin tưởng và hiểu được hệ thống mới: muốn vậy, các ứng dụng và website cần hỗ trợ passkey ngay lập tức. Và vẫn còn một số câu hỏi chưa được trả lời, như liệu các bản sao lưu lên đám mây từ iOS có tương thích với Android không? Mật khẩu có vẻ chưa thể ra đi được, nhưng số phận của nó thì đã được định đoạt rồi.