Tuy vậy, dù bằng cách nào, mật khẩu vẫn được xem là điểm yếu lớn nhất trong một mắt xích của hệ thống bảo mật. Hàng loạt vụ hack mật khẩu diễn ra, được thực hiện với cả những hacker không cần quá am hiểu về công nghệ. Theo công ty an ninh mạng Group-IB, riêng mùa hè này đã có hơn 130 tổ chức bị hacker ghé thăm, gây thiệt hại cho hàng triệu người dùng.
Con người - điểm yếu lớn nhất
Mật khẩu được cho là không còn an toàn khi ngày càng dài và khó nhớ. Người dùng phải sử dụng trình quản lý riêng và các trình này cũng không bảo mật như quảng cáo.
Việc sử dụng mật khẩu cũng có liên quan đến yếu tố con người. Do đó, Google, Amazon, Nvidia và hàng trăm công ty công nghệ lớn khác xác định đây lỗ hổng bảo mật lớn nhất, từ đó áp dụng chiến thuật không tin ai cả.
"Dù bảo mật cỡ nào, hệ thống vẫn có thể bị hack nếu bị con người kiểm soát", Ofer Maor, Giám đốc công nghệ và đồng sáng lập công ty ứng phó sự cố an ninh mạng Mitiga, cho biết. "Vài tháng qua, các cuộc tấn công được ghi nhận ngày một nhiều, nhất là cách thức tấn công qua xác thực hai yếu tố. Bất kể công ty lớn hay nhỏ, tất cả đều rơi vào cùng một cuộc tấn công dồn dập và bị dồn ép".
Chẳng hạn, trong vụ tấn công Uber gần đây, một quản trị hệ thống thuộc nhà thầu được Uber thuê đã cảm thấy mệt mỏi vì bị spam tin nhắn yêu cầu ủy quyền đăng nhập vào tài khoản. Ông sau đó đã vô thức bấm chấp nhận, khiến hệ thống bị xâm nhập.
Tương lai không mật khẩu
Theo các chuyên gia, với một hệ thống không mật khẩu, mọi thứ lại khác. Trong trường hợp này, thông tin xác thực được truyền từ thiết bị số đến Internet, con người không thể đọc. Tất cả thông tin liên lạc được mã hóa, danh tính của người dùng được xác minh khi thiết bị, như smartphone, gửi mã xác thực một lần mà chỉ điện thoại đó mới có thể tạo ra. Bằng cách này, smartphone sẽ trở thành mật khẩu.
Với việc dùng thiết bị số làm phương thức xác thực, độ an toàn cũng tăng lên, bởi việc đánh cắp điện thoại và đăng nhập khó khăn hơn, nhất là khi chúng được bảo vệ bởi sinh trắc học như khuôn mặt hoặc vân tay. Đây cũng là một trong những lý do cảm biến sinh trắc học đang xuất hiện nhiều hơn trên laptop, PC và nhiều loại thiết bị khác.
"Một hệ thống như vậy sẽ không phải đối mặt với khả năng xảy ra các cuộc tấn công lừa đảo vì đã loại bỏ hoàn toàn liên kết yếu nhất là con người khỏi quá trình đăng nhập", Andrew Shikiar, đứng đầu Liên minh Xác thực trực tuyến thế giới FIDO Alliance, cho biết. Liên minh này đã hoạt động hơn 10 năm qua, có nhiều thành viên là các công ty nổi tiếng như Apple, Google và Microsoft.
Giữa tháng 5, Apple, Google và Microsoft đưa ra thông báo chung liên quan đến việc đăng nhập không cần mật khẩu. Đây là tiêu chuẩn do FIDO Alliance và World Wide Web Consortium tạo ra. Theo đó, mỗi thiết bị có một mã nhận diện riêng biệt do FIDO cấp dùng để đăng nhập vào các website, ứng dụng khác nhau mà không cần mật khẩu. Apple, Google và Microsoft đã hỗ trợ tiêu chuẩn này trên các nền tảng của mình bằng cách cho phép người dùng vào tài khoản bằng các phương pháp xác thực sinh trắc học.
Xác thực dựa trên thiết bị để thay mật khẩu không mới. Trong hơn một thập kỷ, một số công ty có hệ thống đặc biệt an toàn thường yêu cầu người quản trị cắm USB chuyên dụng chứa mã mở khóa. Hệ thống sẽ không kết nối với mạng công ty hoặc chính phủ nếu không có chúng. Tuy nhiên, theo báo cáo từ Hypr tính đến giữa 2022, chỉ có 16% cung cấp cho nhân viên tùy chọn đăng nhập không mật khẩu.
Theo Todd McKinnon, CEO của Okta, mật khẩu vẫn được sử dụng là nhờ tính tiện dụng và công nghệ về bảo mật ở mức độ an toàn cao chưa được chú trọng đúng mức. Tuy nhiên, sự phổ biến của cảm biến sinh trắc học trong các thiết bị số hiện nay giúp cho việc triển khai bảo mật không mật khẩu trở nên khả thi.
"Mười năm trước, bạn không có Touch ID, Face ID hay Windows Hello. Nhưng giờ chúng có thể hỗ trợ đăng nhập vào hệ thống một cách dễ dàng", McKinnon cho biết.
Còn theo Shikiar, xác thực dựa trên thiết bị đang có bước tiến nhảy vọt và an toàn hơn các hệ thống dựa trên mật khẩu ngày nay. Tuy nhiên, tùy thuộc vào mức độ an toàn mà một tổ chức muốn tạo ra hệ thống của mình, quá trình này chỉ nên là bước khởi đầu để vô hiệu hóa các nguy cơ tấn công, các bước sau vẫn phải cần đến mật khẩu để xác thực.
Bên cạnh các ưu điểm, hệ thống không có mật khẩu có thể gây ra nhiều bất tiện. Chẳng hạn, làm cách nào để lấy lại mật khẩu đã mất nếu người quản trị chỉ được giao thiết bị mở khóa mà không biết cách khôi phục. Nếu quá trình khôi phục quá khó khăn, nhân viên có thể bị khóa tài khoản và không thể thực hiện công việc của mình.
Mặt khác, nếu quá trình khôi phục tài khoản quá dễ dàng, hệ thống có nguy cơ bị xâm nhập. "Đối với nhiều công ty, bạn phải gọi đến bộ phận trợ giúp và tự nhận mình là người đó", Weinert nói. "Điều này mở ra cơ hội cho những kẻ tấn công có thể lách qua bằng cách thuyết phục người ở cấp cao hơn đăng ký thiết bị khách vào hệ thống công ty mà không cần đánh cắp thông tin đăng nhập".
Maor tin rằng các hệ thống đăng nhập không cần mật khẩu sẽ là xu hướng bảo mật tiếp theo. Tuy nhiên, ông đánh giá nó cần phải được tuân thủ nghiêm ngặt các yêu cầu khi vận hành. "Tôi đã làm việc trong lĩnh vực bảo mật 30 năm. Thực tế là với hầu hết mọi giải pháp, sự cân bằng giữa an toàn và sự thuận tiện sẽ để lại lỗ hổng, từ đó hacker vẫn có thể xâm nhập", Maor nói thêm.
Ý kiến ()