Passkey và mật khẩu khác nhau căn bản về thiết kế, cách tiếp cận và mục đích sử dụng – nhưng giải pháp nào thực sự vượt trội về bảo mật?
Mật khẩu chung (Nguồn: istock.com)Hai học giả Paul Haskell-Dowland và Ismini Vasilieiou phân tích những khác biệt cốt lõi giữa hai phương thức này.
Mật khẩu – chìa khóa số của cuộc sống hiện đại
Mật khẩu là “chìa khóa” cho cuộc sống số của chúng ta – từ mạng xã hội, email đến dịch vụ ngân hàng. Tuy nhiên, giống như chìa khóa vật lý, mật khẩu có thể bị thất lạc, sao chép hoặc đánh cắp.
Trong những năm gần đây, nhiều giải pháp thay thế đã được đề xuất, trong đó passkey nổi lên như một lựa chọn đầy hứa hẹn nhờ tính tiện lợi và khả năng triển khai trên diện rộng.
Vậy passkey là gì, và nó khác mật khẩu ra sao?
Các chuyên gia cho biết, mật khẩu yếu khiến chúng dễ bị rò rỉ hơn. (Nguồn: istock.com)Mật khẩu dễ bị tổn thương như thế nào?
Về cơ bản, mật khẩu là một từ hoặc cụm từ bí mật dùng để chứng minh danh tính khi truy cập hệ thống máy tính hoặc dịch vụ trực tuyến. Hầu như ai cũng sở hữu hàng chục mật khẩu khác nhau.
Vấn đề không nằm ở bản thân mật khẩu, mà ở cách con người tạo và sử dụng chúng.
Một báo cáo của CyberNews đầu năm nay cho thấy:
• 94% trong số 19 tỷ mật khẩu bị rò rỉ đã bị tái sử dụng
• Các mật khẩu phổ biến nhất bao gồm chuỗi số như 123456, tên người, địa danh, thương hiệu nổi tiếng hoặc từ ngữ thô tục
Khi xảy ra vi phạm dữ liệu, mật khẩu bị đánh cắp có thể lan truyền cực nhanh, dẫn đến chiếm đoạt tài khoản, đánh cắp danh tính và lừa đảo. Trong một thử nghiệm, hacker bắt đầu sử dụng thông tin đăng nhập bị lộ chỉ trong vòng một giờ.
Mật khẩu cũng đặc biệt dễ bị tấn công phishing – hình thức lừa người dùng nhập mật khẩu vào trang đăng nhập giả mạo. Hiện nay, mỗi ngày có hơn 3 tỷ email phishing được gửi đi trên toàn cầu.
Thế nào là một mật khẩu tốt?
Một mật khẩu an toàn cần:
• Duy nhất (không dùng lại ở bất kỳ đâu)
• Phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt (ví dụ: e8bh!kXVhccACAP$48yb)
Ngoài ra, bạn có thể dùng cụm từ nhiều từ để dễ nhớ hơn.
Ví dụ, mật khẩu “CrocApplePurseBike” có thể được ghi nhớ bằng cách tưởng tượng một con cá sấu bỏ táo vào túi rồi đạp xe.
Passkey là gì và hoạt động ra sao?
Passkey xuất hiện khoảng bốn năm trở lại đây, dựa trên công nghệ mật mã khóa công khai (public-key cryptography).
Hệ thống này tạo ra hai khóa:
• Khóa công khai: được gửi cho website
• Khóa riêng tư: được lưu an toàn trên thiết bị của người dùng
Quy trình đăng nhập bằng passkey:
1. Website gửi một yêu cầu ngẫu nhiên (challenge)
2. Thiết bị dùng khóa riêng tư để “ký” xác nhận yêu cầu
3. Người dùng phải xác thực bằng sinh trắc học (vân tay hoặc khuôn mặt)
4. Website kiểm tra chữ ký bằng khóa công khai – nếu hợp lệ, bạn được đăng nhập
Passkey – mạnh mẽ ngay từ thiết kế
So với mật khẩu, passkey an toàn hơn về mặt cấu trúc:
• Khóa công khai dù bị đánh cắp cũng không thể sử dụng riêng lẻ
• Khóa riêng tư được bảo vệ bởi phần cứng và sinh trắc học của thiết bị
• Mỗi passkey chỉ dùng cho một dịch vụ duy nhất
• Kháng phishing gần như tuyệt đối, vì người dùng không cần nhập mật khẩu
Ngoài bảo mật, passkey còn tiện lợi hơn:
Không cần nhớ hay lưu mật khẩu – chỉ cần xác thực bằng khuôn mặt hoặc vân tay.
Hạn chế của passkey
Dù ưu việt, passkey vẫn tồn tại một số vấn đề:
• Chưa được hỗ trợ đồng bộ trên mọi website
• Trước đây từng gặp lỗi tương thích giữa các hệ sinh thái (Apple – Microsoft)
Tuy nhiên, khi người dùng nâng cấp thiết bị và các nhà sản xuất cải thiện tích hợp, những rào cản này sẽ dần biến mất.
Passkey hay mật khẩu: Đâu là lựa chọn tốt hơn?
Về mặt bảo mật, passkey là người chiến thắng rõ ràng:
• An toàn hơn
• Chống phishing
• Dễ sử dụng hơn
Tuy vậy, trong nhiều năm tới, mật khẩu vẫn sẽ tồn tại song song do:
• Việc triển khai passkey đòi hỏi chi phí và nguồn lực lớn
• Không phải website nào cũng sẵn sàng chuyển đổi
Lời khuyên dành cho người dùng
Trong lúc chờ passkey trở nên phổ biến:
• Hãy dùng mật khẩu mạnh và không tái sử dụng
• Bật xác thực đa yếu tố (MFA) ở mọi nơi có thể
• Quan trọng nhất: đổi ngay những mật khẩu đã dùng lại nhiều lần
Nếu bạn chỉ làm một điều sau khi đọc bài viết này, hãy bắt đầu từ việc thay đổi các mật khẩu bị trùng lặp.
Theo 1news.co.nz – Khoa Tran