Chuẩn bị 'vĩnh biệt' mật khẩu trên Google

Trong bài đăng mới đây trên trang blog chính thức, Google đã hé lộ tham vọng biến Passkey (hay Mã khóa) làm tùy chọn bảo mật mặc định cho tài khoản của mọi dịch vụ công ty này cung cấp, sau khi nhận được phản hồi tích cực từ người dùng.

"Chúng tôi tiếp tục khuyến khích ngành công nghệ chuyển hướng sang Passkey nhằm khiến mật khẩu trở nên ít được sử dụng hơn, trước khi trở nên lỗi thời", Google viết. 

Theo đó, kể từ khi được triển khai lần đầu vào tháng 5/2023, Passkey giúp người dùng không còn phải lo lắng về việc nhớ các kí tự mật khẩu phức tạp hoặc sử dụng phương thức xác minh hai bước. Phương thức bảo mật mới này cũng làm giảm đáng kể nguy cơ bị rò rỉ dữ liệu sau khi người dùng bị lộ mật khẩu hoặc mã OTP dùng để xác thực.

Bản thân người dùng cũng có thể dễ dàng đăng nhập vào các ứng dụng và trang web bằng cảm biến sinh trắc học (chẳng hạn như nhận dạng vân tay hoặc khuôn mặt như FaceID), mã PIN mà không phải nhớ và quản lý Passkey.

Sự khác biệt giữa mật khẩu và mã khóa là gì?

Mật khẩu (hay Password) là sự kết hợp của các chữ cái, số và ký hiệu mà bạn sử dụng để đăng nhập vào tài khoản. Vấn đề luôn cố hữu với mật khẩu là tin tặc luôn tìm mọi cách để đánh cắp chúng, đặc biệt nếu một người sử dụng cùng một mật khẩu trên nhiều tài khoản khác nhau.

Để khắc phục hạn chế của mật khẩu, phương thức xác minh hai bước sau đó đã được trình làng để bổ sung thêm một lớp bảo mật. Tuy nhiên, bản thân phương thức này cũng tồn tại một vài lỗ hổng và chưa mang tới được độ bảo mật đúng nghĩa.

Trái ngược với mật khẩu, Passkey không thể được tạo ra một cách thủ công. Thay vào đó, một thiết bị đáng tin cậy (như smartphone, máy tính bảng, PC, laptop .v.v)sẽ tạo Passkey cho người dùng. 

Để tạo và sử dụng Passkey, người dùng trước hết phải xác thực chính mình bằng các phương thức bảo mật tích hợp trên các thiết bị đáng tin cận này, đơn cử như mã PIN hoặc sinh trắc học của bản thân. Điều này đảm bảo rằng chỉ có người dùng 'chính chủ' mới có thể sử dụng mật khẩu của mình để đăng nhập.

Ngay cả khi bạn đánh mất thiết bị dùng để tạo ra Passkey, những người khác vẫn sẽ cần thông tin sinh trắc học hoặc số PIN của bạn nếu muốn đăng nhập. Việc 'bẻ khóa' bước bảo mật này cũng không hề đơn giản, khi Google đã sử dụng một dạng mật mã để đảm bảo thiết bị chứa Passkey và mật khẩu chỉ có thể được truy cập thông qua thông tin sinh trắc học hoặc số PIN.

Dùng Passkey có tiện dụng hơn hay không?

Theo Google, người dùng không phải lúc nào cũng cần smartphone hay thiết bị tương tự để đăng nhập khi sử dụng Passkey. Một điểm khác biệt quan trọng giữa mật khẩu và Passkey là người dùng có thể có nhiều Passkey cho cùng một dịch vụ. Ví dụ, người có thể dùng một Passkey để xác nhận tài khoản Google trên smartphone Android của mình, một Passkey xác nhận khác trong trình duyệt Chrome dành cho PC, và một Passkey cho iPad.

Nếu cần đăng nhập vào Tài khoản Google của mình trên một thiết bị 'lạ', người dùng có thể chọn tùy chọn "sử dụng Passkey từ một thiết bị khác" để xác thực trên smartphone, máy tính bảng hoặc laptop của mình.

Thông qua kết nối Bluetooth và Wi-Fi, các thiết bị nói trên sẽ kiểm tra xem chúng có đang nằm gần thiết bị đang yêu cầu đăng nhập hay không. Nếu khoảng cách được xác định là gần, người dùng sau đó sẽ được xác thực. Đây được coi là một bước bảo mật phụ nhằm ngăn chặn rủi ro tin tặc lừa người dùng xác thực bản thân trên thiết bị cầm tay để chúng có thể đăng nhập vào tài khoản từ xa.

Google đặc biệt cảnh báo người dùng không nên tạo Passkey trên thiết bị mà bản thân chia sẻ với người khác, vì họ cũng sẽ có quyền truy cập vào các tài khoản được bảo vệ thông qua các mã khóa đó. Khi chuyển sang một thiết bị mới, người dùng có thể đăng nhập bằng thiết bị hiện tại của mình để tạo một mã khóa khác.

Ở thời điểm hiện tại, nhiều ứng dụng và dịch vụ bắt đầu cho phép người dùng sử dụng Passkey để đăng nhập vào tài khoản, đơn cử như YouTube, Google Search, Google Maps, Uber và eBay. Apple đã triển khai tùy chọn Passkey khi phát hành iOS 16, cho phép mọi người sử dụng công nghệ này trên các ứng dụng, bao gồm cả Apple Wallet.

Tuy nhiên, phần đông các trang web, dịch vụ và thiết bị sẽ mất một khoảng thời gian để bắt đầu tích hợp và hỗ trợ Passkey, khiến người dùng có thể sẽ vẫn cần mật khẩu truyền thống trong tương lai gần.

Do vậy, việc dùng mật khẩu và xác minh 2 bước vẫn được Google giữ nguyên để người dùng sử dụng cho các thiết bị và tài khoản Google của bạn.

Với những người đang sử dụng các công cụ quản lý mật khẩu, việc sử dụng Passkey có thể là không cần thiết ở thời điểm hiện tại. Trên thực tế, một nhược điểm của việc sử dụng Passkey là nó phụ thuộc vào việc các công ty phát hành Passkey như Google sẽ không xảy ra bất kỳ sự cố kỹ thuật nào. Tuy nhiên, đây là điều bất khả thi. Khi Google không thể xác thực mã khóa, bạn có nguy cơ bị khóa khỏi việc truy cập vào thiết bị/dịch vụ cho đến khi xác thực được.

Tổng hợp