Thúc đẩy thói quen sử dụng internet an toàn
Trong cuốn sách Perfect Passwords (tạm dịch là “Những mật khẩu hoàn hảo”), xuất bản năm 2005, nhà nghiên cứu bảo mật Mark Burnet lần đầu đưa ra lời khuyến khích người dùng internet chọn một ngày trong năm làm “ngày mật khẩu” để cập nhật lại những mật khẩu quan trọng của các tài khoản trên mạng. Kể từ năm 2013, lấy cảm hứng từ ý tưởng của Mark Burnet, các chuyên gia an ninh mạng đã chọn ngày thứ 5 đầu tiên của tháng 5 hằng năm làm Ngày Mật khẩu thế giới, nhằm thúc đẩy thói quen sử dụng mật khẩu an toàn hơn trong cuộc sống trực tuyến của mỗi người dùng mạng internet.
Trong bài viết nhân Ngày Mật khẩu thế giới năm 2022, đăng trên trang microsoft.com, Phó Chủ tịch phụ trách bảo mật, tuân thủ và danh tính của tập đoàn Microsoft, ông Vasu Jakkal cho biết, trung bình có tới 921 cuộc tiến công mật khẩu diễn ra mỗi giây và tần suất các cuộc tiến công tăng gần gấp đôi trong vòng 12 tháng qua. Trong thế giới hiện đại, khi công việc, học tập, mua sắm hay chăm sóc sức khỏe đều có thể diễn ra trực tuyến, việc giữ an toàn cho các tài khoản cá nhân trên internet càng quan trọng hơn bao giờ hết.
Trong tuyên bố chung ngày 5/5, Apple, Google và Microsoft công bố kế hoạch mở rộng hỗ trợ giải pháp đăng nhập không mật khẩu do Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) và World Wide Web Consortium - tổ chức tiêu chuẩn quốc tế chính cho World Wide Web, thiết lập. Giải pháp mới sẽ cho phép các trang web và ứng dụng cung cấp thông tin đăng nhập nhất quán, an toàn và dễ dàng mà không cần dùng tới mật khẩu trên các thiết bị và các nền tảng khác nhau.
Các “gã khổng lồ” công nghệ Mỹ cam kết sẽ hỗ trợ giải pháp đăng nhập không mật khẩu trên tất cả các nền tảng di động, máy tính để bàn và trình duyệt của ba hãng này trong năm tới. Điều này có nghĩa là xác thực không cần mật khẩu sẽ được áp dụng với tất cả các nền tảng thiết bị phổ biến nhất hiện nay, từ hệ điều hành di động Android và iOS, trình duyệt Chrome, Edge và Safari, cho tới hệ điều hành máy tính để bàn Windows và macOS.
Theo fidoalliance.org, các trang web và ứng dụng sẽ có khả năng cung cấp tùy chọn mã hóa đầu cuối sao lưu, cho phép người dùng đăng nhập dễ dàng qua xác thực vân tay, khuôn mặt hoặc mã PIN trên thiết bị. Tính năng mới có thể bảo vệ người dùng khỏi các hành vi lừa đảo và cung cấp giải pháp đăng nhập an toàn hơn nhiều so giải pháp đăng nhập bằng mật khẩu, hay các giải pháp công nghệ đa yếu tố cũ như mã OTP được gửi qua tin nhắn SMS trên điện thoại. Với tiêu chuẩn bảo mật mới, người dùng tự động truy cập thông tin xác thực trên nhiều thiết bị, kể cả thiết bị mới, mà không cần đăng nhập lại mọi loại tài khoản.
Trong bài đăng trên blog của mình, Google nêu chi tiết quy trình đăng nhập không mật khẩu cho phép người dùng chọn điện thoại làm thiết bị xác thực chính cho các ứng dụng, trang web và các dịch vụ kỹ thuật số khác. Khi muốn đăng nhập vào một trang web hoặc ứng dụng trên điện thoại, người dùng sẽ chỉ cần mở khóa điện thoại của mình. Bằng cách thực hiện việc đăng nhập phụ thuộc vào thiết bị vật lý, người dùng sẽ được hưởng lợi từ sự đơn giản và bảo mật. Không có mật khẩu, đồng nghĩa với việc không cần nhớ hàng loạt các loại mật khẩu cho các tài khoản khác nhau.
Một hệ thống không có mật khẩu cũng khiến tin tặc khó xâm nhập từ xa, khi mà việc đăng nhập yêu cầu quyền truy cập vào thiết bị vật lý, chính là điện thoại cá nhân. Ngay cả khi điện thoại bị mất, mật khẩu sẽ được đồng bộ hóa an toàn với điện thoại mới từ bản sao lưu trên các giải pháp lưu trữ dữ liệu đám mây, cho phép người dùng tiếp tục sử dụng các dịch vụ.
Đánh cắp mật khẩu gây thiệt hại hàng tỷ USD
Theo The Verge, hệ thống đăng nhập lần đầu được thiết kế cho máy tính vào những năm 60 của thế kỷ trước. Ở thời điểm đó, nếu biết được mật khẩu vào máy tính thì cũng không có nhiều thông tin cá nhân được hiển thị sau khi đăng nhập thành công. Ngày nay, việc nắm giữ được mật khẩu có thể giúp truy cập rất nhiều dữ liệu từ các nguồn khác nhau như email, thông tin trên TV thông minh, tài khoản lưu trữ dữ liệu đám mây… Với việc biết được mật khẩu, tin tặc có thể xóa mọi dấu vết về “cuộc sống kỹ thuật số” của một người từ bất kỳ nơi nào có kết nối internet.
Các vụ tiến công mạng để lấy cắp mật khẩu nhằm chiếm đoạt các tài khoản cá nhân gây thiệt hại cho các doanh nghiệp hàng tỷ USD mỗi năm. Theo một báo cáo của Tập đoàn viễn thông đa quốc gia Verizon của Mỹ, 81% các vụ vi phạm dữ liệu xảy ra do mật khẩu yếu, bị đánh cắp hoặc sử dụng sai. Nguyên nhân của vụ đánh cắp dữ liệu dẫn tới thiệt hại lớn có thể xuất phát từ việc nhân viên sử dụng mật khẩu yếu.
Giải pháp xác thực không mật khẩu đang trở nên phổ biến hơn. Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ) dự đoán, đến cuối năm 2022, khoảng 60% doanh nghiệp quy mô lớn và 90% doanh nghiệp quy mô vừa và nhỏ sẽ chuyển sang phương pháp xác thực không dùng mật khẩu. Bằng cách áp dụng xác thực không mật khẩu, các doanh nghiệp có thể giới hạn số lượng mật khẩu để bảo vệ mình khỏi các mối đe dọa nhằm vào mật khẩu.
Được đánh giá là một cách tiếp cận an toàn và dễ sử dụng, tuy nhiên xác thực không mật khẩu cũng có không ít thách thức trong việc triển khai. Ngân sách và sự phức tạp để chuyển đổi được xem là hai trong số những rào cản chính. Ngân sách cho việc thiết lập xác thực không dùng mật khẩu bao gồm cả chi phí cho phần cứng cũng như chi phí thiết lập và cấu hình.
Khi sử dụng sinh trắc học cho phương pháp xác thực không dùng mật khẩu, người dùng phải sở hữu điện thoại thông minh có máy quét. Đối với những người dùng sử dụng điện thoại thông minh không hỗ trợ sinh trắc học thì việc triển khai xác thực không mật khẩu là không thể. Trong trường hợp điện thoại có cấu hình đáp ứng được cho việc sử dụng máy quét thì chi phí cài đặt ban đầu của phương pháp xác thực này cũng có thể rất tốn kém.
Nỗ lực xây dựng hệ thống xác thực không mật khẩu đã được các công ty công nghệ tiến hành trong rất nhiều năm. The Verge cho biết, đang có những dấu hiệu cho thấy việc triển khai công nghệ bảo mật mới này đã đạt những bước tiến lớn để có được thành công. Apple, Google và Microsoft chưa công bố một lộ trình cụ thể hơn về áp dụng xác thực không mật khẩu, song cả ba tập đoàn đều bày tỏ hy vọng giải pháp đăng nhập mới sẽ xuất hiện trên các nền tảng của họ trong năm tới.
Giám đốc cấp cao về tiếp thị sản phẩm nền tảng của Apple, Kurt Knight nhấn mạnh cam kết của Apple trong phối hợp với các tập đoàn công nghệ khác để xây dựng các giải pháp đăng nhập mới có khả năng bảo mật tối đa và trải nghiệm minh bạch cho người dùng. Giám đốc cấp cao về quản lý sản phẩm của Google, Mark Risher cũng cho biết, toàn ngành công nghệ đang nỗ lực hợp tác để mang đến một môi trường internet an toàn hơn và loại bỏ các lỗ hổng bảo mật của giải pháp đăng nhập bằng mật khẩu. Theo ông Mark Risher, Apple, Google và Microsoft mong muốn cung cấp công nghệ bảo mật dựa trên tiêu chuẩn của Lien minh FIDO cho trình duyệt Chrome, ChromeOS, Android và các nền tảng khác, đồng thời khuyến khích các nhà phát triển ứng dụng và trang web áp dụng công nghệ này.
Phó Chủ tịch quản lý chương trình nhận dạng tại Microsoft, Alex Simons nhấn mạnh, các giải pháp đăng nhập mới cần bảo đảm an toàn hơn, dễ dàng hơn và nhanh hơn so giải pháp đăng nhập bằng mật khẩu và các giải pháp xác thực đa yếu tố đang được sử dụng hiện nay. Đại diện của Microsoft bày tỏ tin tưởng vào công nghệ bảo mật mới dựa trên tiêu chuẩn không mật khẩu của FIDO, đồng thời cho biết Microsoft sẽ tiếp tục mở rộng hỗ trợ đăng nhập không mật khẩu trên các ứng dụng và dịch vụ của hãng.
