Dạo này việc nhớ hàng tá mật khẩu đang khiến nhiều người stress lắm luôn. Để giải quyết vấn đề nan giải này, các ông lớn công nghệ như Apple, Google, Microsoft... đã cho ra đời Passkey - một kiểu xác thực tài khoản bằng vân tay, Face ID hoặc mã PIN thay vì gõ mật khẩu nữa. Nghe thì có vẻ bảo mật cao, xài cũng smooth phết, Passkey được kỳ vọng sẽ thay thế luôn mật khẩu kiểu cũ. Nhưng mà... liệu cái sự tiện lợi này có thực sự giải phóng mình hay chỉ làm chúng ta "dính chặt" vào các hệ sinh thái công nghệ mà thôi?
Passkey là gì?
Theo thông tin từ trang FIDO Alliance (một tổ chức mở được thành lập với mục tiêu thay thế mật khẩu bằng các phương pháp xác thực an toàn và dễ xài hơn), Passkey là một cách đăng nhập mới giúp bạn không cần phải nhớ mật khẩu để nhập thủ công nữa. Thay vào đó, bạn có thể dùng vân tay, Face ID hoặc mã PIN để đăng nhập cho nhanh.
Trang FIDO Alliance cho biết Passkey sử dụng một cặp khóa bảo mật, gồm một khóa công khai và một khóa riêng tư. Khóa công khai sẽ được lưu trên máy chủ của dịch vụ (ví dụ như Google, Apple...). Còn khóa riêng tư thì chỉ có trên thiết bị của bạn thôi (smartphone, máy tính...).
Khi bạn đăng nhập, thiết bị sẽ dùng khóa riêng tư để xác nhận danh tính bằng cách "ký" một đoạn dữ liệu do máy chủ gửi đến. Nếu chữ ký này trùng khớp với khóa công khai, bạn được vào luôn mà không cần gửi bất kỳ thông tin nhạy cảm nào qua mạng. Điều này giúp giảm thiểu nguy cơ bị hack kiểu lừa đảo (phishing), nghe lén (man-in-the-middle) hay dò mật khẩu.
Ví dụ như khi bạn đang đăng nhập Gmail trên máy tính mới, Google sẽ gửi thông báo đến điện thoại và bạn chỉ cần xác nhận bằng vân tay hoặc Face ID thay vì gõ mật khẩu. Hoặc khi dùng iCloud trên iPhone, Apple sẽ cho bạn dùng Face ID để xác thực tài khoản ngay lập tức mà không cần nhập mật khẩu hay mã xác minh qua tin nhắn SMS nữa.
So với các giải pháp xác thực hai bước truyền thống (gửi mã OTP qua tin nhắn SMS hoặc email), Passkey nhanh hơn, tiện hơn và an toàn hơn hẳn.
Ưu và nhược điểm của Passkey
Ưu điểm
Passkey nổi lên như một giải pháp đăng nhập hiện đại, đơn giản và an toàn hơn hẳn so với việc xài mật khẩu truyền thống.
Về bảo mật, Passkey sử dụng cặp khóa, trong đó khóa riêng (private key) luôn được lưu trữ cục bộ trên thiết bị của bạn và không bao giờ gửi lên máy chủ. Điều này hạn chế đáng kể nguy cơ rò rỉ dữ liệu từ phía nhà cung cấp dịch vụ. Không những vậy, Passkey cũng loại bỏ nguy cơ tấn công lừa đảo (phishing) bởi bạn không cần nhập bất kỳ thông tin nào mà kẻ gian có thể đánh cắp.
Xét về trải nghiệm người dùng, Passkey mang lại sự tiện lợi rõ rệt khi chỉ với một lần quét vân tay, nhận diện khuôn mặt hoặc nhập mã PIN, bạn có thể đăng nhập nhanh chóng mà không cần nhớ hay gõ chuỗi ký tự phức tạp. Điều này không chỉ giúp giảm sự phụ thuộc vào trình quản lý mật khẩu mà còn đặc biệt hữu ích với những người hay quên mật khẩu.
Nhược điểm
Thực tế, nhiều website và ứng dụng hiện vẫn chưa hỗ trợ tiêu chuẩn xác thực này.
Bên cạnh đó, những thiết bị cũ không có cảm biến sinh trắc học sẽ gặp khó khăn khi sử dụng Passkey. Rõ ràng Passkey vẫn chưa phải là giải pháp hoàn hảo cho tất cả.
Khi bạn mất thiết bị và không có bản sao lưu khóa trên đám mây, bạn có thể mất hoàn toàn quyền truy cập vào các tài khoản luôn đó.
Việc chuyển đổi Passkey giữa các thiết bị hoặc nền tảng khác nhau cũng chưa thực sự đơn giản, đặc biệt với người không rành công nghệ.
Toàn bộ thông tin xác thực được gắn chặt với một thiết bị và một tài khoản nền tảng (Apple ID, Google Account...).
Không thể phủ nhận rằng với những người thường xuyên quên mật khẩu hoặc quản lý nhiều tài khoản, Passkey là một giải pháp hiệu quả. Nhưng nếu thiết bị thất lạc, bị đánh cắp hoặc bị xâm nhập, bạn không chỉ mất một mật khẩu mà còn mất toàn bộ danh tính số.
Nếu bạn có khả năng ghi nhớ tốt thì Passkey lại không thật sự cần thiết lắm.
Dù vậy, các phương pháp truyền thống này lại tiềm ẩn nguy cơ thất lạc, quên hoặc không đủ an toàn nếu không có lớp mã hóa và bảo vệ kỹ lưỡng. Cuối cùng, lựa chọn nào phù hợp còn tùy vào thói quen cá nhân và mức độ kiểm soát mà bạn mong muốn.
Liệu Passkey là một lớp rào mới của "độc quyền hệ sinh thái"?
Dù Passkey được quảng bá là một chuẩn mở dựa trên FIDO2 và WebAuthn, việc triển khai Passkey lại chủ yếu nằm trong tay các công ty công nghệ lớn: Apple, Google, Microsoft... Mỗi nền tảng lại xây dựng cơ chế lưu trữ, đồng bộ và xác thực riêng biệt.
Apple
Ví dụ, Apple lưu trữ Passkey trong iCloud Keychain, trình quản lý mật khẩu tích hợp sẵn trên các thiết bị Apple và gắn liền với tài khoản Apple ID. Điều này cho phép người dùng đăng nhập nhanh chóng trên iPhone, iPad hoặc Mac mà không cần nhập mật khẩu. Tuy nhiên, nếu bạn chuyển sang thiết bị Android hoặc hệ điều hành khác, việc mang theo Passkey không đơn giản tí nào. Apple hiện không hỗ trợ công cụ xuất hoặc đồng bộ Passkey sang nền tảng bên ngoài. Nếu bạn không sao lưu hoặc chuyển thủ công trước khi rời hệ sinh thái Apple, bạn sẽ mất quyền truy cập vào các tài khoản đã sử dụng phương thức xác thực này.
Theo chia sẻ từ trang Wired, tình trạng thiếu khả năng chuyển đổi này khiến Passkey, dù là một chuẩn mở vẫn bị giới hạn tính di động do các ràng buộc hệ sinh thái mà Apple áp đặt.
Trang Techradar cho biết Google sử dụng Google Password Manager để lưu trữ và đồng bộ hóa Passkey thông qua tài khoản Google, tích hợp sâu trong hệ điều hành Android và trình duyệt Chrome. Điều này cho phép người dùng đăng nhập nhanh chóng vào các dịch vụ bằng vân tay hoặc mã PIN. Tuy nhiên, nếu bạn chuyển sang sử dụng các thiết bị thuộc hệ sinh thái Apple thì bạn cần cài đặt ứng dụng Google Password Manager hoặc dùng trình duyệt Chrome để truy cập các Passkey đã lưu.
Nguồn: tinhte.vn