Tạm biệt mật khẩu, chào mừng Passkey: Tương lai của xác thực

Giới thiệu về Passkeys

Xác thực dựa trên mật khẩu đã là chế độ mặc định trong nhiều năm. Nhưng ai muốn nhớ mật khẩu cho mọi trang web mà họ đăng ký? Hầu hết mọi người sử dụng cùng một mật khẩu ở nhiều nơi, một thứ dễ nhớ. Trình quản lý mật khẩu giúp tự động điền thông tin đăng nhập dễ dàng hơn, nhưng chúng không thể khắc phục được các mối lo ngại về bảo mật hiện diện trong hệ thống xác thực dựa trên mật khẩu theo thiết kế. Passkey ra đời. Chúng an toàn hơn và dễ sử dụng hơn, cung cấp xác thực không cần mật khẩu với tầm nhìn mới trong không gian xác thực có vẻ đầy hứa hẹn.

Giống như mọi thứ khác, khóa mật khẩu cũng có những ưu điểm và thách thức mà chúng ta sẽ thảo luận trong bài viết này cùng với ý tưởng về cách thức hoạt động của chế độ xác thực này, mức độ bảo mật của nó và nhiều vấn đề khác nữa.

Khóa mã khóa hoạt động như thế nào?

Passkey sử dụng mật mã khóa công khai để tạo luồng xác thực thay vì dựa vào mật khẩu chuỗi đơn. Thiết bị của người dùng tạo cặp khóa Công khai/Riêng tư và gửi khóa công khai đến máy chủ lưu trữ khóa đó và sau đó sử dụng khóa để xác thực người dùng, khóa riêng tư được lưu trữ trên thiết bị của người dùng.

Luồng đăng ký

• Thiết bị của người dùng tạo cặp khóa Công khai/Riêng tư được liên kết với dịch vụ web.
• Khóa công khai được gửi đến dịch vụ Web và khóa riêng tư được lưu trữ trên thiết bị của người dùng.
• Dịch vụ web lưu trữ Khóa công khai của người dùng trong cơ sở dữ liệu của họ.

Luồng xác thực

• Dịch vụ web gửi nonce thử thách tới Máy khách.
• Người dùng xác thực bản thân tại địa phương bằng bất kỳ phương pháp nào như Sinh trắc học, PIN, v.v. để truy cập khóa riêng.
• Thiết bị của người dùng ký xác nhận thử thách bằng khóa riêng cho dịch vụ Web cụ thể đó.
• Dịch vụ web nhận được thử thách đã ký và xác minh thử thách đó bằng Khóa công khai. Điều này đảm bảo rằng thiết bị khách hàng thực sự có quyền truy cập vào khóa riêng.
• Sau khi xác minh thành công, dịch vụ Web sẽ xác thực người dùng.

Những điểm cần lưu ý

• Cặp khóa công khai/riêng tư là duy nhất đối với mỗi dịch vụ/trang web.
• Khóa công khai chỉ được truyền tới dịch vụ web qua mạng một lần trong quá trình đăng ký.
• Khóa riêng tư luôn nằm trên thiết bị của người dùng và không bao giờ được truyền qua mạng. (Ngoại lệ là khi bạn đồng bộ hóa khóa mật khẩu bằng trình quản lý mật khẩu)
• Tải trọng đã ký do thiết bị người dùng tạo ra được truyền qua mạng, mang tính riêng biệt theo phiên và thay đổi mỗi lần người dùng xác thực.

Chúng an toàn đến mức nào và tại sao chúng có thể là giải pháp thay thế tốt hơn Mật khẩu?

Tăng cường bảo mật thường có nghĩa là giảm tính dễ sử dụng nhưng điều này không đúng trong trường hợp của passkey. Chúng dễ sử dụng hơn sau khi giai đoạn đăng ký hoàn tất. Không có gánh nặng phải nhớ mật khẩu, quá trình xác thực cũng nhanh chóng, dễ dàng và an toàn.

Passkey làm giảm bề mặt tấn công và loại bỏ một số mối đe dọa phổ biến đối với mật khẩu. Mật khẩu thường được lưu trữ dưới dạng mã hóa trên cơ sở dữ liệu. Khi bạn sử dụng mật khẩu dạng văn bản thuần túy để đăng nhập vào dịch vụ web, họ sẽ tạo cùng một văn bản được mã hóa và so sánh với văn bản họ đã có, đây là cách người dùng được xác thực. Bây giờ, chúng ta có hai mối đe dọa phổ biến nhất.

• Vi phạm cơ sở dữ liệu
• Tấn công lừa đảo

Vi phạm cơ sở dữ liệu là phổ biến và khi dữ liệu của một dịch vụ bị đánh cắp, dữ liệu đó thường được bán trên dark web. Những kẻ xấu có quyền truy cập vào dữ liệu có thể cố gắng phá vỡ mã hóa ngoại tuyến và với sức mạnh tính toán hiện nay, việc này có thể mất từ vài tuần đến vài tháng tùy thuộc vào mã hóa. Passkey loại bỏ mối đe dọa này vì không có mật khẩu nào để lưu trữ. Trong trường hợp bị rò rỉ, chỉ có Khóa công khai bị lộ, điều này không có nhiều tác dụng đối với những kẻ xấu.

Trong các cuộc tấn công Phishing, một bản sao của trang web mục tiêu được tạo ra và người dùng bị lừa nhập thông tin đăng nhập của họ vì nhầm lẫn đó là trang web chính hãng. Tuy nhiên, điều này cũng không hiệu quả với Passkey vì không có thông tin đăng nhập nào để đánh cắp. Các cuộc tấn công Phishing tinh vi kết hợp với Man in the Middle vẫn có thể hoạt động nhưng bề mặt tấn công đã giảm đi đáng kể.

Các loại khóa mật mã

• Thiết bị đơn hoặc Thiết bị bị ràng buộc
  • Khóa riêng không bao giờ rời khỏi thiết bị.
  • Xác thực chỉ có thể được thực hiện trên thiết bị cụ thể có chứa khóa riêng.
  • Vì khóa chỉ tồn tại trên một thiết bị duy nhất nên cần kích hoạt đường dẫn khôi phục trong trường hợp mất quyền truy cập vào thiết bị.
• Nhiều thiết bị hoặc đồng bộ
  • Khóa riêng được đồng bộ hóa trên các thiết bị của người dùng.
  • Các tùy chọn phổ biến bao gồm sử dụng trình quản lý mật khẩu của Google, iCloud keychain, v.v.
  • Khóa được mã hóa đầu cuối, nghĩa là nhà cung cấp không thể nhìn thấy hoặc sử dụng khóa của bạn ngay cả khi họ lưu trữ chúng.
  • Điều này giúp tăng cường khả năng sử dụng vì người dùng chỉ cần đăng ký một thiết bị và có thể sử dụng lại cùng một khóa trên nhiều thiết bị của mình.

Tính di động của Passkey

Như chúng ta đã tìm hiểu trong phần trước, Passkey có thể được đồng bộ hóa trên nhiều thiết bị nên chúng ta biết chúng có thể di động. Bạn có thể sử dụng passkey trên tất cả các thiết bị của mình miễn là bạn đã đăng nhập bằng nhà cung cấp (Google, iCloud). Điều này đưa chúng ta đến câu hỏi về cách chúng ta sẽ sử dụng passkey trên một thiết bị không thuộc về bạn, có thể là máy tính của Bạn bè hoặc Thư viện, về cơ bản là bất kỳ thiết bị nào mà bạn chỉ muốn sử dụng một lần duy nhất. Passkey cũng bao gồm trường hợp này, cách thức hoạt động của nó là nếu hai hệ thống hỗ trợ passkey, chúng có thể giao tiếp với nhau qua Bluetooth để chia sẻ quyền truy cập. Hãy cùng xem hướng dẫn từng bước về cách thức hoạt động của nó.

• Bạn mở trang web xyz.com trên máy tính để bàn mà không có mật khẩu.
• Bạn có thể sử dụng tùy chọn này để đăng nhập bằng mã khóa trên một thiết bị khác.
• Màn hình nền sẽ hiển thị cho bạn các tùy chọn về thiết bị khả dụng ở gần hoặc mã QR.
• Bạn có thể chọn thiết bị hoặc quét mã QR.
• Sau đó, bạn có thể sử dụng thiết bị di động để xác thực bản thân và cho phép máy tính để bàn sử dụng mã khóa từ điện thoại di động của bạn.
• Sau khi xác thực, bạn cũng có tùy chọn tạo khóa mật khẩu trên máy tính để bàn mà không cần trải qua quy trình đăng ký. Nếu chọn, bạn sẽ không cần thiết bị di động vào lần tiếp theo và một bộ khóa mật khẩu mới sẽ được tạo cho máy tính để bàn.
• Nếu bạn chọn chỉ sử dụng một lần, sẽ không có mã khóa mới nào được tạo.

Những điều cần biết về việc áp dụng

Passkey dựa trên các tiêu chuẩn FIDO2 kết hợp Giao thức Client to Authenticator (CTAP) với API Xác thực Web (WebAuthn) và là một dự án chung giữa liên minh FIDO và W3C. Những nỗ lực chuẩn hóa này nhằm mục đích tăng cường việc áp dụng và triển khai đúng cách. Các công ty như Google, Apple Microsoft đã thêm hỗ trợ gốc cho passkey ở cấp độ Hệ điều hành và Trình duyệt, điều này góp phần rất lớn vào việc khuyến khích áp dụng Passkey.

Do ngành công nghiệp phụ thuộc lâu dài vào Mật khẩu, việc áp dụng khóa mật khẩu không chỉ là thách thức về mặt kỹ thuật mà còn là thách thức về mặt tâm lý. Người dùng cuối ban đầu có thể cảm thấy không thoải mái về khóa mật khẩu chỉ vì họ đã quen với sự quen thuộc của các hệ thống dựa trên mật khẩu. Mặc dù khóa mật khẩu an toàn hơn và dễ sử dụng hơn mật khẩu, nhưng sự thoải mái với các tùy chọn đã biết sẽ thắng thế trong hầu hết các trường hợp. Cần phải giáo dục người dùng để khóa mật khẩu được áp dụng trên diện rộng, các câu hỏi về khả năng phục hồi và tính dễ sử dụng sẽ xuất hiện lúc đầu.

Mặt khác, các công ty có thể miễn cưỡng cung cấp xác thực passkey nếu họ không thấy đủ người dùng chấp nhận. Trong khu vực công, chính phủ có thể khuyến khích áp dụng thông qua các thay đổi chính sách.

Phần kết luận

Passkey có tiềm năng biến đổi không gian Xác thực. Chúng an toàn và dễ sử dụng hơn. Chúng loại bỏ các mối đe dọa phổ biến tồn tại với xác thực dựa trên mật khẩu, tuy nhiên, chúng cũng mang lại những thách thức và hạn chế của chúng. Khôi phục tài khoản và khả năng di chuyển thông tin xác thực là một số câu hỏi cần được giải quyết thỏa đáng. Tôi cảm thấy bước tiếp theo là sử dụng chế độ xác thực Kết hợp tức là sử dụng passkey cùng với mật khẩu. Khi việc áp dụng trong thế giới thực tăng lên, chúng ta sẽ thấy nhiều lập luận được đưa ra hơn, đây sẽ là điểm tốt hơn để quyết định nơi sẽ chuyển đến tiếp theo, trước khi chuyển sang tương lai hoàn toàn không có mật khẩu.

**