VietNetwork.Vn

Chúng tôi cho bạn biết Passkey là gì và nơi bạn có thể sử dụng chúng để đăng nhập an toàn mà không để lộ địa chỉ email hoặc tạo mật khẩu.

Tôi chán ngấy mật khẩu rồi. Bằng cách nào đó, chúng vừa dễ đoán vừa khó nhớ, và việc giữ chúng khỏi tay bọn tội phạm là một điều khó khăn. Để giải quyết vấn đề đó, Liên minh nhận dạng nhanh trực tuyến (FIDO) đã phát triển Passkey, một dạng công nghệ xác thực. Passkey loại bỏ nhu cầu nhập địa chỉ email hoặc mật khẩu của bạn vào các trường đăng nhập trên toàn bộ trang web.


Mật khẩu có rất nhiều lợi ích; ví dụ: chúng không thể đoán hoặc chia sẻ được. Mã khóa có khả năng chống lại các nỗ lực lừa đảo vì chúng chỉ dành riêng cho các trang web mà chúng được tạo nên nên chúng sẽ không hoạt động trên các trang web tương tự lừa đảo. Quan trọng nhất, trong thời đại vi phạm dữ liệu gần như liên tục, Passkey của bạn không thể bị đánh cắp bằng cách xâm nhập vào máy chủ hoặc cơ sở dữ liệu của công ty, khiến dữ liệu được trích xuất trong các vi phạm đó ít có giá trị hơn đối với bọn tội phạm.

Chúng tôi được khuyến khích khi thấy nhiều công ty áp dụng Passkey. Nhưng chúng là gì? Bạn có nên sử dụng chúng? Chúng có thực sự an toàn hơn thông tin đăng nhập truyền thống không? Hãy cùng bàn về chuyện này.

1. Passkey là gì?

Passkey là một cách để đăng nhập vào ứng dụng và trang web mà không cần sử dụng kết hợp tên người dùng và mật khẩu. Đó là một cặp khóa Passkey do thiết bị của bạn tạo ra. Khóa chung và khóa riêng kết hợp với nhau để tạo Passkey mở khóa tài khoản của bạn.

Ứng dụng hoặc trang web lưu trữ khóa công khai duy nhất của bạn. Khóa riêng tư của bạn chỉ được lưu trữ trên thiết bị của bạn và sau khi thiết bị xác thực danh tính của bạn, hai khóa này sẽ kết hợp để cấp cho bạn quyền truy cập vào tài khoản của bạn. Chúng tôi sẽ hướng dẫn bạn cách áp dụng điều này vào thực tế trong hướng dẫn thiết lập và sử dụng Passkey của chúng tôi.

Thông thường, thiết bị hoặc phần mềm tạo Passkey sử dụng  công cụ xác thực sinh trắc học, chẳng hạn như FaceID hoặc TouchID, để xác thực danh tính của bạn. Nếu trình quản lý mật khẩu là nguồn Passkey, bạn có thể đăng nhập vào ứng dụng bằng  mật khẩu chính mạnh  thay vì xác thực sinh trắc học. Mã khóa là duy nhất cho mỗi ứng dụng hoặc trang web và được lưu trữ trong kho lưu trữ của trình quản lý mật khẩu hoặc chuỗi khóa trên thiết bị của bạn. Passkey có thể đồng bộ hóa trên các thiết bị, khiến chúng trở thành một lựa chọn thuận tiện.


2. Bạn có thể sử dụng Passkey ở đâu?

Bạn có thể sử dụng Passkey để đăng nhập vào nhiều trang web, bao gồm Best Buy, eBay, Google, Kayak và PayPal. Công ty quản lý mật khẩu 1Password duy trì một trang cộng đồng nơi người dùng có thể báo cáo các trang web chấp nhận thông tin đăng nhập bằng Passkey. Hiện tại, một số trang web trong danh sách đó vẫn yêu cầu tên người dùng và mật khẩu truyền thống để tạo và đăng nhập tài khoản ban đầu, nhưng bạn có thể thiết lập Passkey để sử dụng cho những lần đăng nhập trong tương lai bằng cách truy cập menu Cài đặt.

Việc áp dụng Passkey Swift trên các ứng dụng và trang web lớn là điều đáng khích lệ nhưng có thể mất thời gian để áp dụng mật khẩu cho các trang web do cá nhân hoặc công ty nhỏ sở hữu. Một số trang web thậm chí còn chưa hỗ trợ xác thực đa yếu tố, vì vậy chúng ta có thể phải chờ một thời gian để các tiêu chuẩn bảo mật FIDO mới nhất xóa hoàn toàn mật khẩu.

3. Passkey có thực sự an toàn hơn mật khẩu không?

"Bạn có Passkey? Điều đó thật tuyệt vời. Nhưng có những việc bọn tội phạm sẽ làm sẽ phá vỡ các biện pháp bảo vệ này và chúng ta cần nói về cách chúng ta có thể vượt qua điều đó." Trevor Hilligoss, Nhà nghiên cứu bảo mật

Cho phép người dùng đăng nhập bằng Passkey không phải là bản cập nhật duy nhất mà chủ sở hữu trang web cần để đảm bảo bảo mật trang web. Đầu năm nay, tôi có cơ hội trò chuyện về việc áp dụng mật khẩu và các xu hướng an ninh mạng khác với Trevor Hilligoss, một nhà nghiên cứu bảo mật và phó chủ tịch của SpyCloud Labs tại SpyCloud. Hilligoss nói với tôi rằng việc áp dụng mã khóa rộng rãi là điều "tuyệt vời", nhưng chủ sở hữu trang web cũng thực sự cần phải sửa một số lỗ hổng bảo mật khác. Ông lưu ý rằng bọn tội phạm có thể dễ dàng lấy được mật khẩu bằng cách đánh cắp cookie trình duyệt đã được xác thực của người dùng bằng phần mềm độc hại.

Hilligoss nói: "Bạn có thể sử dụng Passkey, bạn có thể sử dụng trình quản lý mật khẩu, bạn có thể sử dụng 'yourdog'sname2023', bất cứ thứ gì. Điều đó thực sự không quan trọng vì quá trình xác thực đã diễn ra bằng cách sử dụng cookie đó".

"Tội phạm đang mô phỏng một phiên đã được xác thực. Vì vậy, từ góc độ của trang web, nó chỉ thấy rằng đó là một cookie hợp lệ."

Hilligoss tiếp tục giải thích rằng khi một trang web, chẳng hạn như dịch vụ email của bạn, xác thực cookie, tội phạm thậm chí không cần đăng nhập bằng thông tin đăng nhập của bạn hoặc xác thực danh tính của họ. Cookie đã được xác thực, tồn tại trên trình duyệt của một người cho đến khi hết hạn trong khoảng thời gian vài giây hoặc nhiều năm, cho phép bọn tội phạm xâm nhập vào tài khoản của bạn mà không bị phát hiện và đánh cắp dữ liệu hoặc tiền của bạn.

Trách nhiệm của chủ sở hữu trang web là tìm ra giải pháp cho việc chiếm quyền điều khiển cookie. Hilligoss nói với tôi rằng những người còn lại trong chúng ta có thể tự bảo vệ mình khỏi mối đe dọa đánh cắp cookie bằng cách sử dụng Passkey hoặc mật khẩu mạnh và duy nhất ở bất cứ nơi nào có thể. Ông cũng nói rằng một số trang web cho phép người dùng chọn thời điểm mã thông báo phiên của họ hết hạn. Bạn biết màn hình bật lên về quyền riêng tư dữ liệu? Đừng nhấn ngay vào "Chấp nhận". Thay vào đó, hãy điều hướng đến phần "Cookie" hoặc "Dữ liệu người dùng" và chọn thời lượng phiên ngắn nhất có sẵn. Bằng cách đó, cookie của bạn sẽ tự động hết hạn hoặc bất cứ khi nào bạn đóng cửa sổ trình duyệt.

4. Làm cách nào tôi có thể theo dõi Passkey của mình?

Nhiều trình quản lý mật khẩu mà tôi đã đánh giá, chẳng hạn như Bitwarden, người đoạt giải Editor's Choice, cùng với 1Password và Dashlane, có thể lưu trữ và tạo Passkey cho bạn. Trình quản lý mật khẩu giúp bạn dễ dàng truy cập cả thông tin xác thực cũ và Passkey mới khi bạn đăng nhập.

Nếu bạn không sử dụng trình quản lý mật khẩu, vẫn chưa quá muộn để thử bảo mật dữ liệu cá nhân của mình hơn. Người dùng Android và iOS có thể lưu trữ Passkey cục bộ và truy cập chúng bằng ứng dụng chuỗi khóa trên thiết bị di động của họ.