Trong bối cảnh thế giới số bùng nổ, chuỗi mật khẩu ký tự truyền thống đang dần lộ rõ là tử huyệt của các hệ thống an ninh mạng.

Con người thường có xu hướng tạo ra những mật khẩu dễ đoán vì rào cản trí nhớ, hoặc tệ hơn là dùng chung một mật khẩu cho hàng loạt tài khoản khác nhau nhằm né tránh sự phiền toái. Mặc dù các ứng dụng quản lý hay phương thức xác thực hai yếu tố (2FA) đã ra đời để vá víu lỗ hổng này, song chúng lại vô tình khiến quy trình đăng nhập trở nên rườm rà. Để giải quyết triệt để nghịch lý giữa tính tiện lợi và an toàn, công nghệ "passkey" đã xuất hiện như một cuộc cách mạng, thay đổi hoàn toàn cách chúng ta bảo vệ danh tính trực tuyến.

Tờ New York Times nhận định rằng, dù công nghệ này vẫn cần thêm thời gian để phổ cập toàn diện, người dùng Internet nên bắt đầu làm quen và cài đặt passkey ngay từ bây giờ trên các nền tảng quen thuộc để hướng tới một tương lai duyệt web an toàn hơn.

Màn hình xác thực khi đăng nhập bằng passkey trên iPhone. Ảnh: New York Times.

Cơ chế vận hành của "chiếc chìa khóa ma thuật" không thể sao chép

Về bản chất, passkey hoạt động giống như một chiếc chìa khóa vạn năng giúp mở cửa tài khoản mà không cần đến bất kỳ dòng chữ viết tay nào. Kế thừa và nâng cấp từ mật khẩu truyền thống, mỗi tài khoản trực tuyến của bạn sẽ được cấp một chuỗi passkey độc nhất vô nhị. Chuỗi mã này được mã hóa đầu cuối và liên kết cố định với từng website cụ thể, nghĩa là ngay cả các nhà cung cấp dịch vụ hay tin tặc cũng không thể giải mã dữ liệu, đồng thời loại bỏ hoàn toàn nguy cơ bị dẫn dụ vào các trang web lừa đảo. Nếu một website chẳng may bị tấn công, dữ liệu passkey của người dùng vẫn được bảo toàn tuyệt đối.

Chuyên gia Jacob Hoffman-Andrews thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation) ví passkey như một loại mật khẩu siêu dài. Điểm đặc biệt là người dùng không thể thực hiện thao tác sao chép và dán, mà toàn bộ quy trình vận hành sẽ do máy tính hoặc điện thoại tự động xử lý. Khi bạn truy cập vào một trang web, thay vì hiển thị ô nhập mật khẩu, thiết bị sẽ tự quét và tìm kiếm chuỗi passkey tương thích. Việc của người dùng chỉ là thực hiện một thao tác xác thực sinh trắc học vô cùng nhanh chóng bằng dấu vân tay, nhận diện khuôn mặt hoặc điền mã PIN của máy.

Hiện nay, các ông lớn công nghệ như Google, Amazon, Microsoft và Facebook đã đồng loạt tích hợp chuẩn bảo mật này. Người dùng có thể linh hoạt lựa chọn nơi lưu trữ passkey tùy thuộc vào hệ sinh thái thiết bị đang sử dụng:

  • Hệ sinh thái Apple: Passkey được lưu trực tiếp vào ứng dụng Mật khẩu (Passwords) và tự động đồng bộ qua đám mây iCloud.
  • Hệ sinh thái Android và Windows: Thiết bị Android, Chromebook hay trình duyệt Chrome sẽ đẩy dữ liệu vào Trình quản lý mật khẩu của Google (Google Password Manager). Đối với Windows, hệ thống hỗ trợ lưu và đồng bộ passkey sang các máy tính khác sử dụng chung tài khoản Microsoft.
  • Ứng dụng bên thứ ba: Người dùng cũng có thể chọn các ứng dụng quản lý mật khẩu độc lập để dễ dàng đăng nhập chéo trên các tiện ích mở rộng của trình duyệt, tuy nhiên phương án này đòi hỏi bạn phải đặt mật khẩu ứng dụng cực kỳ an toàn và bật xác thực 2 lớp.
  • Khóa vật lý (Lưu trữ ngoại tuyến): Đây là giải pháp hoàn hảo cho những ai muốn lưu trữ offline thông qua kết nối NFC với điện thoại hoặc cổng USB với máy tính. Dẫu vậy, do rủi ro mất trắng dữ liệu nếu làm mất khóa, chuyên gia khuyến cáo người dùng nên tạo thêm một bản passkey dự phòng trên chiếc khóa thứ hai và cất giữ ở nơi an toàn.

Những rào cản dịch chuyển và thách thức trong giai đoạn đầu

Dù sở hữu tiềm năng ưu việt, liên minh phát triển công nghệ passkey (FIDO Alliance) thừa nhận hệ thống này vẫn đang ở những bước triển khai sơ khởi. Người dùng có thể tra cứu danh sách các nền tảng đã hỗ trợ công nghệ này thông qua thư mục trực tuyến trên website chính thức fidoalliance.org/passkeys-directory.

Rào cản lớn nhất hiện tại chính là "sự mệt mỏi" của người dùng khi phải tiếp nhận một thói quen bảo mật hoàn toàn mới. Do số lượng website ứng dụng passkey chưa thực sự áp đảo, chúng ta vẫn chưa thể vứt bỏ hoàn toàn mật khẩu truyền thống và mã xác minh hai bước. Thậm chí, nhiều nền tảng lớn vẫn phải duy trì hệ thống cũ làm phương án dự phòng, tạo nên sự bất nhất trong trải nghiệm: Một số trang web yêu cầu cả passkey lẫn xác thực hai bước, số khác lại bỏ qua. Quy trình thao tác giữa các hệ điều hành khác nhau cũng chưa có sự đồng bộ, và người dùng hiện chưa thể chuyển đổi trực tiếp dữ liệu passkey từ hệ điều hành này sang hệ điều hành khác — một hạn chế mà chuyên gia Hoffman-Andrews lý giải là nhằm mục đích tối ưu khả năng chống lừa đảo.

Bên cạnh đó, việc phó mặc dữ liệu cho các kho lưu trữ đám mây của bên thứ ba luôn tiềm ẩn những rủi ro an ninh nhất định. Nếu kẻ xấu chiếm đoạt được thiết bị vật lý hoặc bẻ khóa được ứng dụng quản lý, hành lang bảo mật sẽ bị đe dọa. Đó là lý do vì sao tờ New York Times lưu ý người dùng tuyệt đối không chia sẻ mã PIN cho người khác, luôn kích hoạt các tính năng chống trộm sẵn có trên máy, hoặc chuyển hẳn sang dùng khóa vật lý nếu thuộc nhóm đối tượng có nguy cơ bị tấn công cao.

Bất chấp những điểm chưa hoàn hảo, passkey rõ ràng vẫn là tấm khiên bảo vệ kiên cố nhất ở thời điểm hiện tại. Chủ động kích hoạt tính năng này tại mọi website có hỗ trợ là bước đi thông minh để tự bảo vệ mình trong không gian mạng đầy cạm bẫy.

PV (SHTT)