Apple, Google và Microsoft là những tập đoàn đang tích cực góp phần xây dựng chuẩn đăng nhập không dùng mật khẩu được Liên minh FIDO (“Fast Identity Online”) và World Wide Web Consortium (W3C) tạo ra. FIDO và W3C đã làm việc với hàng trăm công ty công nghệ trong một thập kỷ qua để xây dựng một chuẩn đăng nhập tương thích với nhiều trình duyệt và hệ điều hành.
Theo Liên minh FIDO, người dùng có thể đăng nhập vào nhiều trang web giống như cách mở khóa điện thoại – bằng cách dùng mã PIN hoặc cơ chế sinh trắc học như quét vân tay hay quét mặt.
Tổ chức này tuyên bố: “Cách tiếp cận mới này bảo vệ người dùng khỏi tội phạm lừa đảo qua email và quá trình đăng nhập sẽ an toàn hơn nhiều so với dùng mật khẩu và các biện pháp bảo mật nhiều lớp cũ như mã đăng nhập gửi một lần qua SMS”.
Ông Sampath Srinivas, giám đốc phụ trách xác minh bảo mật tại Google và chủ tịch Liên minh FIDO, cho biết điện thoại người dùng sẽ lưu trữ thông tin đăng nhập mang tên “passkey”; passkey này sẽ được dùng để mở khóa các tài khoản online.
Theo ZDNet, Apple, Google và Microsoft vốn đã hỗ trợ một số chuẩn đăng nhập không dùng mật khẩu, nhưng người dùng vẫn phải đăng nhập tại mỗi trang web để sử dụng tính năng này. Hệ thống mới hứa hẹn sẽ cho phép người dùng tự động truy cập passkey trên mọi thiết bị và sử dụng điện thoại để đăng nhập dễ dàng hơn.
Giáo sư Steve Bellovin từ Đại học Columbia – một nhà nghiên cứu Internet thời kỳ đầu – đã gọi nỗ lực xây dựng chuẩn đăng nhập không mật khẩu là “một bước tiến lớn”, nhưng cũng cho rằng nhiều trang web sẽ cần thời gian dài để bắt kịp với chuẩn đăng nhập mới này.
Ông Bellovin và nhiều người khác cũng đặt câu hỏi về vấn đề đăng nhập nếu người dùng mất điện thoại, điện thoại bị hỏng hay khi người dùng quên mật khẩu tài khoản iCloud.
Đối với vấn đề này, Google nói rằng kể cả khi người dùng mất điện thoại, passkey sẽ được đồng bộ an toàn trên điện thoại mới nhờ backup từ dữ liệu đám mây. Apple và Microsoft cũng có các giải pháp backup tương tự để giúp người dùng nhanh chóng sử dụng passkey trên điện thoại mới. Tuy nhiên, giáo sư Bellovin nói rằng những tiện ích này phụ thuộc vào việc hạ tầng điện toán đám mây được quản lý và bảo mật đến mức nào.
Ông Nicholas Weaver, giảng viên khoa học máy tính tại Đại học California, Berkeley, cho rằng các trang web vẫn cần cơ chế khôi phục cho trường hợp người dùng vừa quên mật khẩu vừa mất điện thoại. Dù vậy, theo ông Weaver, cách tiếp cận của FIDO vẫn là một bước tiến tốt tận dụng được khả năng xác nhận bảo mật của điện thoại.
Một số nghiên cứu gần đây cho thấy đa số người dùng vẫn còn sử dụng lại hoặc “tái chế” sơ qua mật khẩu của mình, dẫn đến rủi ro tài khoản bị chiếm khi xảy ra sự cố rò rỉ dữ liệu. Một báo cáo do công ty bảo mật SpyCloud xuất bản tháng 3 vừa qua cho thấy 64% người dùng sử dụng một mật khẩu cho nhiều tài khoản và 70% thông tin đăng nhập bị rò rỉ vẫn được sử dụng.
Tùng Phong (Theo Krebs on Security/ZDNet )