Tại sao có bảo mật vân tay và mống mắt mà giới công nghệ không thể "xóa sổ" mật khẩu phiền toái?

Một vài năm trở lại đây chứng kiến sự phát triển tột bậc của công nghệ bảo mật thế giới. Thay vì tốn nhiều công sức suy nghĩ và nhập từng ký tự vào ô mật khẩu, giờ đây chúng ta có thể dễ dàng mở khóa điện thoại hay thanh toán dịch vụ chỉ với việc đặt ngón tay vào cảm biến vân tay, hay đặt điện thoại lên trước mặt với tính năng mở khóa bằng khuôn mặt, mống mắt. Thậm chí trong tương lai gần, chúng ta sẽ chứng kiến sự ra đời của công nghệ bảo mật bằng ‘mạch máu'.

Hiện nay, các công nghệ bảo mật trên đã và đang ngày càng được phát triển ngày một hoàn thiện hơn, với tính an toàn gần như tuyệt đối. Và đây cũng chính là một trong những lý do khiến nhiều người cho rằng, đã đến lúc cần phải loại bỏ mật khẩu. Đó là công nghệ đã trở nên cũ kỹ, lỗi thời, không bảo mật và dễ dàng bị đánh cắp. Tuy nhiên, cú "búng tay" xóa bỏ phương thức đăng nhập bằng mật khẩu không phải là điều dễ dàng thực hiện như chúng ta tưởng.

Tại sao mọi người lại muốn ‘xóa sổ' mật khẩu

Trong một lần trao đổi với đội ngũ bảo mật của Microsoft về mục tiêu "Xây dựng một thế giới không có mật khẩu" vào tháng 8/2018, đại diện của nhóm đã chia sẻ:

"Không ai trong chúng ta thích mật khẩu cả. Chúng thật bất tiện, không an toàn, và đôi khi gây nhiều rắc rối. Thực tế, chúng tôi ghét mật khẩu nhiều đến nỗi phải dồn hết sức lực của mình vào việc tạo ra một thế giới mới mà không có chúng – một thế giới hoàn toàn ‘sạch' mật khẩu".

Mật khẩu ngày càng gây ra nhiều bất tiện, và chúng ta đã phải khôn ngoan hơn trước những rủi ro khi sử dụng loại hình bảo mật đó. Nếu trước đây mọi người thường sử dụng mật khẩu là một chuỗi ký tự đơn giản trên cùng nhiều trang web khác nhau, thì khi tin tặc hoặc một người nào đó có được chúng, đồng thời toàn bộ dữ liệu và thông tin cá nhân của chúng ta trên các trang web kia cũng có nguy cơ bị đánh cắp. Vì vậy, phương án duy nhất được lựa chọn là tạo một mật khẩu có độ phức tạp cao và khác nhau đối với mỗi một trang web được truy cập.

Đến đây, chúng ta lại gặp phải một vấn đề phức tạp phát sinh: không thể nhớ mật khẩu. Đối với đa số người dùng, họ không có bộ não thiên tài để có thể ghi nhớ trong đầu tất cả các mật khẩu có ký tự phức tạp khi dùng nhiều tài khoản trực tuyến khác nhau. Vì vậy, các phần mềm quản lý mật khẩu đã ra đời, được phát triển và đóng vai trò là trung tâm quản lý "chìa khóa online" cho người dùng. Chúng ta có thể lưu hàng trăm, hàng nghìn mật khẩu khác nhau vào phần mềm quản lý, và điều duy nhất chúng ta cần nhớ là một mật khẩu chính để truy cập vào phần mềm khi cần – an toàn hơn nhiều so với việc sử dụng một mật khẩu cho nhiều trang web khác nhau.

Tuy nhiên, ngay cả khi bạn đã có trong tay một loạt các mật khẩu khó nhằn và trình quản lý tiện dụng, thì độ bảo mật vẫn thật sự chưa cao. Có thể một số hacker sẽ cài đặt keylogger hay malware lên hệ thống máy tính, lấy cắp mặt khẩu để truy cập trái phép vào các trang web mà bạn đang sử dụng. Tình trạng như vậy đã xảy ra nhiều năm trước đây, nghiêm trọng đến mức một số nhà phát triển đã tạo ra lớp bảo mật thứ hai, xác thực qua mã OTP điện thoại, mail, hay có khi là mã từ thiết bị khác (xác thực hai lớp trên Facebook bằng trình lấy mã).

Nếu việc sử dụng mật khẩu thật sự phức tạp như vậy, liệu có phương thức bảo mật nào khác tốt hơn không?

Phương thức bảo mật nào sẽ đủ điều kiện để thay thế mật khẩu?

Goldberg, giám đốc bộ phận bảo mật của công ty 1Password – sở hữu ứng dụng cùng tên khá nổi tiếng hiện nay – cho biết ông đã từng chứng kiến rất nhiều kế hoạch nối tiếp kế hoạch được lập nên với mục đích loại trừ mật khẩu trong vòng 20 năm qua, và tất nhiên đều gặp phải thất bại thảm hại. Tuy vậy, những dự án mới đang được nhen nhóm ở thời điểm hiện tại có thể trở nên khả thi trong tương lai, với cơ hội thành công cao hơn do trình độ công nghệ đã tiến bộ vượt bậc so với quá khứ, đặc biệt là sự phát triển mạnh mẽ của thiết bị cá nhân như smartphone, laptop….

Bảo mật sinh trắc học có thể thay thế mật khẩu. Chúng ta sử dụng Touch hoặc Face ID đăng nhập vào iPhone thay vì nhập mã PIN. Và đồng thời, điện thoại Android cũng sử dụng các công nghệ cảm biến vân tay và nhận dạng khuôn mặt tương tự, để mở khóa thiết bị của mình.

Với Microsoft, giờ đây bạn có thể tạo một tài khoản Windows mà không cần mật khẩu, với tên đăng nhập là số điện thoại, và ‘mật khẩu' sẽ là chuỗi ký tự được gửi đến điện thoại của bạn thông qua tin nhắn SMS.

Điện thoại cũng có thể được sử dụng để thay thế password. Google gần đây đã cho phép thiết bị sử dụng Android hoạt động như các khóa FIDO2. Tuy nhiên bạn cần phải xác thực vân tay trên điện thoại nếu muốn đăng nhập vào các trang web trên máy tính xách xay của mình.

Đa phần các công ty công nghệ giờ đây đang cố gắng giảm sự phụ thuộc vào mật khẩu với phương thức "đăng nhập một lần": người dùng đăng nhập vào tài khoản Facebook, Google,.. sau đó sử dụng tài khoản đó để đăng nhập vào các trang web hay dịch vụ khác mà không cần thêm mật khẩu.

Thay thế mật khẩu, tưởng không khó nhưng khó không tưởng

Thoạt nhìn, các loại bảo mật trên có nhiều tiềm năng để thay thế cho mật khẩu ký tự truyền thống. Tuy nhiên, nếu để ý kỹ một chút, thì thật sự "thay thế" vẫn chưa hoàn toàn mang tính tuyệt đối – ít nhất là ở thời điểm hiện tại.

Bảo mật sinh trắc học, như Face hay Touch ID vẫn phải yêu cầu đến passcode hay mật khẩu Apple ID mỗi khi cài đặt hay thay đổi. Một số tác vụ trên thiết bị cũng yêu cầu mã PIN cho mục đích mã hóa thông tin. Sinh trắc học trên các thiết bị Android và Windows Hello của Windows 10 hoạt động tương tự nhau – về cơ bản, là những tính năng mang lại sự thuận tiện khi không muốn phải nhập mật khẩu mỗi lần muốn truy cập vào máy, nhưng trên thực tế, nó không hề thay thế được mật khẩu.

Một tài khoản "không mật khẩu" thật sự nguy hiểm hơn bạn tưởng. Thay vì một chuỗi ký tự cố định cho tài khoản của bạn, phương thức này tạo ra các ký tự (thường là đơn giản) khác nhau mỗi khi bạn muốn đăng nhập và gửi đến điện thoại thông qua SMS. Thật sự thiếu bảo mật hơn nhiều so với phương thức truyền thống là mật khẩu, kết hợp với mã xác thực cũng được gửi qua tin nhắn SMS.

Cuối cùng, với phương thức "đăng nhập một lần", có một vấn đề riêng tư chúng ta cần phải xem xét: khi "đăng nhập với Google" hay "đăng nhập với Facebook", thì các nhà dịch vụ – Google hay Facebook – sẽ biết bạn đang đăng nhập vào thứ gì.

Mật khẩu sẽ luôn là phương thức bảo mật chủ yếu

Kể cả khi nếu giấc mơ thay thế mật khẩu bằng điện thoại của Google trở thành hiện thực, thì nó cũng sẽ không thể nào "tận diệt" được loại hình bảo mật từ rất lâu này.

Tờ The Verge đã tổng hợp toàn bộ kế hoạch của Google theo cách dễ hiểu nhất: "Nếu bạn đã đăng nhập vào điện thoại của mình, thì có thể sử dụng nó đăng nhập vào các thiết bị khác mà bạn muốn sử dụng với tài khoản Google".

Có thể ở thời điểm hiện tại, chúng ta đã không sử dụng mật khẩu trong một thời gian dài, và nó vẫn tồn tại ở đó, không hề biến mất. Tuy nhiên trong trường hợp thiết bị của chúng ta bị đánh cắp, thì mật khẩu sẽ là thứ đầu tiên chúng ta cần phải lấy lại.

Mật khẩu đang, và sẽ vẫn còn phổ biến, dễ dàng tạo và sử dụng. Các phương thức thay thế mật khẩu mặc dù đem lại nhiều tiện ích và tính bảo mật cao hơn. Tuy nhiên bạn sẽ phải cần đến chúng mỗi khi muốn lấy lại quyền truy cập nếu chẳng may đánh mất thiết bị, không thể đăng nhập bằng sinh trắc học hay một số phương pháp khác.

"Tôi cho rằng chắc chắn đến một lúc nào đó, chúng ta cũng sẽ gặp phải trường hợp mà bắt buộc phải có mật khẩu", Matt Davey, giám đốc điều hành 1Password, cho biết. Ví dụ, trên iOS 13, Sign in With Apple cung cấp tùy chọn đăng nhập trên môi trường web, và bạn phải nhập mật khẩu Apple ID khi thực hiện điều này trên các thiết bị không nằm trong hệ sinh thái Apple. Mật khẩu có ở khắp mọi nơi và đã trở thành mặc định khi các phương thức đăng nhập như sinh trắc học không thể sử dụng được.

Đồng thời, Goldberg cho rằng, tạo ra trang web sử dụng đăng nhập bằng mật khẩu là điều khá dễ dàng đối với các nhà cung cấp dịch vụ, giúp tiết kiệm chi phí và đơn giản các vấn đề liên quan. Ông cũng tiết lộ rằng số lượng người sử dụng 1Password ngày càng tăng, và các tập đoàn lớn như Apple, Google, hay Mozilla đang thật sự nghiêm túc hơn trong vấn đề quản lý mật khẩu.

Tóm lại, giấc mơ về một tương lai không còn mật khẩu sẽ là điều khó thành sự thật. Có thể, quá trình thay đổi thói quen sử dụng mật khẩu hằng ngày của phần lớn người dùng sang các phương thức bảo mật khác sẽ diễn ra trong một thời gian dài và gặp nhiều khó khăn. Tuy nhiên, muốn "tận diệt" mật khẩu hoàn toàn? Thật khó để tưởng tượng.

Quang Minh