Mật khẩu đã là một phần quan trọng của bảo mật trực tuyến kể từ buổi bình minh của internet và chúng vẫn là hình thức xác thực phổ biến nhất hiện nay. Tuy nhiên, với sự gia tăng của các cuộc tấn công mạng chống lại xác thực dựa trên mật khẩu và các vụ vi phạm dữ liệu nghiêm trọng, mật khẩu tĩnh không thể cắt giảm được nữa.
Vì vậy, nếu mật khẩu đi kèm với những rủi ro bảo mật nghiêm trọng, chúng ta có thể đơn giản chia tay với chúng và thay vào đó sử dụng đăng nhập không cần mật khẩu không?
Vấn đề với việc sử dụng mật khẩu là gì?
Mặc dù mật khẩu khá đơn giản để sử dụng và hoạt động tốt với các phương pháp xác thực khác, nhưng chúng không an toàn như chúng ta mong muốn. Và đó chủ yếu là lỗi của chúng ta.
Hầu hết các mật khẩu dễ nhớ đều không mạnh và hầu hết các mật khẩu mạnh đều không dễ nhớ. Để giải quyết vấn đề nan giải này, chúng ta có thể nghĩ ra một hoặc hai mật khẩu gần như không thể bẻ khóa và sử dụng chúng trên tất cả các tài khoản trực tuyến và các thiết bị khác nhau của mình. Rắc rối với điều này là, nếu một trong các mật khẩu của bạn lọt vào tay kẻ xấu, tất cả các ứng dụng và dịch vụ dùng chung mật khẩu đó cũng có thể bị xâm phạm.
Theo một nghiên cứu của Verizon, hơn 80 phần trăm các vụ vi phạm dữ liệu liên quan đến hack là do mật khẩu kém hoặc bị đánh cắp, trung bình là bốn trong số năm vụ vi phạm trên toàn thế giới. Sẽ chẳng ích gì khi nhiều người không thay đổi mật khẩu mặc định ngay lập tức (hoặc hoàn toàn không thay đổi) và những mật khẩu này đôi khi được phát tán thông qua các diễn đàn tin tặc.
Trong khi đó, các công cụ bẻ khóa mật khẩu đang trở nên tốt hơn trong việc đoán mật khẩu, điều đó có nghĩa là việc một mật khẩu “không thể bẻ khóa” bị bẻ khóa chỉ còn là vấn đề thời gian. Ngoài ra, mật khẩu đang bị đánh cắp thông qua các cuộc tấn công kỹ thuật xã hội và những mật khẩu này ngày càng tinh vi hơn nhờ trí tuệ nhân tạo (AI)—ngay cả ChatGPT cũng bị phát hiện viết phần mềm độc hại.
Ngoài ra, mật khẩu đôi khi được gửi qua các mạng không bảo mật, điều này khiến tội phạm mạng đánh cắp chúng như trò trẻ con. Nếu bạn đã từng sử dụng Wi-Fi trong quán cà phê yêu thích của mình, thì có lẽ bạn đã phạm phải lỗi bảo mật này.
Vì vậy, nếu mật khẩu không thể cắt giảm, các lựa chọn thay thế an toàn nhất là gì?
Các lựa chọn thay thế mật khẩu tốt nhất để bảo mật tốt hơn là gì?
Vì mật khẩu tĩnh và hệ thống xác thực bằng một mật khẩu có thể gây ra các sự cố bảo mật nghiêm trọng, nên chúng ta có thể hoán đổi chúng để lấy các giải pháp thay thế an toàn hơn và ngừng lo lắng về sự an toàn của chúng ta khi trực tuyến. Nhưng mật khẩu thay thế nào là tốt nhất để bảo mật?
1. Sinh trắc học
Trong bối cảnh an ninh mạng, sinh trắc học hoặc xác thực sinh trắc học là một phương pháp bảo mật kiểm tra các đặc điểm sinh học duy nhất của bạn để xác nhận danh tính của bạn. Cho dù chúng ta đang nói về lập bản đồ dấu vân tay, quét võng mạc, xác minh giọng nói hay nhận dạng khuôn mặt, sinh trắc học đều liên quan đến số nhận dạng duy nhất của bạn.
Ngược lại, vì mật khẩu an toàn là sự kết hợp của chữ hoa và chữ thường, số và ký hiệu—tóm lại là khó nhớ—nên mật khẩu này có thể trôi tuột khỏi trí nhớ của bạn như thể không có gì. Xác thực sinh trắc học an toàn có nghĩa là một mật khẩu (tức là khuôn mặt, giọng nói hoặc dấu vân tay của bạn) và bạn sẽ không bao giờ quên mật khẩu đó.
Mặc dù tội phạm mạng có thể sử dụng bản sao khuôn mặt, giọng nói hoặc dấu vân tay của bạn trong một cuộc tấn công giả mạo, nhưng việc sử dụng các công cụ bảo mật thông minh và thêm các phương thức xác thực bổ sung có thể giảm thiểu đáng kể rủi ro này. Sử dụng sinh trắc học cũng làm giảm nguy cơ lừa đảo thành công và các loại tấn công kỹ thuật xã hội khác.
Tuy nhiên, mặc dù sinh trắc học an toàn và thân thiện với người dùng hơn mật khẩu, nhưng chúng cũng có một số nhược điểm. Cụ thể, xác thực sinh trắc học yêu cầu phần cứng và phần mềm chuyên dụng, điều này có thể khiến nó trở nên tốn kém. Ngoài ra, dữ liệu sinh trắc học khá riêng tư, vì vậy một số người có thể cảm thấy không thoải mái khi sử dụng dữ liệu này để xác thực.
2. Xác thực đa yếu tố
Như tên gợi ý, xác thực đa yếu tố (viết tắt là MFA) là một phương thức xác thực yêu cầu hai hoặc nhiều yếu tố xác minh trước khi cho phép truy cập vào một ứng dụng hoặc dịch vụ trực tuyến.
Vì vậy, thay vì hài lòng với tên người dùng và mật khẩu tĩnh, MFA yêu cầu các yếu tố xác minh bổ sung như mật khẩu dùng một lần, vị trí địa lý hoặc quét dấu vân tay. Bằng cách đảm bảo rằng thông tin đăng nhập của người dùng không bị đánh cắp, MFA giúp giảm khả năng xảy ra gian lận hoặc đánh cắp danh tính thành công.
Mặc dù MFA an toàn hơn so với chỉ sử dụng mật khẩu tĩnh, nhưng nó cũng kém tiện lợi hơn vì người dùng phải thực hiện nhiều bước. Ví dụ: nếu bạn mất thiết bị đang sử dụng để xác thực lần thứ hai, bạn có thể bị khóa khỏi tất cả các tài khoản trực tuyến sử dụng MFA.
3. Mật khẩu dùng một lần
Còn được gọi là mật khẩu động, mã PIN một lần và mã ủy quyền một lần (OTAC), mật khẩu một lần (OTP) là mật khẩu chỉ có thể được sử dụng cho một phiên đăng nhập. Vì vậy, như tên cho thấy, tổ hợp các ký tự này chỉ có thể được sử dụng một lần, điều này giúp nó tránh được một số sai sót của mật khẩu tĩnh.
Mặc dù tên đăng nhập của người dùng vẫn giữ nguyên nhưng mật khẩu sẽ thay đổi với mỗi lần đăng nhập mới. Vì vậy, vì OTP không thể được sử dụng lần thứ hai nên việc đánh cắp nó không có ý nghĩa gì đối với tội phạm mạng, khiến một số loại hành vi trộm cắp danh tính không hiệu quả.
Ba loại OTP phổ biến nhất là xác thực SMS, email và liên kết email (còn gọi là liên kết ma thuật) và tất cả chúng đều cung cấp thông tin đăng nhập đơn giản và an toàn cho người dùng của họ. Vì không có mật khẩu tĩnh nên không có nguy cơ người dùng không nhớ hoặc đánh mất chúng.
Tuy nhiên, OTP cũng có một vài nhược điểm và chúng liên quan đến mọi thứ liên quan đến sự phụ thuộc của nhà cung cấp dịch vụ—bạn sẽ không nhận được OTP hoặc liên kết ma thuật nếu nhà cung cấp email hoặc SMS của bạn không gửi cho bạn. Ngay cả việc gửi email cũng có thể bị trì hoãn do tốc độ kết nối internet chậm hoặc các yếu tố tương tự.
4. Đăng nhập mạng xã hội
Đăng nhập xã hội hoặc đăng nhập mạng xã hội là một quy trình cho phép người dùng đăng nhập vào các ứng dụng và nền tảng trực tuyến bằng cách sử dụng thông tin từ các trang mạng xã hội (chẳng hạn như Facebook, Twitter và LinkedIn) mà họ hiện đang sử dụng. Hình thức đăng nhập đơn giản và siêu nhanh này là một sự thay thế thuận tiện cho việc tạo tài khoản tiêu chuẩn, tốn thời gian.
Tuy nhiên, các vi phạm và rò rỉ đã khiến nhiều người dùng không tin tưởng vào đăng nhập xã hội về mặt bảo mật. Vì các công ty tiếp tục thu thập dữ liệu người dùng, mối lo ngại về quyền riêng tư với đăng nhập mạng xã hội tiếp tục tăng lên.
5. Xác thực khóa bảo mật
Để đảm bảo đúng người dùng có quyền truy cập vào đúng dữ liệu, loại MFA này sẽ bảo mật mật khẩu của bạn bằng cách thêm cái gọi là khóa bảo mật, một thiết bị vật lý được cắm vào máy tính của bạn (qua cổng USB hoặc kết nối Bluetooth) mỗi khi bạn’ đang đăng nhập vào một dịch vụ mà nó bảo vệ.
Khóa bảo mật đôi khi bị nhầm lẫn với mã thông báo bảo mật, đây cũng là thiết bị vật lý nhưng là thiết bị tạo mã số gồm sáu chữ số khi được MFA nhắc. Mặc dù họ chia sẻ một mục đích, họ không giống nhau.
Mặc dù các khóa bảo mật có thể chống lại các cuộc tấn công dựa trên mật khẩu (lừa đảo, nhồi thông tin xác thực, mật khẩu từ điển, v.v.), nhưng chúng vẫn là một đối thủ tương đối mới trong trò chơi an ninh mạng, vì vậy chúng có thể không ở đây lâu. Ngoài ra, nếu khóa bảo mật của bạn bị đánh cắp hoặc bị mất thì đây là một vấn đề nghiêm trọng.
Các lựa chọn thay thế đáng chú ý khác cho mật khẩu
Một trong những lựa chọn thay thế mật khẩu đáng suy nghĩ hơn là một loại xác thực sinh trắc học nhận dạng các dạng sóng điển hình do nhịp tim của mỗi người dùng tạo ra và sử dụng nó để nhận dạng—nó được gọi là nhận dạng nhịp tim hoặc nhịp tim. Mặc dù thật tuyệt khi không phải làm bất cứ điều gì (ngoài việc sống và hoạt động) để có quyền truy cập vào tài khoản của bạn, nhưng loại xác thực này hướng đến môi trường bảo mật cao và quá đắt đối với mục đích sử dụng cá nhân.
Các lựa chọn thay thế đáng chú ý khác để đăng nhập an toàn hơn là xác thực tổ hợp phím (chọn kiểu gõ duy nhất của người dùng để xác nhận danh tính của họ), đăng nhập một lần (cho phép người dùng có quyền truy cập vào tất cả các ứng dụng và dịch vụ của họ bằng một bộ duy nhất thông tin xác thực) và mật khẩu (đăng nhập không cần mật khẩu yêu cầu người dùng tạo mật khẩu mới thông qua trình xác thực mỗi khi họ muốn truy cập ứng dụng và dịch vụ của mình).
Ngoài ra, chúng ta nên hiển thị trình quản lý mật khẩu nhưng giống như một bản nâng cấp hơn là thay thế mật khẩu—xét cho cùng, nó được gọi là trình quản lý mật khẩu, không phải trình quản lý không cần mật khẩu. Vì vậy, nếu bạn thích sử dụng mật khẩu, loại công cụ này có thể giúp bạn bảo mật thông tin đăng nhập của mình, tạo mật khẩu mạnh và lưu trữ tất cả thông tin đăng nhập của bạn để có trải nghiệm trực tuyến liền mạch hơn.
Tương lai không cần mật khẩu?
Có một số loại xác thực mà bạn có thể sử dụng mà không cần nhập mật khẩu nhưng chỉ một số trong số đó cố gắng loại bỏ hoàn toàn mật khẩu khỏi quy trình—và đó không phải là vấn đề. Với sự kết hợp của nhiều phương thức xác thực, một điểm lỗi duy nhất có thể được loại bỏ và tăng cường bảo mật trực tuyến của bạn.
Trong tương lai, chúng tôi hy vọng thị trường xác thực không cần mật khẩu sẽ mở rộng khi ngày càng có nhiều tổ chức và cá nhân tìm kiếm các giải pháp bảo mật có thể chống lại các cuộc tấn công mạng dựa trên mật khẩu.