Trong một nỗ lực chung, các gã khổng lồ công nghệ Apple, Google và Microsoft đã công bố rằng họ đã cam kết xây dựng hỗ trợ đăng nhập không cần mật khẩu trên tất cả các nền tảng di động, máy tính để bàn và trình duyệt mà họ kiểm soát trong năm tới. Về mặt hiệu quả, điều này có nghĩa là xác thực không cần mật khẩu sẽ đến với tất cả các nền tảng thiết bị chính trong tương lai không xa: hệ điều hành di động Android và iOS; Trình duyệt Chrome, Edge và Safari; môi trường máy tính để bàn Windows và macOS.
Kurt Knight, giám đốc cấp cao về tiếp thị sản phẩm nền tảng của Apple cho biết: “Giống như việc chúng tôi thiết kế các sản phẩm của mình trở nên trực quan và có nhiều tính năng, chúng tôi cũng thiết kế chúng trở nên riêng tư và an toàn. Làm việc với toàn ngành để thiết lập các phương thức đăng nhập mới, an toàn hơn nhằm bảo vệ tốt hơn và loại bỏ các lỗ hổng bảo mật của mật khẩu là trọng tâm trong cam kết của chúng tôi trong việc xây dựng các sản phẩm cung cấp bảo mật tối đa và trải nghiệm người dùng minh bạch – tất cả đều với mục tiêu giữ thông tin cá nhân của người dùng an toàn.”
Quy trình đăng nhập không cần mật khẩu sẽ cho phép người dùng chọn điện thoại của họ làm thiết bị xác thực chính cho các ứng dụng, trang web và các dịch vụ kỹ thuật số khác, như Google đã nêu chi tiết trong một bài đăng trên blog. Mở khóa điện thoại bằng bất cứ thứ gì được đặt làm hành động mặc định – nhập mã PIN, vẽ hình hoặc sử dụng mở khóa bằng vân tay – là đủ để đăng nhập vào các dịch vụ web mà không cần nhập mật khẩu, có thể thực hiện được thông qua việc sử dụng một mã thông báo mật mã duy nhất được gọi là mã khóa được chia sẻ giữa điện thoại và trang web.
Bằng cách thực hiện đăng nhập phụ thuộc vào thiết bị vật lý, ý tưởng là người dùng sẽ đồng thời được hưởng lợi từ sự đơn giản và bảo mật. Nếu không có mật khẩu, sẽ không có nghĩa vụ phải nhớ chi tiết đăng nhập trên các dịch vụ hoặc làm ảnh hưởng đến bảo mật bằng cách sử dụng lại cùng một mật khẩu ở nhiều nơi. Tương tự, một hệ thống không có mật khẩu sẽ khiến tin tặc khó xâm nhập các chi tiết đăng nhập từ xa vì việc đăng nhập yêu cầu quyền truy cập vào một thiết bị vật lý; và về mặt lý thuyết, các cuộc tấn công lừa đảo trong đó người dùng được chuyển hướng đến một trang web giả mạo để lấy mật khẩu sẽ khó hơn nhiều.
Vasu Jakkal, Phó chủ tịch của Microsoft về bảo mật, tuân thủ, danh tính và quyền riêng tư, nhấn mạnh mức độ tương thích giữa các nền tảng. “Với mã khóa trên thiết bị di động, bạn có thể đăng nhập vào một ứng dụng hoặc dịch vụ trên hầu hết mọi thiết bị, bất kể nền tảng hoặc trình duyệt mà thiết bị đang chạy,” Jakkal cho biết trong một tuyên bố gửi qua email. “Ví dụ: người dùng có thể đăng nhập trên trình duyệt Google Chrome đang chạy trên Microsoft Windows — bằng cách sử dụng mã khóa trên thiết bị Apple.”
NGƯỜI DÙNG SẼ ĐƯỢC HƯỞNG LỢI TỪ SỰ ĐƠN GIẢN VÀ BẢO MẬT
Chức năng đa nền tảng đang được thực hiện bởi một tiêu chuẩn gọi là FIDO, sử dụng các nguyên tắc của mật mã khóa công khai để cho phép xác thực không cần mật khẩu và xác thực đa yếu tố trong nhiều ngữ cảnh. Điện thoại của người dùng có thể lưu trữ một mã khóa tuân thủ FIDO duy nhất và sẽ chia sẻ mã đó với một trang web để xác thực chỉ khi điện thoại được mở khóa. Theo bài đăng của Google, mật khẩu cũng có thể được đồng bộ hóa dễ dàng với một thiết bị mới từ tính năng sao lưu đám mây trong trường hợp điện thoại bị mất.
Mặc dù nhiều ứng dụng phổ biến đã bao gồm hỗ trợ xác thực FIDO, đăng nhập ban đầu yêu cầu sử dụng mật khẩu trước khi FIDO có thể được cấu hình – có nghĩa là người dùng vẫn dễ bị tấn công lừa đảo khi mật khẩu bị chặn hoặc bị đánh cắp trong quá trình này.
Nhưng các thủ tục mới sẽ loại bỏ yêu cầu ban đầu về mật khẩu, như Sampath Srinivas, giám đốc quản lý sản phẩm về xác thực an toàn tại Google và chủ tịch của FIDO Alliance, cho biết trong một tuyên bố qua email.
Srinivas cho biết: “Hỗ trợ FIDO mở rộng này được công bố hôm nay sẽ giúp các trang web có thể triển khai lần đầu tiên trải nghiệm không mật khẩu đầu cuối với bảo mật chống lừa đảo trực tuyến. Điều này bao gồm cả lần đăng nhập đầu tiên vào một trang web và các lần đăng nhập lặp lại. Khi hỗ trợ mật khẩu có sẵn trong toàn ngành vào năm 2022 và 2023, cuối cùng chúng ta sẽ có nền tảng internet cho một tương lai thực sự không có mật khẩu. ”
Cho đến nay, Apple, Google và Microsoft đều cho biết họ mong đợi khả năng đăng nhập mới sẽ có trên các nền tảng trong năm tới, mặc dù một lộ trình cụ thể hơn chưa được công bố. Mặc dù việc bỏ mật khẩu đã được tiến hành trong nhiều năm, nhưng có những dấu hiệu cho thấy, lần này, nó có thể đã thành công.
