Passkey - Kẻ thay thế xuất sắc cho Password

Passkey là hình thức xác thực không cần mật khẩu đang ngày càng trở nên thiết yếu. Ngay cả khi không hoàn hảo (ví dụ trong trường hợp Passkey có thể được đồng bộ với thiết bị khác đang chạy trên hệ điều hành không an toàn), Passkey vẫn có khả năng trở thành một phần bảo mật không thể thiếu được trong những năm tới. Khả năng này là hoàn toàn thực tế bởi Passkey sẽ mang lại nền tảng đáng tin cậy cho bảo mật doanh nghiệp. Passkey an toàn hơn nhiều so với mật khẩu thông thường trong hoạt động bảo vệ thông tin cho khách hàng, nhân viên và đối tác.

So sánh Passkey và Mật khẩu:

Vấn đề thực sự về tính bảo mật của mật khẩu xuất phát từ vai trò là chuỗi cấp quyền truy cập vào các tài nguyên được bảo mật, bất kể ai là người sở hữu những tài nguyên đó. Việc tội phạm mạng ngày càng có nhiều dữ liệu đăng nhập trên các trang web đen và thông qua những kênh mờ ám khác là diễn biến đáng báo động. Trái ngược với nhược điểm của mật khẩu, Passkey dựa vào một số yếu tố để xác thực, tập trung vào khía cạnh thiết bị có liên kết với một yếu tố nào đó.

Ông Matias Woloski - Giám đốc công nghệ kiêm đồng sáng lập Auth0 - nhận xét: “Khi không dùng mật khẩu, điện thoại thông minh (smartphone) sẽ đóng vai trò tiên quyết, không chỉ cải thiện trải nghiệm người dùng, mà còn nâng cao khả năng bảo mật. Passkey không bị giới hạn trong phạm vi smartphone, mà còn khả dụng trên những thiết bị khác như máy tính bảng, máy tính xách tay và máy tính để bàn. Cả Apple, Google và Microsoft đều hỗ trợ Passkey”.

Đây là dấu hiệu cho thấy Passkey được chấp thuận rộng rãi, đồng thời cũng tiết lộ cách thức hoạt động của Passkey: Các biến số mới hơn dựa vào lưu trữ đám mây để đồng bộ hóa giữa các thiết bị.Passkey có thể được truyền tải một cách liền mạch giữa các thiết bị trong cùng một hệ sinh thái. Quá trình này đang được triển khai nhằm tạo điều kiện thuận lợi cho hoạt động truyền tải giữa các hệ sinh thái.

Cách thức hoạt động của Passkey

Yếu tố thiết bị sở hữu sức mạnh rõ rệt bởi đặc tính vật lý. Một hacker ở Nga không thể dễ dàng đánh cắp smartphone của một nhân viên ở Berlin. Tất nhiên, thiết bị có thể bị đánh cắp hoặc thất lạc, song (gần như chắc chắn) thiết bị sẽ bị khóa - và Passkey chỉ sử dụng thiết bị đó khi kết hợp với yếu tố thứ hai. Có một lợi thế lớn đó là: Các nhân viên tương tác với smartphone một cách thường xuyên, vì vậy, họ thường mang theo điện thoại bên người và họ cũng biết cách giữ cho điện thoại được an toàn. Ngoài ra, smartphone còn được liên kết với những thông tin có thể kiểm chứng khác (chẳng hạn như hợp đồng với nhà cung cấp điện thoại).

Mặc dù thiết bị vật lý là “mấu chốt” đối với tính năng bảo mật bằng Passkey, tuy nhiên, phần cứng không phải là yếu tố thực sự liên kết Passkey với thiết bị. Thay vào đó, Passkey tạo thành cầu nối giữa thiết bị và các ứng dụng của người dùng, được điều khiển bởi hệ điều hành hoặc trình duyệt.

Rất nhiều công việc được thực hiện để sắp xếp quy trình này một cách an toàn: Liên minh FIDO là cơ quan quan trọng nhất đằng sau định nghĩa về thông số kỹ thuật của Passkey. Tất cả các nhà cung cấp dịch vụ điện toán đám mây lớn và nhà cung cấp cơ sở hạ tầng Passkey đều là thành viên của Liên minh. Sau khi hợp tác với W3C, FIDO đã giới thiệu Giao diện lập trình ứng dụng (API) WebAuthn nhằm tiêu chuẩn hóa cách thức hoạt động của Passkey và cung cấp các thư viện để sử dụng ở cả thiết bị đầu cuối và hạ tầng phía sau.

Các đặc điểm vật lý của thiết bị đảm bảo an ninh cơ bản được thắt chặt. Bên cạnh đó còn có một số yếu tố phụ trợ có thể được sử dụng để xác minh người dùng là chủ sở hữu thực sự của thiết bị, ví dụ:

• Các đặc tính sinh trắc học
• Token
• Mã PIN, hoặc
• Mật khẩu./.

(CSO)