Mật khẩu đã trở nên lỗi thời trong thế giới hiện đại. Đây là ý kiến của nhiều cá nhân, tổ chức/doanh nghiệp (TC/DN) công nghệ bao gồm Microsoft, Google, cũng như Liên minh Xác thực trực tuyến thế giới (Fast IDentity Online - FIDO). Những TC/DN này đã cam kết sẽ giảm sự phụ thuộc vào mật khẩu trong tương lai.

Mật khẩu là hình thức bảo mật tồn tại nhiều nhược điểm: chúng có thể bị đánh cắp, để lộ, người dùng quên, sử dụng mật khẩu không an toàn và lặp lại chúng trên nhiều dịch vụ... Các giải pháp như trình quản lý mật khẩu có thể hữu ích, nhưng liệu có thể loại bỏ hoàn toàn mật khẩu và các TC/DN đã sẵn sàng cho điều này hay chưa?

Nhiều chuyên gia tin tưởng vào một tương lai không dùng mật khẩu và một số lượng lớn các TC/DN đã áp dụng cách tiếp cận này. Trên thực tế, theo Microsoft, 150 triệu người dùng đang sử dụng thông tin đăng nhập không dùng mật khẩu mỗi tháng.

Hơn nữa, việc chuyển sang xác thực không dùng mật khẩu có thể trở nên phổ biến vào năm 2022. Gartner dự đoán rằng khi đó, 60% các doanh nghiệp lớn toàn cầu và 90% các doanh nghiệp vừa sẽ triển khai các phương pháp xác thực không dùng mật khẩu trong hơn 50% trường hợp sử dụng, tăng lên từ 5% vào năm 2018.

Tuy nhiên, thực tế không đơn giản như vậy. Nhiều chuyên gia tin rằng mật khẩu sẽ còn tồn tại trong một thời gian dài, ít nhất là ở dạng mã PIN như một phần của xác thực đa nhân tố (Multi-Factor Authentication - MFA). MFA có thể được giải thích là sử dụng thứ gì đó mà người dùng đã xác nhận, đã có và đã biết để xác thực danh tính.

Ngoài ra, nhiều TC/DN đơn giản là chưa sẵn sàng cho một tương lai không dùng mật khẩu. Cơ sở hạ tầng được kế thừa đặt ra một thách thức lớn, cũng như cần vượt qua các rào cản về văn hóa và đào tạo sử dụng.

Vấn đề của mật khẩu

Khi các vi phạm dữ liệu tiếp tục gia tăng, thì chắc chắn mật khẩu đang là vấn đề đối với các tổ TC/DN và người dùng. Andrew Shikiar, Giám đốc điều hành và Giám đốc tiếp thị tại Liên minh FIDO cho biết, phần lớn các vi phạm dữ liệu là do mật khẩu bị tấn công, đánh cắp hoặc thao túng.

Shikiar lập luận rằng, toàn bộ cách tiếp cận sử dụng mật khẩu để xác thực là “vốn đã có thiếu sót”, bởi vì mô hình này phụ thuộc vào việc lưu trữ và so sánh các “bí mật” trên một máy chủ - đây chính là điều mà theo ông là tự tồn tại vấn đề riêng của nó. “Bất kỳ điều gì trên máy chủ đều có thể bị đánh cắp và thậm chí cuối cùng cũng sẽ bị đánh cắp. Đó là lý do tại sao thông tin đăng nhập tràn ngập trên các “web ngầm” (dark web), nơi tin tặc có thể mua và sử dụng để truy cập vào rất nhiều tài khoản khác nhau”.

Mặc dù phương thức MFA có thể giúp tăng độ an toàn, nhưng Shikiar chỉ ra rằng, các cuộc tấn công phức tạp cũng có thể thao túng mật khẩu sử dụng một lần (one-time passcode - OTP) hoặc các ứng dụng xác thực khác bằng tấn công người đứng giữa (man-in-themiddle) hay tấn công phát lại (replay attack). Shikiar cho biết: “Phương pháp an toàn nhất là xác thực người dùng một cách cục bộ với một thiết bị thuộc quyền sở hữu trực tiếp mà họ sử dụng hàng ngày”.

Liên minh FIDO khuyến khích giảm sự phụ thuộc vào mật khẩu bằng cách sử dụng sinh trắc học như nhận dạng khuôn mặt và khóa bảo mật, điều mà nhiều TC/DN đã và đang thực hiện như một phần của chính sách MFA.

Thật vậy, các hãng công nghệ có số lượng khách hàng lớn nhất trên thế giới đang áp dụng cả hai hình thức xác thực này, như người dùng hệ điều hành iOS có thể xác thực tài khoản của họ bằng khóa bảo mật tuân thủ các quy định của Liên minh FIDO như YubiKey của hãng Yubico.

Khóa bảo mật có nhiều ưu điểm và có thể được sử dụng cùng với nhận dạng khuôn mặt, nhưng rào cản chính đối với khóa bảo mật là tính tiện dụng - vì là phần cứng vật lý, chúng có thể bị đánh cắp hoặc bị mất.

Đối với sinh trắc học, trước đây chúng có thể bị vượt qua. Nhưng độ chính xác và tính tiện dụng của Face ID và Touch ID của Apple khiến cho các phương thức xác thực này đã được sử dụng rộng rãi hơn. Nhìn chung, công nghệ này mạnh mẽ hơn và ít bị lỗi hơn, khiến sinh trắc học cũng trở thành một hình thức xác thực khả thi cho các doanh nghiệp. Gemma Moore, Giám đốc công ty tư vấn an ninh mạng Cyberis (Anh) cho biết sinh trắc học là phương thức “rất phổ biến” để xác thực theo các lược đồ không cần mật khẩu.

Tuy nhiên, sinh trắc học vẫn chưa hoàn hảo. Thách thức chủ yếu của sinh trắc học là cách giải quyết khi chúng bị vi phạm. David Emm, nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Vấn đề với sinh trắc học là chúng thường được sử dụng để thay thế cho mật khẩu. Nếu bị vi phạm thì không thể thay đổi sinh trắc học. Nếu mật khẩu là dấu vân tay thì sẽ bị lộ suốt đời”.

Dù vậy, David Emm thừa nhận điều này phụ thuộc vào cách các TC/DN lưu trữ dữ liệu. “Khi sử dụng Touch ID của Apple, không có dữ liệu được truyền ra khỏi thiết bị của người dùng, vì vậy nếu điện thoại của người dùng được bảo mật, thì không ai có thể truy cập được”.

Tuy nhiên, trong trường hợp điều này không được đảm bảo, Ken Munro, đối tác của công ty kiểm thử xâm nhập Pen Test Partners (Anh) cho biết, việc thu hồi là một vấn đề lớn trong trường hợp bị vi phạm. “Nếu phải thu hồi dấu vân tay, người dùng làm cách nào để có một dấu vân tay khác?”, Munro phân vân.

James Bore, Giám đốc tại công ty tư vấn bảo mật Bores Security Consultancy (Anh) cảnh báo, công nghệ sinh trắc học đã tốt hơn trước đây với ít nhận diện sai hơn, nhưng để tin tưởng hoàn toàn vào công nghệ ngày thì hẳn là “một vấn đề”.

Một tương lai không dùng mật khẩu trong thực tế

Bất chấp những rào cản, nhiều tổ chức đang triển khai một môi trường xác thực không dùng mật khẩu. Shikiar trích dẫn ví dụ về nhà cung cấp dịch vụ viễn thông NTT DoCoMo (Nhật Bản) đã cung cấp phương thức xác thực không dùng mật khẩu cho người dùng của mình và công ty Internet Yahoo! Japan (Nhật Bản) mà theo ông là đã hoàn toàn chấp nhận việc không dùng mật khẩu.

Ông nói, cả hai công ty trên không có mật khẩu nào được liên kết với tài khoản người dùng. Ngoài ra ông cho biết thêm, eBay.com hiện đang sử dụng phương thức xác thực FIDO để cho phép đăng nhập thông qua sinh trắc học trên thiết bị thay vì nhập mật khẩu.

Cách tiếp cận này là hoàn toàn hợp lý. Moore phát biểu: “Xác thực không dùng mật khẩu thường là có mức độ phạm vi lớn hơn so với xác thực sử dụng mật khẩu. Việc xâm phạm một tài nguyên sử dụng các cơ chế không dùng mật khẩu là phức tạp hơn nhiều, vì kẻ tấn công thường cần xâm phạm một thiết bị vật lý mà người dùng mục tiêu đang kiểm soát”.

Dù vậy, Moore thừa nhận vẫn còn nhiều vấn đề về việc triển khai và cho rằng điều quan trọng là phải nhận ra chúng. “Một số triển khai yêu cầu người dùng phải nhớ mã PIN được nhập vào thiết bị để cung cấp quyền truy cập; mã PIN này vẫn là thứ mà người dùng cần biết để xác thực”. Mặc dù mã PIN có thể không cần gửi trực tiếp đến tài nguyên mục tiêu nữa, nhưng nó vẫn tạo ra tình huống mà người dùng cần phải nhớ “mật khẩu”, Moore cho hay. Vì vậy, người dùng có xu hướng sử dụng các giá trị có thể dự đoán được và có khả năng quên chúng.

Theo Rick Holland, Giám đốc an toàn thông tin tại công ty an ninh mạng Digital Shadows (Mỹ), vì những vấn đề như trên mà việc áp dụng đại chúng phương pháp không dùng mật khẩu có thể mất nhiều thời gian. Ngoài ra, ông giải thích rằng các doanh nghiệp lớn trên toàn cầu sẽ có hàng trăm, thậm chí hàng nghìn ứng dụng web bên trong và bên ngoài tổ chức. Nhiều ứng dụng nội bộ được kế thừa, đòi hỏi sự cân nhắc riêng khi áp dụng, làm phức tạp thêm nỗ lực phát triển. Và việc chuyển đổi những ứng dụng của bên thứ ba sang không dùng mật khẩu thường nằm ngoài tầm kiểm soát của người dùng.

Theo Holland, để chuẩn bị cho một tương lai không dùng mật khẩu, các TC/DN cần có một kho ứng dụng cập nhật, bao gồm cả các ứng dụng kế thừa cũ chưa triển khai xác thực không dùng mật khẩu. Một số quy định cũng có thể giúp ích cho nỗ lực triển khai xác thực không dùng mật khẩu. Có thể kể đến yêu cầu Xác thực khách hàng mạnh mẽ trong Chỉ thị sửa đổi của Liên minh Châu Âu về Dịch vụ thanh toán (PSD2) và Chỉ dẫn Nhận dạng số của Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) mới nhất, bao gồm các yêu cầu có thể được giải quyết bằng các phương pháp xác thực người dùng hiện đại.

Không dùng mật khẩu: Các TC/DN đã sẵn sàng chưa?

Dù vậy, do các hệ thống kế thừa đều dựa vào mật khẩu, nên ngay cả Shikiar của Liên minh FIDO cũng không tin tưởng rằng sẽ sớm có một thế giới 100% không dùng mật khẩu. “Tuy nhiên, tôi cho rằng phần lớn các dịch vụ Internet tiêu dùng hàng đầu sẽ cung cấp phương thức đăng nhập không dùng mật khẩu trong vòng 5 năm tới”, ông cho biết thêm.

“Các TC/DN cũng sẽ nhanh chóng tiến tới triển khai không dùng mật khẩu trong cùng một khung thời gian, vì các nền tảng của Microsoft bao gồm Windows Hello có hỗ trợ FIDO, cũng như các sản phẩm máy chủ và cơ sở hạ tầng từ các nhà cung cấp hàng đầu khác”.

Theo Schlager, mật khẩu có thể không còn trong vòng ba đến bốn năm tới. Tuy nhiên, ông thừa nhận còn tồn tại những vấn đề cần phải khắc phục trước. “Một mặt, nó đòi hỏi sự chuyển đổi đáng kể của hệ thống CNTT; mặt khác, tôi nghĩ chúng ta cần thêm thời gian cho chính công nghệ này. Và chúng ta cũng có tính toán lượng tử, điều này sẽ thay đổi cách thức chúng ta xác thực”.

Trong tương lai, liệu các TC/DN có sẵn sàng hoàn toàn không dùng mật khẩu hay không? Điều này là không chắc chắn, Shikiar cho biết.

“Một số TC/DN phụ thuộc vào các hệ thống kế thừa cũ sẽ gặp khó khăn trong việc xóa bỏ hoàn toàn mật khẩu, trong khi những TC/DN khác sẽ thấy nó đơn giản hơn nhiều”.

Ông cho hay, ngay cả đối với các TC/DN phụ thuộc vào các hệ thống kế thừa cũ như trên thì việc loại bỏ mật khẩu đối với hầu hết nhân viên là điều hoàn toàn khả thi. Mật khẩu có thể được thay thế bằng khóa bảo mật, sinh trắc học trên thiết bị hoặc bằng cách sử dụng thiết bị di động làm trình xác thực cục bộ. “Nền tảng quản lý quyền truy cập đặc quyền có thể giúp kiểm soát điều này và hạn chế việc sử dụng mật khẩu, như biện pháp cuối cùng được thực hiện bởi những chuyên viên có trình độ cao” Shikiar khuyến nghị.

Shikiar cho hay, hiện tại, việc thay thế hoặc bổ sung mật khẩu bằng yếu tố thứ hai mạnh mẽ như khóa bảo mật, sẽ là bước phát triển đúng hướng.

Schlager đồng ý rằng, vẫn phải dựa vào xác thực kèm yếu tố thứ hai, ngay cả khi đó là một mật mã hàng đầu trong sinh trắc học. Các TC/DN cần nắm được những điều cơ bản trước tiên. Rất nhiều TC/DN vẫn còn chậm trễ trong việc quản lý tài sản của họ.

“Nhiều TC/DN không có đủ khả năng quan sát đầy đủ tài sản của họ: trước tiên, cần biết tài sản đang ở đâu và chỉ sau đó mới có thể bảo vệ được chúng”.

Một tương lai không dùng mật khẩu là hoàn toàn khả thi, nhưng rõ ràng là nhiều TC/DN chưa sẵn sàng cho điều này, ít nhất là trong hiện tại. Điều tốt nhất mà bất kỳ TC/DN nào có thể thực hiện bây giờ là tận dụng tính năng xác thực mạnh mẽ, tốt nhất là đa yếu tố, sử dụng sinh trắc học và khóa bảo mật.

Bore kết luận là hoàn toàn có thể sẽ loại bỏ mật khẩu, nhưng hiện tại nó phụ thuộc vào việc đánh giá và quản trị rủi ro. Cần xem xét các mối đe dọa đối với TC/DN và các phương pháp xác thực sẽ giải quyết được những vấn đề này, sau đó đánh giá mức độ mạnh mẽ mà xác thực cần phải có.