Google sẽ yêu cầu sử dụng xác thực hai bước để đăng nhập
Chỉ 8 năm sau khi Intel bắt đầu quảng bá Ngày Mật khẩu Thế giới như một cách để nâng cao nhận thức về tầm quan trọng của mật khẩu mạnh, thì hiện tại Google đã sẵn sàng gạt bỏ điều này.
Tại Hội nghị an toàn thông tin RSA năm 2004, nhà đồng sáng lập Microsoft - Bill Gates, đã dự đoán mật khẩu sẽ trở nên ít quan trọng hơn trong những năm tới. Microsost với hệ điều hành Windows đã thúc đẩy điều này bằng nhiều sáng kiến, trong đó bao gồm hỗ trợ khóa bảo mật FIDO2 để xác thực, hay chuyển sang xác thực dựa trên token để cho phép các hoạt động git trên GitHub. Nhưng mật khẩu, cũng giống như email, đến nay vẫn đang giữ một vị trí quan trọng và chưa thể loại bỏ.
Giám đốc quản lý sản phẩm của Google ông Mark Risher, trong một bài đăng trên blog, đã lưu ý rằng 66% người Mỹ thừa nhận sử dụng cùng một mật khẩu trên nhiều trang web, điều vốn là phương thức bảo mật yếu kém. Cơ sở dữ liệu tài khoản bị xâm phạm và bất kỳ tên người dùng, mật khẩu nào bị lộ có thể dễ dàng được cung cấp cho một bot máy tính, và nó sẽ thử tất cả các thông tin này tại các trang web phổ biến. Đây là một kỹ thuật được gọi là nhồi thông tin đăng nhập (credential stuffing).
Vào năm 2017, một kỹ sư phần mềm của Google cho biết, chưa đến 10% số tài khoản Google đang hoạt động đang sử dụng xác thực hai bước.
Hiện nay, Google đã đưa chương trình xác thực hai bước (2SV) của mình lên một bước phát triển mới. Tuy nhiên, quá trình này vẫn liên quan đến mật khẩu - nhập mật khẩu là bước đầu tiên.
Mật khẩu cũng trong bao gồm trong bước thứ hai, mặc dù nó không được gọi là mật khẩu trong ngữ cảnh này. Thay vào đó, đó là mã xác thực có giới hạn thời gian hoặc token được gửi đến thiết bị di động của người dùng, hoặc được tạo thông qua phần mềm, phần cứng ứng dụng dành cho thiết bị di động, hay thông qua khóa bảo mật chuyên dụng. Nó thậm chí có thể là một mã dự phòng được in ra từ lâu trong trường hợp thiết bị xác thực yếu tố thứ hai không khả dụng.
Trong bất kỳ trường hợp nào, việc xác thực bằng cách sử dụng thông tin người dùng biết và thiết bị sẵn có trong thời gian ngắn sẽ an toàn hơn là chỉ dựa vào mật khẩu như "solarwinds123". Vì vậy, Google có kế hoạch thực hiện áp dụng 2SV một cách bắt buộc đối với những người đã thông tin đủ về bản thân và thiết bị họ sở hữu.
Ông Risher giải thích, Google sẽ sớm bắt đầu tự động đăng ký người dùng sử dụng 2SV nếu tài khoản của họ được cấu hình thích hợp. Việc sử dụng thiết bị di động để đăng nhập mang lại cho người dùng trải nghiệm xác thực an toàn và bảo mật hơn so với việc chỉ sử dụng mật khẩu.
Tuy nhiên, Google vẫn còn nhiều việc cần làm với mật khẩu. Hiện tại, hãng đã tích hợp Trình quản lý mật khẩu vào trình duyệt Chrome, hệ điều hành Android và mới đây là iOS, cũng như tích hợp tính năng Kiểm tra Bảo mật chỉ với một cú nhấp chuột, sẽ thông báo cho người dùng khi mật khẩu của họ bị lộ lọt công khai, khi mật khẩu đã được sử dụng lại trên nhiều trang web và khi chúng quá ngắn hoặc yếu.
Ông Risher cho biết, Google hi vọng một ngày nào đó việc đánh cắp mật khẩu sẽ là dĩ vãng vì mật khẩu không còn được sử dụng nữa, nhưng cho đến lúc đó thì Google sẽ tiếp tục giữ an toàn cho người dùng và mật khẩu của họ.
Đỗ Đoàn Kết
(theo The Register)