Bạn có thể sử dụng các dịch vụ không cần mật khẩu mỗi ngày: Tại sao điều đó lại quan trọng
Việc sử dụng mật khẩu cho mục đích xác thực buộc người dùng phải ghi nhớ thông tin đăng nhập được tạo thành từ các chữ cái, số và ký hiệu phức tạp. Và hầu hết chúng ta có xu hướng sử dụng đi sử dụng lại cùng một mật khẩu. Điều này khá rủi ro vì mật khẩu là trung tâm của nhiều vấn đề vi phạm dữ liệu. Nhưng có những nền tảng hoạt động mà không cần mật khẩu. Vậy điều gì đang diễn ra đằng sau hậu trường và nếu mật khẩu quan trọng như vậy, tại sao lại có những nền tảng không cần mật khẩu?
Mục Lục
Tại sao xác thực không cần mật khẩu lại tồn tại?
Thiết lập một chiến lược dài hạn để xác thực có thể rất quan trọng. Đó là lý do tại sao đăng nhập không cần mật khẩu lại rất quan trọng.
Xác thực không cần mật khẩu có bốn ưu điểm chính so với xác thực dựa trên tri thức, truyền thống. Đầu tiên, nó có ý nghĩa về mặt tài chính vì cơ chế xác thực mật khẩu có một chi phí nhất định. Sau đó, xác thực không cần mật khẩu có thể giảm chi phí của nền tảng. Thứ hai, nó có ý nghĩa đối với khách hàng, mang lại trải nghiệm người dùng tốt hơn. Thứ ba, nó liên quan đến quan điểm chiến lược và có thể giúp xác định lại sự cạnh tranh. Đây là một tính năng tương lai hơn một chút.
Và cuối cùng, nó cải thiện đáng kể tính bảo mật.
Hãy tạm gác chi phí và khía cạnh cạnh tranh của doanh nghiệp sang một bên và tập trung vào bảo mật. Bởi vì đối với một người dùng, điều này quan trọng hơn.
Quan điểm bảo mật của nền tảng không cần mật khẩu
Các doanh nghiệp thường đấu tranh để cân bằng bảo mật và dễ sử dụng. Vì vậy, trong khi các giải pháp không có mật khẩu cải thiện trải nghiệm người dùng, chúng có ảnh hưởng đến bảo mật không?
Các nền tảng sử dụng giải pháp không cần mật khẩu giúp giảm đáng kể nguy cơ rò rỉ dữ liệu: bạn sử dụng mật khẩu của mình và trở thành thành viên của một nền tảng, vì vậy mật khẩu của bạn được lưu trữ trên máy chủ của họ. Tuy nhiên, trên nền tảng không mật khẩu, không cần lưu trữ thông tin cá nhân cho mục đích xác thực vì nó thậm chí không được trao đổi ngay từ đầu. Điều này có nghĩa là nó cũng là một cơ chế bảo vệ nghiêm trọng chống lại các cuộc tấn công trung gian.
Và rất khó để đánh cắp dữ liệu sinh trắc học của người dùng cho mục đích xác minh, do tính chất phân tán của thông tin xác thực sinh trắc học, không được lưu trữ trong một tập dữ liệu đơn lẻ.
Tuy nhiên, trong các hệ thống không có mật khẩu, quá trình đặt lại quy trình xác thực và đăng ký lại trên nền tảng tỏ ra khó khăn hơn so với việc chỉ thay đổi mật khẩu của một người. Mặc dù nó gây khó chịu cho người dùng, nhưng nếu bạn nhìn nó từ góc độ bảo mật, thì những mặt tích cực nhiều hơn những mặt tiêu cực.
Rất nhiều nền tảng và công ty đã cung cấp xác thực không cần mật khẩu…
iOS và Android
Các thiết bị di động hiện đại cung cấp xác minh sinh trắc học như một phương pháp không cần mật khẩu, đặc biệt là trên cả nền tảng iOS và Android. Các thiết bị như iPhone (sử dụng Face ID) và điện thoại Android (ví dụ: dòng Samsung Galaxy) sử dụng công nghệ nhận dạng khuôn mặt để xác thực người dùng. Bằng cách này, khi bạn muốn mở khóa điện thoại, tất cả những gì bạn cần làm là nhìn vào nó; bạn không cần nhập bất kỳ mật khẩu hoặc mã nào.
Công nghệ xác minh khuôn mặt sinh trắc học phân tích khuôn mặt của người dùng, nhận dạng các tính năng độc đáo của nó và tăng tốc quá trình xác minh. Phương pháp này giúp loại bỏ các vấn đề như ghi nhớ hoặc đánh cắp mật khẩu, đồng thời cải thiện trải nghiệm người dùng và tăng tính bảo mật. Sử dụng xác thực sinh trắc học như một đặc điểm vật lý trên khuôn mặt của người dùng giúp ngăn chặn truy cập trái phép nếu thiết bị bị mất hoặc bị đánh cắp—đặc biệt hữu ích cho thiết bị di động.
Xin chào Microsoft Windows
Windows Hello của Microsoft là một tính năng xác thực tiên tiến giúp thay đổi cách người dùng đăng nhập vào thiết bị của họ bằng cách loại bỏ nhu cầu về mật khẩu. Bằng cách cung cấp hai loại xác thực, Windows Hello nâng cao mức độ bảo mật theo cấp số nhân.
Phương pháp đầu tiên liên quan đến mã PIN, được kết hợp với thiết bị của người dùng. Ngoài ra, Windows Hello cho phép người dùng chỉ dựa vào dữ liệu sinh trắc học của họ, như dấu vân tay hoặc nhận dạng khuôn mặt, để có trải nghiệm đăng nhập liền mạch và an toàn. Cách tiếp cận nhiều mặt này vượt qua các lỗ hổng liên quan đến xác thực dựa trên mật khẩu truyền thống.
Để định cấu hình Windows Hello và tận dụng các khả năng bảo mật nâng cao của nó, người dùng cần truy cập tùy chọn Đăng nhập trong menu Cài đặt. Bằng cách điều hướng đến Cài đặt > Tài khoản > Tùy chọn đăng nhập, bạn có thể dễ dàng tùy chỉnh và quản lý bảo mật Windows Hello của mình. Trong phần dành riêng này, người dùng có thể kích hoạt xác thực sinh trắc học, thiết lập mã PIN hoặc quản lý các thiết bị đáng tin cậy.
Bằng cách loại bỏ sự phụ thuộc vào mật khẩu và sử dụng các phương pháp xác thực nâng cao, Microsoft đặt mục tiêu thay đổi cách người dùng tương tác với thiết bị của họ: phương thức này an toàn và luôn quan tâm đến sự tiện lợi của người dùng cuối.
Nền tảng hỗ trợ FIDO2
Để xác thực không cần mật khẩu, Liên minh Nhận dạng Trực tuyến Nhanh (FIDO) cung cấp các tiêu chuẩn mở. Các nền tảng chấp nhận xác thực FIDO2, chẳng hạn như Google, Microsoft và Dropbox, hỗ trợ các khóa bảo mật vật lý (ví dụ: YubiKey, Khóa bảo mật Google Titan) kết nối với các thiết bị thông qua USB, NFC hoặc Bluetooth. Vì vậy, thay vì mật khẩu, bạn sử dụng một khóa thực. Điều này cũng phù hợp với xác thực hai yếu tố.
Nếu đang sử dụng các trình duyệt web như Google Chrome, Mozilla Firefox và Microsoft Edge, bạn có thể bật xác thực không cần mật khẩu dựa trên FIDO2 bằng các khóa bảo mật thích hợp. Bằng cách đó, bạn đang làm cho các trình duyệt web mà bạn sử dụng trở nên an toàn hơn.
Nền tảng không cần mật khẩu với xác thực mã QR
Một số ứng dụng điện thoại thông minh, đặc biệt là trong các dịch vụ tài chính, sử dụng xác thực mã QR. Người dùng có thể quét mã QR mà họ nhìn thấy trên trang đăng nhập để xác thực mà không cần nhập mật khẩu. Ví dụ, các ứng dụng như Alipay và WeChat Pay ở Trung Quốc sử dụng rộng rãi xác thực dựa trên mã QR.
Các phiên bản web của WhatsApp và Telegram, hai nền tảng mà rất nhiều người trong chúng ta sử dụng, cũng có xác thực mã QR.
Xác thực với phân tích hành vi
Một số hệ thống xác thực doanh nghiệp sử dụng các kỹ thuật phân tích hành vi để cung cấp xác thực không cần mật khẩu. Các hệ thống này phân tích các mẫu hành vi của người dùng như thao tác gõ phím, di chuyển chuột và cử chỉ chạm để xác thực người dùng mà không yêu cầu mật khẩu rõ ràng.
Suy nghĩ về hành vi bất thường. Giả sử bạn có một người bạn ghét ăn kem. Nếu một ngày nào đó bạn thấy bạn của mình ăn kem, bạn có thể nghĩ rằng có điều gì đó không ổn. Sau đó, từ góc độ an ninh mạng, khi một hệ thống nhận ra rằng người dùng đang làm những việc mà bình thường họ sẽ không bao giờ làm, thì hệ thống đó có thể dự đoán vấn đề và thực hiện các biện pháp phòng vệ. Điều này có thể có nghĩa là tạm ngưng tài khoản, xác định lại thông tin cá nhân hoặc yêu cầu người dùng liên hệ với cơ quan có thẩm quyền.
Tương lai của xác thực
Các giải pháp xác thực cho đến nay thường là một yếu tố và dựa trên tri thức. Các công ty cần sử dụng phương pháp xác thực mạnh hơn bằng cách bỏ qua mật khẩu. Tuy nhiên, bản thân xác thực không cần mật khẩu không phải là một mục tiêu; chúng tôi cần một tầm nhìn dài hạn để cải thiện tính bảo mật, quyền riêng tư, tính bền vững, khả năng mở rộng và tính toàn diện.
Tương lai của xác thực sẽ đi theo những con đường khác nhau—các phương pháp đổi mới như danh tính tự quản dựa trên chuỗi khối và mạng không tin cậy đang xuất hiện. Các doanh nghiệp nền tảng đã bắt tay vào hành trình bỏ lại mật khẩu…