8 phút để đọc
Marketing Executive @CyStack
Ngày nay, bảo mật chỉ với mật khẩu đã không còn đủ an toàn. Tình trạng đánh cắp thông tin xác thực và lạm dụng mật khẩu đang ngày càng gia tăng. Theo thống kê, 81% các cuộc tấn công vi phạm dữ liệu có liên quan đến mật khẩu yếu hoặc bị đánh cắp. Do đó, các tổ chức và người dùng cá nhân đang hướng tới một công nghệ xác thực khác mạnh hơn – phương thức xác thực không mật khẩu, để giải quyết những khiếm khuyết của mật khẩu, cũng như bảo vệ quyền truy cập vào dữ liệu, hệ thống và mạng.
Vậy xác thực không mật khẩu là gì? Và phương thức này có ưu, nhược điểm như thế nào? Hãy cùng Locker tìm hiểu trong nội dung dưới đây!
Xác thực không mật khẩu là gì?
Xác thực không mật khẩu hay Passwordless Authentication là một phương thức xác thực cho phép người dùng truy cập vào một dịch vụ, ứng dụng, hệ thống công nghệ thông tin mà không cần nhập mật khẩu hoặc trả lời các câu hỏi bảo mật. Xác thực không mật khẩu được xem là một giải pháp xác thực an toàn nhất hiện nay. Giúp tăng cường bảo mật, cải thiện trải nghiệm người dùng, cũng như giảm thiểu sự phức tạp, khó khăn trong việc quản lý mật khẩu và chi phí vận hành hệ thống CNTT.
Theo một báo cáo của Microsoft, tính đến tháng 5/2020, số lượng người dùng sử dụng xác thực không mật khẩu khi đăng nhập mỗi tháng đạt hơn 150 triệu người.
Và theo ước tính của Gartner, đến năm 2022, 90% doanh nghiệp quy mô vừa và 60% doanh nghiệp lớn trên toàn cầu sẽ chuyển sang phương thức xác thực không mật khẩu.
Cách thức hoạt động của xác thực không mật khẩu
Không giống như MFA (liên quan đến các yếu tố sở hữu và kiến thức), xác thực không mật khẩu dựa trên các tiêu chuẩn của FIDO, liên kết Private key (khóa cá nhân) của người dùng với Public key (khóa công khai). Cặp khoá này được tạo ra khi người dùng đăng ký tài khoản.
Private Key sẽ được tạo ra và lưu trữ trực tiếp ngay trên thiết bị đăng ký của người dùng. Không ai có thể can thiệp để đọc hay truy xuất được thông tin này ra ngoài. Private key được bảo vệ và chỉ có thể truy xuất cùng một số yếu tố xác thực bổ sung như mã PIN, vân tay, khuôn mặt hay nhận dạng giọng nói,…
Còn Public key được cung cấp đến các website, ứng dụng, trình duyệt hoặc các hệ thống trực tuyến mà người dùng muốn tạo tài khoản, để đăng nhập không mật khẩu thay vì sử dụng tên đăng nhập và mật khẩu truyền thống.
Khi người dùng đăng nhập vào một hệ thống cung cấp dịch vụ trực tuyến, việc xác thực sẽ được thực hiện bằng cách người dùng sử dụng thiết bị lưu trữ Private key để ký vào các chuỗi yêu cầu từ hệ thống đó. Khi thử thách xác thực được ký bởi Private key trùng khớp với Public key, người dùng sẽ được truy cập vào tài khoản tức thì.
Các phương pháp xác thực không mật khẩu
Xác thực không mật khẩu là xác minh danh tính của một người thông qua các tùy chọn an toàn và bảo mật hơn mật khẩu hay bất kỳ thông ghi nhớ nào khác. Người dùng có thể sử dụng một số phương pháp xác thực dưới đây:
- Xác thực sinh trắc học: Đây là tính năng sử dụng các đặc điểm độc nhất của cơ thể để xác minh người dùng mà không yêu cầu mật khẩu, như nhận dạng vân tay hay khuôn mặt,…
- Mật khẩu dùng một lần (OTP): Phương pháp này yêu cầu người dùng phải nhập một mật mã đã được gửi đến email hoặc tin nhắn SMS. Mã sẽ được gửi mỗi khi người dùng đăng nhập và có hiệu lực trong thời gian nhất định.
- Liên kết ma thuật (Magic link): Với phương pháp này người dùng sẽ nhận được một liên kết trong email của họ và chỉ cần nhấp vào là có thể đăng nhập vào tài khoản. Liên kết này sẽ hết hạn trong một khoảng thời gian nhất định và người dùng sẽ nhận được một liên kết mới mỗi khi họ cần đăng nhập.
- Thông báo đẩy (Push notification): Người dùng sẽ nhận được các thông báo đẩy qua ứng dụng riêng của dịch vụ hay xác thực chuyên dụng trên thiết bị di động. Theo đó, nhà cung cấp dịch vụ sẽ gửi thông báo cho người dùng qua các kênh liên lạc an toàn nhất. Sau khi người dùng trả lời xác thực bằng cách thực hiện một hành động với thông bảo đẩy để xác minh danh tính thì có thể truy cập vào tài khoản. Một số ứng dụng xác thực chuyên dụng trên thiết bị di động có thể kể đến: Rapid Identity, ESET Secure Authentication,…
- Đăng nhập một lần (Single-Sign-On): Là phương thức đăng nhập cho phép người dùng truy cập vào tất cả tài khoản của họ mà không cần tạo hay ghi nhớ các mật khẩu phức tạp.
Ưu điểm và nhược điểm của xác thực không mật khẩu
Ưu điểm
Những cuộc tấn công mạng liên tiếp trong hơn một thập kỷ qua đã chỉ ra rằng mật khẩu và tên đăng nhập đã không còn đủ bảo mật. Báo cáo điều tra về lộ lọt dữ liệu của Verizon vào năm 2019 đã chỉ ra rằng, hơn 80% các vụ tấn công vi phạm dữ liệu xuất phát từ việc thông tin tài khoản bị đánh cắp. Do đó, việc sử dụng xác thực không mật khẩu sẽ trở thành xu thế trong tương lai khi mang đến nhiều ưu điểm như:
- Đơn giản và thuận tiện cho người dùng: Xác thực không mật khẩu giúp người dùng giải quyết bài toán nan giải về ghi nhớ mật khẩu, đăng nhập dễ dàng và thuận tiện hơn. Đồng thời, giảm thiểu các nguy cơ về an ninh mạng trong việc quản lý và sử dụng mật khẩu.
- Ngăn chặn tấn công giả mạo Phishing: Sử dụng tên đăng nhập và mật khẩu để truy cập vào các ứng dụng, website có thể khiến người dùng bị tấn công Phishing và bị lừa cung cấp các thông tin đăng nhập bằng cách kích vào đường dẫn, tệp đính kèm mã độc trong Email,… Với xác thực không mật khẩu, không có thông tin đăng nhập để tin tặc lừa đảo và đánh cắp.
- Ngăn chặn tấn công Keylogger: Bằng phương pháp Keylogger, hacker có thể thu thập thông tin đăng nhập của người dùng thông qua những gì mà họ trên thiết bị, máy tính của họ. Với xác thực không mật khẩu, người dùng không cần phải nhập thông tin tài khoản để đăng nhập, do đó hacker không thể thu nhập dữ liệu bằng hình thức tấn công này.
- Ngăn chặn các cuộc tấn công dò quét mật khẩu: Đây là hình thức tấn công sử dụng các phần mềm, chương trình với cơ sở dữ liệu dạng từ điển mật khẩu để dò quét, khai thác những mật khẩu yếu, mật khẩu mặc định của thiết bị, như admin, 123456,…
- Ngăn chặn tấn công nghe lén trên môi trường mạng (Network sniffing attacks): Mật khẩu có thể bị hacker dễ dàng đánh cắp bằng cách chặn và phân tích lưu lượng mạng dưới dạng không mã hoá hoặc lưu lượng mạng được mã hoá nhưng không đủ mạnh, có thể bị hacker bẻ gãy. Xác thực không mật khẩu giúp loại trừ rủi ro liên quan đến tấn công nghe lén trên môi trường mạng, do mật khẩu không được truyền trên môi trường mạng.
- Ngăn chặn tấn công sử dụng lại thông tin xác thực (Credential stuffing attacks): Nhiều người có thói quen sử dụng cùng một mật khẩu cho nhiều tài khoản. Do đó, hacker có thể sử dụng mật khẩu đã đánh cắp để đăng nhập vào các tài khoản khác của người dùng. Nhưng với xác thực không mật khẩu, không sử dụng mật khẩu nên hacker không thể đánh cắp và sử dụng lại.
- Giảm công việc cho đội ngũ IT Helpdesk/Support: Với việc sử dụng mật khẩu, người dùng thường hay quên hoặc nhập sai mật khẩu nhiều lần, dẫn đến tình trạng khóa tài khoản. Theo thống kê, khoảng 30% – 50% các yêu cầu hỗ trợ liên quan đến mở khoá tài khoản và khôi phục mật khẩu dẫn đến mất thời gian và giảm hiệu năng làm việc của đội ngũ IT.
- Củng cố tình trạng an toàn mạng với các doanh nghiệp: Các doanh nghiệp chịu thiệt hại trung bình 3.92 triệu USD do các vi phạm dữ liệu. Nếu tội phạm mạng có quyền truy cập vào mật khẩu, điều này đồng nghĩa với việc chúng có quyền truy cập vào dữ liệu quan trọng, bí mật của công ty. Thậm chí, có thể lấy được dữ liệu của nhân viên và thay đổi dữ liệu đó. Tuy nhiên, với xác thực không mật khẩu, các công ty không cần phải lo ngại về việc đánh cắp dữ liệu hoặc danh tính. Bởi mã token cứng chỉ cấp quyền truy cập cho những dùng có đặc quyền.
Nhược điểm
Tuy nhiên, xác thực không mật khẩu cũng có những hạn chế, rủi ro nhất định. Do phương pháp này vẫn còn chưa quen thuộc với nhiều người, nên người dùng có thể gặp phải một số vấn đề khi sử dụng như gặp trục trặc khi muốn đăng nhập bằng một thiết bị khác. Hoặc nếu người dùng làm mất thiết bị đã xác thực, việc khắc phục sự cố và lấy lại tài khoản có thể sẽ cần một thời gian.
Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra rằng, OTP cũng có thể thất bại trong 80% trường hợp, do những chương trình đã chặn lấy mã trước khi người dùng hợp pháp nhận được. Ngoài ra, mặc dù khả năng rất thấp nhưng kẻ xấu cũng có thể giả mạo thông tin sinh trắc bằng các phương pháp như mặt nạ 3D hay Play-Doh,…
Nói tóm lại, mặc dù mang đến nhiều lợi ích vượt trội nhưng xác thực không mật khẩu cũng tồn tại những rủi ro như các phương pháp xác thực thông thường khác. Chính vì vậy, người dùng vần cần phải chủ động trong việc bảo vệ tài khoản và thông tin dữ liệu của mình, cũng như lựa chọn những phương pháp bảo mật an toàn nhất để sử dụng.
Như vậy, chúng ta đã cùng tìm hiểu phương pháp xác thực không mật khẩu là gì, một số hình thức xác thực không mật khẩu và những ưu, nhược điểm của phương thức này. Hy vọng những thông tin trên sẽ giúp ích cho bạn trong việc lựa chọn một phương pháp bảo an toàn và phù hợp với bản thân.