Mật khẩu đã là một phần quan trọng của bảo mật trực tuyến kể từ thuở ban đầu của Internet và chúng vẫn là hình thức xác thực phổ biến nhất hiện nay. Tuy nhiên, với sự gia tăng của các cuộc tấn công mạng nhằm vào xác thực dựa trên mật khẩu và những vụ vi phạm dữ liệu nghiêm trọng, mật khẩu có vẻ như không còn là một giải pháp an toàn nữa.
Vì vậy, nếu mật khẩu đi kèm với những rủi ro bảo mật nghiêm trọng, chúng ta có thể nói lời tạm biệt với chúng và thay vào đó sử dụng đăng nhập không cần mật khẩu không?
Vấn đề với việc sử dụng mật khẩu là gì?
Mặc dù mật khẩu khá đơn giản để sử dụng và hoạt động tốt với các phương pháp xác thực khác, nhưng chúng không an toàn như chúng ta mong muốn. Và lỗi chủ yếu là do chúng ta.
Hầu hết các mật khẩu dễ nhớ đều không mạnh và hầu hết các mật khẩu mạnh đều không dễ nhớ. Để giải quyết vấn đề nan giải này, chúng ta có thể nghĩ ra một hoặc hai mật khẩu gần như không thể bẻ khóa và sử dụng chúng trên tất cả các tài khoản trực tuyến và thiết bị khác nhau của mình. Rắc rối với điều này là, nếu một trong các mật khẩu của bạn lọt vào tay kẻ xấu, tất cả những ứng dụng và dịch vụ dùng chung mật khẩu đó cũng có thể bị xâm phạm.
Theo một nghiên cứu của Verizon, hơn 80% các vụ vi phạm dữ liệu liên quan đến hack là do mật khẩu kém hoặc bị đánh cắp (trung bình là 4 trong số 5 vụ vi phạm trên toàn thế giới). Việc nhiều người không thay đổi mật khẩu mặc định ngay lập tức (hoặc hoàn toàn không thay đổi) cũng chẳng ích gì và những mật khẩu này đôi khi được phát tán qua các diễn đàn hacker.
Trong khi đó, các công cụ bẻ khóa mật khẩu đang làm tốt hơn trong việc đoán mật khẩu, điều đó có nghĩa là việc một mật khẩu “không thể bẻ khóa” sẽ được phá giải chỉ còn là vấn đề thời gian. Ngoài ra, mật khẩu đang bị đánh cắp thông qua các cuộc tấn công Social Engineering và những mật khẩu này ngày càng tinh vi hơn nhờ trí tuệ nhân tạo (AI) - ngay cả ChatGPT cũng bị phát hiện viết phần mềm độc hại.
Ngoài ra, mật khẩu đôi khi được gửi qua các mạng không bảo mật, điều này khiến tội phạm mạng đánh cắp chúng dễ như ăn bánh. Nếu bạn đã từng sử dụng WiFi trong quán cà phê yêu thích của mình, thì có lẽ bạn đã phạm phải lỗi bảo mật này.
Vì vậy, nếu mật khẩu không thể đảm bảo an toàn nữa, các lựa chọn thay thế tốt nhất cho nó là gì?
Những lựa chọn thay thế mật khẩu tốt nhất là gì?
Vì mật khẩu tĩnh và hệ thống xác thực bằng một mật khẩu có thể gây ra các sự cố bảo mật nghiêm trọng, nên chúng ta có thể thay thế chúng bằng những giải pháp an toàn hơn và thôi phải lo lắng mỗi khi trực tuyến. Nhưng lựa chọn thay thế nào là tốt nhất cho mục đích bảo mật?
1. Sinh trắc học
Trong bối cảnh an ninh mạng, sinh trắc học hoặc xác thực sinh trắc học là một phương pháp bảo mật kiểm tra các đặc điểm sinh học duy nhất của một người để xác nhận danh tính của người đó, như dấu vân tay, quét võng mạc, xác minh giọng nói hay nhận dạng khuôn mặt.
Ngược lại, vì mật khẩu an toàn là sự kết hợp của chữ hoa và chữ thường, số và ký hiệu - tóm lại là khó nhớ - nên bạn dễ dàng quên mất những mật khẩu này. Xác thực sinh trắc học an toàn do sử dụng những đặc điểm chỉ riêng bạn có (tức là khuôn mặt, giọng nói hoặc dấu vân tay của bạn) và bạn sẽ không bao giờ quên điều đó.
Mặc dù tội phạm mạng có thể sử dụng bản sao khuôn mặt, giọng nói hoặc dấu vân tay của bạn trong một cuộc tấn công giả mạo, nhưng việc sử dụng các công cụ bảo mật thông minh và tăng thêm những phương thức xác thực bổ sung có thể giảm thiểu đáng kể rủi ro này. Sử dụng sinh trắc học cũng làm giảm nguy cơ thực hiện phishing và các loại tấn công Social Engineering khác.
Tuy nhiên, mặc dù sinh trắc học an toàn và thân thiện với người dùng hơn mật khẩu, nhưng chúng cũng có một số nhược điểm. Cụ thể, xác thực sinh trắc học yêu cầu phần cứng và phần mềm chuyên dụng, điều này có thể khiến phương pháp này trở nên tốn kém. Ngoài ra, dữ liệu sinh trắc học khá riêng tư, vì vậy một số người có thể cảm thấy không thoải mái khi sử dụng dữ liệu này để xác thực.
2. Xác thực đa yếu tố
Như tên gọi gợi ý, xác thực đa yếu tố (viết tắt là MFA) là một phương thức xác thực yêu cầu hai hoặc nhiều yếu tố xác minh trước khi cho phép truy cập vào một ứng dụng hoặc dịch vụ trực tuyến.
Vì vậy, thay vì hài lòng với tên người dùng và mật khẩu tĩnh, MFA yêu cầu các yếu tố xác minh bổ sung như mật khẩu dùng một lần, vị trí địa lý hoặc quét dấu vân tay. Bằng cách đảm bảo rằng thông tin đăng nhập của người dùng không bị đánh cắp, MFA giúp giảm khả năng xảy ra gian lận hoặc đánh cắp danh tính thành công.
Mặc dù MFA an toàn hơn so với chỉ sử dụng mật khẩu tĩnh, nhưng nó cũng kém tiện lợi hơn vì người dùng phải thực hiện nhiều bước. Ví dụ, nếu bạn mất thiết bị đang sử dụng để xác thực lần thứ hai, bạn có thể bị khóa khỏi tất cả các tài khoản trực tuyến sử dụng MFA.
3. Mật khẩu dùng một lần
Còn được gọi là mật khẩu động, mã PIN một lần và mã ủy quyền một lần (OTAC), mật khẩu một lần (OTP) là mật khẩu chỉ có thể được sử dụng cho một phiên đăng nhập. Vì vậy, như tên cho thấy, tổ hợp các ký tự này chỉ có thể được sử dụng một lần, điều này giúp nó tránh được một số sai sót của mật khẩu tĩnh.
Mặc dù tên đăng nhập của người dùng vẫn giữ nguyên nhưng mật khẩu sẽ thay đổi với mỗi lần đăng nhập mới. Vì vậy, vì OTP không thể được sử dụng lần thứ hai nên việc đánh cắp nó không có ý nghĩa gì đối với tội phạm mạng, khiến một số kiểu đánh cắp danh tính không hiệu quả.
Ba loại OTP phổ biến nhất là xác thực SMS, email và liên kết email (còn gọi là magic link) và tất cả chúng đều cung cấp thông tin đăng nhập đơn giản và an toàn cho người dùng. Vì không có mật khẩu tĩnh nên không có nguy cơ người dùng không nhớ hoặc đánh mất chúng.
Tuy nhiên, OTP cũng có một vài nhược điểm và chúng liên quan đến sự phụ thuộc vào nhà cung cấp dịch vụ - bạn sẽ không nhận được OTP hoặc magic link nếu nhà cung cấp email hoặc SMS không gửi cho bạn. Ngay cả việc gửi email cũng có thể bị trì hoãn do tốc độ kết nối Internet chậm hoặc các yếu tố tương tự.
4. Đăng nhập mạng xã hội
Đăng nhập mạng xã hội là một quy trình cho phép người dùng đăng nhập vào các ứng dụng và nền tảng trực tuyến bằng cách sử dụng thông tin từ những trang mạng xã hội (chẳng hạn như Facebook, Twitter và LinkedIn) mà họ hiện đang sử dụng. Hình thức đăng nhập đơn giản và siêu nhanh này là một sự thay thế thuận tiện cho việc tạo tài khoản tiêu chuẩn, tốn thời gian.
Tuy nhiên, các vi phạm và rò rỉ đã khiến nhiều người dùng không tin tưởng vào đăng nhập mạng xã hội về mặt bảo mật. Vì các công ty tiếp tục thu thập dữ liệu người dùng, mối lo ngại về quyền riêng tư với đăng nhập mạng xã hội tiếp tục tăng lên.
5. Xác thực khóa bảo mật
Để đảm bảo đúng người dùng có quyền truy cập vào đúng dữ liệu, loại MFA này sẽ bảo mật mật khẩu của bạn bằng cách thêm khóa bảo mật, một thiết bị vật lý được cắm vào máy tính của bạn (qua cổng USB hoặc kết nối Bluetooth) mỗi khi bạn đăng nhập vào một dịch vụ mà nó bảo vệ.
Khóa bảo mật đôi khi bị nhầm lẫn với token bảo mật, đây cũng là thiết bị vật lý nhưng là thiết bị tạo mã số gồm 6 chữ số khi được MFA nhắc. Mặc dù có một mục đích, nhưng chúng không giống nhau.
Mặc dù các khóa bảo mật có thể chống lại các cuộc tấn công dựa trên mật khẩu, nhưng chúng vẫn là một tay chơi tương đối mới trong cuộc chiến an ninh mạng. Ngoài ra, nếu khóa bảo mật của bạn bị đánh cắp hoặc bị mất thì đây sẽ trở thành một vấn đề nghiêm trọng.