Ngày 5/5, các ông lớn công nghệ gồm Apple, Google và Microsoft ra thông báo chung, cam kết hỗ trợ tính năng đăng nhập không cần mật khẩu với tất cả các thiết bị di động, máy tính và nền tảng trình duyệt tích hợp trong sản phẩm của mình.
Công nghệ mới sẽ được trang bị trên Android và iOS, các trình duyệt Chrome, Edge và Safari cũng như các thiết bị máy bàn chạy hệ điều hành Windows và macOS.
Tính năng xuyên nền tảng này được hỗ trợ bởi tiêu chuẩn có tên FIDO, sử dụng nguyên lý dựa trên các khoá mã hoá công khai để xác thực không cần mật khẩu và xác thực đa yếu tố trong nhiều ngữ cảnh khác nhau.
Điện thoại người dùng có thể chứa một mã khoá FIDO duy nhất và chia sẻ mã đó với một trang web để xác thực chỉ khi điện thoại được mở khoá. Theo Google, mã khoá này có thể dễ dàng được đồng bộ sang một thiết bị mới thông qua sao lưu đám mây trong trường hợp điện thoại bị mất.
“Bên cạnh việc thiết kế các sản phẩm trở nên trực quan và hiệu quả, chúng tôi cũng hướng tới khả năng riêng tư và an toàn của sản phẩm”, Kurt Knight, Giám đốc cấp cao quản lý nền tảng tiếp thị tại Apple cho biết. “Phối hợp với các công ty trong ngành xây dựng các phương pháp đăng nhập mới, cung cấp bảo mật tối đa và trải nghiệm người dùng minh bạch là trọng tâm cam kết của chúng tôi nhằm đảm bảo thông tin người dùng được an toàn”.
Quy trình đăng nhập không mật khẩu cho phép người dùng chọn điện thoại của họ làm thiết bị xác thực chính cho các ứng dụng, website cũng như những dịch vụ kỹ thuật số khác.
Thao tác mở khóa điện thoại mặc định, như nhập mã PIN, vẽ hình hay sử dụng vân tay là đủ để đăng nhập sử dụng các dịch vụ web mà không nhất thiết phải gõ mật khẩu. Công nghệ này hoạt động thông qua sử dụng mã hoá thông báo duy nhất, còn gọi là mã khoá (pass key) được chia sẻ giữa điện thoại và trang web.
Đơn giản hơn nhưng an toàn hơn
Ý tưởng thực hiện đăng nhập ngay trên thiết bị vật lý cho phép người dùng được hưởng lợi từ sự đơn giản nhưng vẫn đảm bảo an toàn. Nếu không cần mật khẩu, người dùng không bắt buộc phải nhớ các chi tiết đăng nhập hoặc rủi ro khi sử dụng cùng mật khẩu với nhiều nền tảng khác nhau.
Tương tự, hệ thống không mật khẩu sẽ khiến tin tặc khó xâm nhập từ xa do phải có quyền truy cập vào thiết bị vật lý. Về mặt lý thuyết, các cuộc tấn công lừa đảo hướng người dùng tới một website giả mạo yêu cầu mật khẩu sẽ khó có thể thực hiện.
Vasu Jakkal, Phó chủ tịch Microsoft về bảo mật, tuân thủ, danh tính và quyền riêng tư nhấn mạnh mức độ tương thích giữa các nền tảng. “Với các mã khoá trên thiết bị di động của người dùng, họ có thể đăng nhập vào ứng dụng hay dịch vụ trên hầu hết mọi thiết bị bất kể máy đang chạy hệ điều hành hay trình duyệt nào”, Jakkal cho biết. “Ví dụ, người dùng có thể đăng nhập vào trình duyệt Google Chrome đang chạy trên Microsoft Windows bằng cách sử dụng mã khoá trên thiết bị của Apple”.
Mặc dù nhiều ứng dụng phổ biến đã hỗ trợ công nghệ xác thực này, nhưng trước đó người dùng vẫn buộc phải đăng nhập bằng mật khẩu (đăng nhập lần đầu) để tuỳ chỉnh FIDO, khiến họ vẫn có thể trở thành nạn nhân của các cuộc tấn công lừa đảo khi mật khẩu có thể bị can thiệp hay đánh cắp trong quá trình này.
Theo Sampath Srinivas, Giám đốc quản lý sản phẩm về xác thực an toàn tại Google và chủ tịch của FIDO Alliance, các quy trình mới sẽ loại bỏ yêu cầu ban đầu về mật khẩu.
“Nỗ lực mở rộng hỗ trợ FIDO được công bố hôm nay sẽ giúp các trang web, lần đầu tiên có thể triển khai trải nghiệm không dùng mật khẩu đầu cuối với khả năng bảo mật chống lừa đảo trực tuyến”, Srinivas nói. “Điều này bao gồm cả đăng nhập lần đầu vào trang web cũng như các lần sau đó. Khi việc hỗ trợ mã khoá trở nên phổ biến trong năm 2022 và 2023, chúng ta cuối cùng cũng sẽ có nền tảng Internet cho một tương lai thực sự không dùng mật khẩu”.
Mặc dù không đưa ra lộ trình cụ thể, Apple, Google và Microsoft đều nói rằng họ hi vọng công nghệ đăng nhập mới sẽ phổ biến trên tất cả các nền tảng vào năm sau.
Vinh Ngô (Theo TheVerge)