Trong thế giới số ngày nay, việc ghi nhớ hàng chục mật khẩu trở thành gánh nặng với rất nhiều người. Để giải quyết vấn đề này, các công ty công nghệ như: Apple, Google, Microsoft,… đã tạo ra Passkey - một phương thức xác thực tài khoản cá nhân bằng vân tay, khuôn mặt hoặc mã PIN thay cho việc nhập mật khẩu. Với lời hứa về bảo mật cao và trải nghiệm liền mạch, Passkeys được kỳ vọng thay thế mật khẩu truyền thống. Nhưng liệu sự tiện lợi đó có thực sự giải phóng người dùng hay chỉ khiến chúng ta ngày càng lệ thuộc vào các hệ sinh thái công nghệ khép kín?
Passkey là một cách đăng nhập mới giúp bạn không cần phải nhớ hoặc nhập mật khẩu. Nguồn: OnePlus Community.
Trang FIDO Alliance mô tả Passkey sử dụng một cặp khóa bảo mật, gồm một khóa công khai và một khóa riêng tư. Khóa công khai sẽ được lưu trên máy chủ của dịch vụ (ví dụ như Google, Apple,…). Còn khóa riêng tư sẽ chỉ có trên thiết bị của người dùng (smartphone, máy tính,…).
Passkey là gì?
Theo thông tin mình tìm hiểu từ trang FIDO Alliance (một tổ chức công nghiệp mở được thành lập với mục tiêu thay thế mật khẩu bằng các phương pháp xác thực an toàn và dễ sử dụng hơn), Passkes là một cách đăng nhập mới giúp người dùng không cần phải nhớ mật khẩu để nhập thủ công. Thay vào đó, bạn có thể dùng vân tay, nhận diện khuôn mặt (Face ID) hoặc mã PIN để đăng nhập.
Passkey là một cách đăng nhập mới giúp bạn không cần phải nhớ hoặc nhập mật khẩu. Nguồn: OnePlus Community.
Trang FIDO Alliance mô tả Passkey sử dụng một cặp khóa bảo mật, gồm một khóa công khai và một khóa riêng tư. Khóa công khai sẽ được lưu trên máy chủ của dịch vụ (ví dụ như Google, Apple,…). Còn khóa riêng tư sẽ chỉ có trên thiết bị của người dùng (smartphone, máy tính,…).
Passkey sử dụng một cặp khóa bảo mật gồm một khóa công khai và một khóa riêng tư (ảnh minh họa). Nguồn: Stytch.
Khi bạn đăng nhập, thiết bị sẽ dùng khóa riêng tư để xác nhận danh tính của bạn bằng cách "ký" một đoạn dữ liệu do máy chủ gửi đến. Nếu chữ ký này trùng khớp với khóa công khai, bạn được cấp quyền truy cập mà không cần gửi bất kỳ thông tin nhạy cảm nào qua mạng. Điều này giúp giảm thiểu nguy cơ người dùng bị kẻ gian tấn công như lừa đảo (phishing), nghe lén (man-in-the-middle) hay dò mật khẩu.
Ví dụ khi bạn đang đăng nhập Gmail trên máy tính mới, Google sẽ gửi thông báo đến điện thoại và người dùng chỉ cần xác nhận bằng vân tay hoặc Face ID thay vì nhập mật khẩu. Trong trường hợp bạn dùng iCloud trên iPhone, Apple sẽ cho bạn dùng Face ID để xác thực tài khoản ngay lập tức mà không cần nhập mật khẩu hay mã xác minh qua tin nhắn SMS.
Passkey giúp giảm thiểu nguy cơ bị tấn công như lừa đảo, nghe lén hay dò mật khẩu (ảnh minh họa). Nguồn: Cloudbrothers.
So với các giải pháp xác thực hai bước truyền thống (gửi mã OTP qua tin nhắn SMS hoặc email), Passkey nhanh hơn, tiện hơn và an toàn hơn.
Ưu và nhược điểm của Passkey
Ưu điểm
Passkey nổi lên như một giải pháp đăng nhập tài khoản hiện đại, đơn giản và an toàn hơn so với việc sử dụng mật khẩu truyền thống. Về bảo mật, Passkey sử dụng cặp khóa, trong đó khóa riêng (private key) luôn được lưu trữ cục bộ trên thiết bị của người dùng và không bao giờ gửi lên máy chủ. Điều này hạn chế đáng kể nguy cơ rò rỉ dữ liệu từ phía nhà cung cấp dịch vụ. Không những vậy, Passkey cũng loại bỏ nguy cơ tấn công lừa đảo (phishing) bởi người dùng không cần nhập bất kỳ thông tin nào mà kẻ gian có thể đánh cắp.
Quảng cáo
Passkey giúp loại bỏ nguy cơ tấn công lừa đảo, bởi người dùng không cần nhập bất kỳ thông tin nào (ảnh minh họa). Nguồn: Rajamanickam Antonimuthu.
Xét về trải nghiệm người dùng, Passkey mang lại sự tiện lợi rõ rệt khi chỉ với một lần quét vân tay, nhận diện khuôn mặt hoặc nhập mã PIN, người dùng có thể đăng nhập nhanh chóng mà không cần nhớ hay nhập chuỗi ký tự phức tạp. Điều này không chỉ giúp giảm sự phụ thuộc vào trình quản lý mật khẩu mà còn đặc biệt hữu ích với những người dùng không nhớ mật khẩu cá nhân.
Nhược điểm
Thực tế, nhiều website và ứng dụng hiện vẫn chưa hỗ trợ tiêu chuẩn xác thực này. Bên cạnh đó, những thiết bị cũ không có cảm biến sinh trắc học sẽ gặp khó khăn khi sử dụng Passkey. Rõ ràng Passkey vẫn chưa phải là giải pháp hoàn hảo cho tất cả.
Khi người dùng mất thiết bị và không có bản sao lưu khóa trên đám mây, họ có thể mất hoàn toàn quyền truy cập vào các tài khoản. Việc chuyển đổi Passkey giữa các thiết bị hoặc nền tảng khác nhau cũng chưa thực sự đơn giản, đặc biệt với người không rành công nghệ.
Quảng cáo
Passkey vẫn tồn tại một số vấn đề trong quá trình hoạt động (ảnh minh họa). Nguồn: Authgear.
Toàn bộ thông tin xác thực được gắn chặt với một thiết bị và một tài khoản nền tảng (Apple ID, Google Account,…). Không thể phủ nhận rằng với những người thường xuyên quên mật khẩu hoặc quản lý nhiều tài khoản, Passkey là một giải pháp hiệu quả. Nếu thiết bị thất lạc, bị đánh cắp hoặc bị xâm nhập, người dùng không chỉ mất một mật khẩu mà còn mất toàn bộ danh tính số.
Việc toàn bộ thông tin xác thực được gắn chặt với một thiết bị và một tài khoản nền tảng cũng gia tăng rủi ro mất toàn bộ thông tin nhạy cảm của người dùng (ảnh minh họa). Nguồn: Tom's Guide.
Nếu người dùng có khả năng ghi nhớ tốt thì Passkey lại không thật sự cần thiết. Dù vậy, các phương pháp truyền thống này lại tiềm ẩn nguy cơ thất lạc, quên hoặc không đủ an toàn nếu không có lớp mã hóa và bảo vệ kỹ lưỡng. Cuối cùng, lựa chọn nào phù hợp còn tùy vào thói quen cá nhân và mức độ kiểm soát mà người dùng mong muốn.
Liệu Passkey là một lớp rào mới của “độc quyền hệ sinh thái”?
Dù Passkey được quảng bá là một chuẩn mở dựa trên FIDO2 và WebAuthn, việc triển khai Passkeys lại chủ yếu nằm trong tay các công ty công nghệ lớn: Apple, Google, Microsoft,… Mỗi nền tảng lại xây dựng cơ chế lưu trữ, đồng bộ và xác thực riêng biệt.
Việc triển khai Passkeys chủ yếu nằm trong tay các ông lớn công nghệ như: Apple, Google và Microsoft (ảnh minh họa). Nguồn: Tom's Guide.
Apple
Ví dụ, Apple lưu trữ Passkeys trong iCloud Keychain, trình quản lý mật khẩu tích hợp sẵn trên các thiết bị Apple và gắn liền với tài khoản Apple ID. Điều này cho phép người dùng đăng nhập nhanh chóng trên iPhone, iPad hoặc Mac mà không cần nhập mật khẩu. Tuy nhiên, nếu bạn chuyển sang thiết bị Android hoặc hệ điều hành khác, việc mang theo Passkeys không đơn giản. Apple hiện không hỗ trợ công cụ xuất hoặc đồng bộ Passkey sang nền tảng bên ngoài. Nếu bạn không sao lưu hoặc chuyển thủ công trước khi rời hệ sinh thái Apple, bạn sẽ mất quyền truy cập vào các tài khoản đã sử dụng phương thức xác thực này.
Theo chia sẻ từ trang Wired, tình trạng thiếu khả năng chuyển đổi này khiến Passkeys, dù là một chuẩn mở vẫn bị giới hạn tính di động do các ràng buộc hệ sinh thái mà Apple áp đặt.
Apple lưu trữ Passkeys trong iCloud Keychain nhưng nếu bạn chuyển sang hệ điều hành khác, việc mang theo Passkeys không đơn giản (ảnh minh họa). Nguồn: Medium.
Trang Techradar cho biết Google sử dụng Google Password Manager để lưu trữ và đồng bộ hóa Passkey thông qua tài khoản Google, tích hợp sâu trong hệ điều hành Android và trình duyệt Chrome. Điều này cho phép người dùng đăng nhập nhanh chóng vào các dịch vụ bằng vân tay hoặc mã PIN. Tuy nhiên, nếu bạn chuyển sang sử dụng các thiết bị thuộc hệ sinh thái Apple thì bạn cần cài đặt ứng dụng Google Password Manager hoặc dùng trình duyệt Chrome để truy cập các Passkey đã lưu.
Quy trình chuyển đổi giữa các nền tảng vẫn chưa được Google đơn giản hóa hoàn toàn, khiến trải nghiệm bị gián đoạn với người không rành công nghệ. Muốn dùng trên iPhone, bạn phải cài thêm ứng dụng phụ và quy trình không thân thiện với người dùng không chuyên.
Google sử dụng Google Password Manager để lưu trữ và đồng bộ hóa Passkey thông qua tài khoản Google. Nguồn: PCMag Australia.
Microsoft
Đối với Microsoft, trang Lifewire chia sẻ rằng nhà sản xuất này triển khai Passkey thông qua Windows Hello và ứng dụng Microsoft Authenticator. Khi bạn sử dụng Passkey với tài khoản Microsoft, thông tin xác thực được liên kết chặt chẽ với thiết bị và tài khoản Windows của bạn. Trong thực tế, nếu bạn chuyển sang hệ điều hành khác như macOS hoặc Android mà không có các công cụ hỗ trợ tương ứng, việc sử dụng lại các Passkey cũ gần như là không thể. Người dùng buộc phải thiết lập lại hoặc sử dụng phương thức xác thực khác, làm gián đoạn trải nghiệm đăng nhập liên tục và gia tăng rào cản khi người dùng muốn rời bỏ hệ sinh thái Windows.
Microsoft cũng triển khai passkeys thông qua Windows Hello và ứng dụng Microsoft Authenticator. Nguồn: Tom's Hardware.
“Độc quyền hệ sinh thái”?
Theo bài viết từ Lifewire, việc đồng bộ Passkeys đang trở thành công cụ để các hãng "khóa chặt" người dùng trong hệ sinh thái của mình thay vì thực sự tạo điều kiện cho tính di động của danh tính số. Trên diễn đàn Redit của tài khoản r/privacy, nhiều người dùng cũng lo ngại rằng Passkeys đang bị lợi dụng như một hình thức “vendor lock-in” khi quyền truy cập của người dùng gắn hoàn toàn với nhà cung cấp nền tảng.
Bên cạnh đó, nếu bạn làm mất điện thoại thiết bị chứa tất cả Passkey và không bật đồng bộ hóa hoặc sao lưu, bạn có thể không thể đăng nhập vào bất kỳ dịch vụ nào nữa. Tệ hơn, nếu dữ liệu thiết bị bị rò rỉ hoặc lộ khoá riêng tư (trong trường hợp jailbreak, root máy, hoặc lỗ hổng hệ điều hành), nguy cơ mất quyền kiểm soát tài khoản là điều hoàn toàn khả thi.
Việc đồng bộ Passkeys đang trở thành công cụ để các hãng "khóa chặt" người dùng trong hệ sinh thái của mình. Nguồn: Dark Reading.
Các chuyên gia từ Usenix Security 2024 cảnh báo rằng Passkeys chưa đạt đến mức người dùng có thể xuất nhập hoặc quản lý dễ dàng giữa các dịch vụ. Dù FIDO Alliance đang xây dựng một tiêu chuẩn mới mang tên Credential Exchange Protocol (CXP) để khắc phục tình trạng này nhưng giải pháp này vẫn chưa khả thi.
Tạm kết
Passkeys mang đến trải nghiệm đơn giản, bảo mật hiện đại và hiệu quả hơn so với việc nhập mật khẩu truyền thống. Với sự hỗ trợ mạnh mẽ từ Apple, Google, Microsoft, viễn cảnh người dùng đăng nhập tài khoản không cần mật khẩu đang dần trở thành hiện thực.
Passkeys mang đến trải nghiệm đơn giản nhưng cũng có khả năng vô hình khiến người dùng dễ bị "khóa chặt" vào một hệ sinh thái. Nguồn: iMore.
Tuy nhiên, bên cạnh tiện lợi là những lớp rào vô hình khiến người dùng dễ bị "khóa chặt" vào một hệ sinh thái mà họ không dễ thoát ra. Việc kiểm soát danh tính, dữ liệu xác thực và khả năng khôi phục tài khoản ngày càng trở nên mờ nhạt đối với người dùng phổ thông.
Vậy còn bạn, bạn chọn sự tiện lợi hay quyền kiểm soát? Passkeys có thể là bước tiến, nhưng cũng có thể là cái bẫy. Sự lựa chọn, như mọi khi, vẫn hoàn toàn phụ thuộc vào bạn.
Xem thêm:
