Bảo mật

Xác thực không mật khẩu hoạt động như thế nào?

Abcd1234, password, 123456, admin, admin123… là top các mật khẩu yếu có thể bị hacker tìm ra trong vòng <1 giây vào năm 2023. Về lý thuyết thì mọi loại mật khẩu có thể bị tìm ra, mật khẩu yếu thì mất ít thời gian, mật khẩu mạnh thì mất nhiều thời gian hơn, vậy có phải không có mật khẩu thì hacker sẽ không mất thời gian để tìm kiếm?

Hãy tưởng tượng khi đăng nhập vào máy tính hay tài khoản email mà không cần gõ mật khẩu, trả lời câu hỏi bảo mật hoặc khai báo bất kỳ thông tin nào khác. Đây là hình thái của xác thực không mật khẩu (Passwordless). Đối với nhiều chuyên gia bảo mật, việc xác thực không cần mật khẩu là lý tưởng. Nó có thể giảm bớt gánh nặng trong việc tạo và ghi nhớ mật khẩu. Vậy ưu điểm và nhược điểm của xác thực không mật khẩu là gì?

Xác thực không mật khẩu (Passwordlesss) là gì?

Hầu hết mọi công ty, mọi thiết bị đều có nguy cơ phải hứng chịu các cuộc tấn công truy tìm mật khẩu (brute force attack) từ attacker. Xác thực không mật khẩu là phương pháp tăng cường sức mạnh, giúp loại bỏ được 1 cách tấn công của attacker để dành quyền truy cập vào hệ thống.

Thông thường trong một hệ thống, người quản trị luôn yêu cầu người dùng phải khai báo:

  • Username: Để xác định người dùng là ai trong tổ chức
  • Password: Quản trị viên có thể yêu cầu mọi người tạo mật khẩu dài hơn 10 ký tự kèm theo số và ký tự đặc biệt, có thể sẽ phải thay đổi mật khẩu theo định kỳ
  • Security processes: Có thể sẽ cần thêm một số thông tin xác thực bổ sung khác như câu hỏi bảo mật nếu người dùng chẳng may quên username hay password

Một số công ty còn yêu cầu người dùng phải sử dụng thêm xác thực nhân tố như 2FA/MFA. Với phương pháp này, hệ thống yêu cầu người dùng xác minh danh tính bằng cách nhấn vào mã xuất hiện trên điện thoại, nhập mã xác thực thay đổi mỗi 30 giây, mã OTP gửi về điện thoại/email hoặc thực hiện quét dấu vân tay. Trong MFA, các yếu tố bổ sung này không thay thế mật khẩu mà chỉ tăng cường độ bảo mật. Tuy nhiên, có thể coi MFA là bước đầu tiên hướng tới một thế giới không sử dụng mật khẩu.

Cách xác thực không mật khẩu hoạt động

Người dùng có thể tin rằng họ có những tổ hợp mật khẩu mạnh nhất, tốt nhất hiện có. Nhưng dữ liệu của họ rất dễ bị đánh cắp nếu họ không thể nhớ được các mật khẩu này và buộc phải lưu chúng vào đâu đó có thể là laptop, sổ cá nhân hay điện thoại.

Đầu tháng 8 năm 2014, hãng bảo mật Hold Security (Mỹ) cho biết một nhóm tin tặc được gọi là CyberVor (Vor trong tiếng Nga có nghĩa là kẻ trộm) đã thu thập được tới 1,2 tỷ mật khẩu của người dùng trên 420.000 website toàn cầu. Các chuyên gia bảo mật nhận định đây là vụ đánh cắp dữ liệu lớn nhất trong lịch sử Internet. “Vụ xâm phạm lớn đến mức, nếu dữ liệu của bạn nằm đâu đó trên World Wide Web, bạn có thể là một trong những nạn nhân”, Hold nhấn mạnh.
Theo vnexpress.net

Ngay cả việc lưu trữ mật khẩu một cách an toàn cũng không giúp ích được gì vì tin tặc chỉ cần vài phút để vượt qua vòng bảo mật của hệ thống và giải mã những dữ liệu này. Xác thực không cần mật khẩu làm giảm những rủi ro này. Một hệ thống không cần mật khẩu có thể được vận hành như sau:

  • Cryptographic keys (Mã khóa): Một khóa được cung cấp cho máy chủ/ứng dụng hoặc trang web trong quá trình đăng ký. Tính riêng tư của dữ liệu vẫn ở trên thiết bị của cá nhân đó.
  • Factors (Nhân tố): Thứ mà một người có (như điện thoại di động hoặc smart card) hoặc thứ gì đó mà chỉ người đó có (như quét vân tay hoặc võng mạc) sẽ giúp vượt qua việc đăng nhập vào hệ thống.

Việc đăng ký các nhân tố là bắt buộc trong lần truy cập đầu tiên. Ví dụ: người dùng có thể cần khai báo bản quét võng mạc/dấu vân tay rõ ràng cho hệ thống, hoặc người dùng đó có thể cần liên kết điện thoại cá nhân với một tài khoản. Ngay sau khi việc khai báo đó hoàn thành, người đó có thể dễ dàng truy cập vào hệ thống bất cứ lúc nào mà không cần sử dụng tới mật khẩu.

Mỗi khi người dùng đó đăng nhập vào thiết bị đã được xác minh, một số hình thức xác thực đa nhân tố có thể được yêu cầu. Nhưng bạn cũng có thể thiết lập hệ thống của mình để nhận ra người đó trong mỗi lần truy cập trên thiết bị đã đăng ký mà không cần kiểm tra lại hệ thống.

Rủi ro và lợi ích của việc đăng nhập không cần mật khẩu

Một số lợi ích của việc đăng nhập không cần mật khẩu gồm:

  • Chi phí: IT teams tốn hàng trăm giờ mỗi năm để xử lý và khắc phục các vấn đề liên quan đến mật khẩu. Giờ đây IT teams sẽ không còn cần bận tâm đến mật khẩu nữa, dành thời gian để giải quyết những việc khác quan trọng hơn.
  • Trải nghiệm khách hàng: Mật khẩu khó nhớ và dễ bị quên, việc loại bỏ mật khẩu sẽ loại bỏ trải nghiệm không tốt cho khách hàng
  • An toàn dữ liệu: Dữ liệu về mật khẩu rất dễ bị đánh cắp và giải mã. Loại bỏ chúng có nghĩa là đảm bảo rằng tài nguyên của bạn vẫn được bảo vệ.

Nhược điểm của hệ thống không sử dụng mật khẩu:

  • Chuyên môn: Doanh nghiệp cần phải có kinh nghiệm về xây dựng hệ thống không sử dụng mật khẩu, có thể sẽ phải mất nhiều chi phí để đào tạo nhân sự vận hành và sử dụng.
  • An toàn dữ liệu: Nếu một thiết bị liên kết với hệ thống bị đánh cắp (ví dụ điện thoại di động) hoặc bị tấn công thì sẽ rất khó để ngăn chặn việc tác nhân có hại truy cập vào hệ thống.
  • Độ tin cậy: Có thể doanh nghiệp còn hoài nghi về phương pháp này để quyết định chuyển đổi từ việc sử dụng mật khẩu sang không sử dụng mật khẩu

Bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *