Xác thực không mật khẩu là gì và hoạt động như thế nào

Hầu hết mọi người phải nhớ một chuỗi mật khẩu khác nhau để đăng nhập vào các thiết bị và tài khoản khác nhau, cho dù là điện thoại, máy tính xách tay hay tài khoản email và mạng xã hội. Việc lười biếng trong việc quản lý mật khẩu trở nên quá dễ dàng, nhưng đó chính là lúc người dùng dễ bị tấn công mạng nhất. Và tin tặc cũng dễ dàng đánh cắp mật khẩu thông qua các vụ xâm phạm dữ liệu , lừa đảo trực tuyến và các hình thức tấn công khác.

Do đó, mật khẩu đã không còn được ưa chuộng trong những năm gần đây. Xu hướng này dự kiến sẽ tiếp tục phát triển khi vô số hình thức xác thực không mật khẩu được áp dụng rộng rãi hơn, cả bởi người dùng và các tổ chức. Vậy, bảo mật không mật khẩu chính xác là gì, nó hoạt động như thế nào và có những ví dụ nào về xác thực không mật khẩu? Hãy đọc tiếp để tìm hiểu thêm.

Xác thực không mật khẩu là gì?

Nói một cách đơn giản nhất, xác thực không mật khẩu cho phép người dùng xác minh danh tính của họ mà không cần mật khẩu. Điều này có thể đạt được thông qua nhiều phương tiện khác nhau. Ví dụ: người dùng có thể quét khuôn mặt hoặc dấu vân tay để truy cập vào thiết bị hoặc tài khoản của họ, hoặc họ có thể sử dụng mật khẩu một lần (OTP), thường được sử dụng trong xác thực hai yếu tố (2FA) , hoặc liên kết URL được tạo riêng cho mỗi lần đăng nhập.

Đăng nhập bằng mật khẩu ngày càng trở nên phổ biến trong những năm gần đây, tuy nhiên người dùng lại tạo ra những mật khẩu có độ bảo mật rất yếu . Nhiều người dùng sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau, không tạo được mật khẩu đủ phức tạp và quên thay đổi mật khẩu thường xuyên. Tuy nhiên, tất nhiên, một trình quản lý mật khẩu uy tín có thể giúp ích cho việc này.

Xác thực không mật khẩu hoạt động như thế nào?

Xác thực không mật khẩu yêu cầu người dùng xuất trình một thông tin duy nhất để xác minh danh tính và có quyền truy cập vào thiết bị hoặc tài khoản. Đây được gọi là các yếu tố xác thực và có một số loại khác nhau, bao gồm:

• Yếu tố kiến thức - thứ mà người dùng biết, chẳng hạn như mật khẩu
• Yếu tố sở hữu: thứ mà người dùng có, chẳng hạn như điện thoại có thể nhận mật khẩu một lần (OTP)
• Yếu tố cố hữu: thứ duy nhất đối với người dùng, thường đề cập đến sinh trắc học như dấu vân tay hoặc nhận dạng khuôn mặt
• Yếu tố vị trí: người dùng cần có vị trí địa lý cụ thể để có quyền truy cập, chẳng hạn như văn phòng hoặc nhà riêng
• Yếu tố hành vi: người dùng phải thực hiện các hành động cụ thể để có quyền truy cập, chẳng hạn như mật khẩu hình ảnh của Windows 8

Tất cả các lần đăng nhập đều yêu cầu người dùng xuất trình ít nhất một yếu tố. Thông thường nhất, đây là yếu tố kiến thức - thường là mật khẩu. Tuy nhiên, đăng nhập không cần mật khẩu loại bỏ nhu cầu sử dụng mật khẩu bằng cách tận dụng nhiều yếu tố xác thực khác để tăng cường bảo mật. Đây thường là các yếu tố sở hữu, như OTP, hoặc các yếu tố cố hữu, như sinh trắc học.

Xác thực không mật khẩu có an toàn không?

Nhìn chung, đăng nhập không mật khẩu được coi là an toàn hơn nhiều so với đăng nhập truyền thống yêu cầu người dùng nhập thông tin xác thực cụ thể của họ. Điều này là do bằng cách loại bỏ nhu cầu về mật khẩu, các hệ thống đăng nhập này giảm đáng kể nguy cơ tấn công mạng như tấn công brute-force hoặc từ điển, keylogging , nhồi thông tin xác thực và tấn công Man-in-the-Middle . Chúng cũng miễn nhiễm hơn nhiều với nguy cơ bị hack, kỹ thuật xã hội và quán tính của con người, có thể dẫn đến việc sử dụng cùng một mật khẩu cho nhiều tài khoản và quên cập nhật chúng.

Tuy nhiên, giống như hầu hết mọi thứ, xác thực không mật khẩu không hoàn toàn an toàn. Những kẻ tấn công quyết tâm vẫn có thể tìm ra cách hack các hệ thống xác thực, bất kể chúng tinh vi đến đâu. Tin tặc có thể chiếm đoạt địa chỉ email, số điện thoại và thậm chí cả thiết bị để chặn một số loại xác thực mật khẩu nhất định, chẳng hạn như OTP và liên kết ma thuật.

MFA VS. xác thực không mật khẩu

Mặc dù chúng có vẻ giống nhau, nhưng xác thực đa yếu tố (MFA) và xác thực không mật khẩu có đôi chút khác biệt. Trong nhiều trường hợp, MFA sử dụng mật khẩu kết hợp với một hình thức xác minh khác, chẳng hạn như OTP hoặc sinh trắc học. Tuy nhiên, đúng như tên gọi, bảo mật không mật khẩu loại bỏ nhu cầu người dùng phải nhập mật khẩu.

Tuy nhiên, có những trường hợp kết hợp hai hoặc nhiều hình thức đăng nhập không mật khẩu và người dùng phải vượt qua cả hai quy trình xác minh để truy cập thiết bị hoặc tài khoản của họ. Đây được gọi là MFA không mật khẩu.

Các ví dụ phổ biến về xác thực không mật khẩu là gì?

Theo truyền thống, hầu hết các thông tin đăng nhập đều sử dụng một yếu tố kiến thức - một mật khẩu - tất cả đều hoạt động theo cùng một cách - người dùng tạo các tổ hợp số, chữ cái và/hoặc ký hiệu duy nhất và sử dụng nó với tên người dùng để truy cập vào thiết bị hoặc tài khoản của họ. Không giống như mật khẩu, xác thực không mật khẩu có thể có nhiều hình thức khác nhau. Như đã đề cập, bảo mật không mật khẩu thường kết hợp ít nhất một yếu tố xác thực - thường không phải là yếu tố kiến thức - đó là lý do tại sao nó linh hoạt hơn mật khẩu.

Chứng chỉ

Nhiều ứng dụng và phần mềm được kết nối internet sử dụng chứng chỉ kỹ thuật số để xác minh danh tính của người dùng mà không cần mật khẩu. Trong trường hợp này, thiết bị cá nhân của người dùng sẽ giữ khóa riêng tư, trong khi máy chủ của ứng dụng hoặc phần mềm lưu trữ khóa công khai. Hai yếu tố này cần tương ứng phù hợp để có thể xác thực không cần mật khẩu.

Mật khẩu dùng một lần

Nếu bạn từng thắc mắc "Xác thực OTP là gì?", thì đây là câu trả lời dành cho bạn: Mặc dù người dùng vẫn phải nhập mã này vào thiết bị của mình để truy cập tài khoản, nhưng mật khẩu dùng một lần được coi là một hình thức xác thực không cần mật khẩu. Điều này là do chúng là mã tạm thời mà người dùng nhận được qua tin nhắn văn bản hoặc ứng dụng xác thực; chúng khác nhau mỗi lần và hết hạn trong vòng vài phút, do đó được coi là an toàn hơn mật khẩu truyền thống. Đây là một loại yếu tố sở hữu vì - về mặt lý thuyết - chỉ người dùng mới có phương tiện để tạo hoặc nhận OTP.

Sinh trắc học

Nhiều thiết bị và phần mềm ngày nay sử dụng sinh trắc học để đăng nhập bằng mật khẩu. Đây là các yếu tố vốn có vì chúng cấp quyền truy cập bằng các đặc điểm vật lý duy nhất của người dùng - ví dụ: dấu vân tay hoặc quét võng mạc. iPhone là một ví dụ điển hình về xác thực sinh trắc học vì chúng cho phép người dùng kích hoạt nhận dạng khuôn mặt để truy cập thiết bị và đăng nhập vào nhiều tài khoản bảo mật khác nhau, bao gồm cả ứng dụng ngân hàng, giúp ngăn chặn gian lận ngân hàng trực tuyến .

Liên kết ma thuật

Nhiều phần mềm phổ biến trên internet hiện nay cung cấp xác thực không cần mật khẩu với liên kết ma thuật. Về cơ bản, đây là các mã thông báo URL mà người dùng có thể sử dụng để đăng nhập vào tài khoản bằng cách xác minh địa chỉ email hoặc số điện thoại của họ. Khi người dùng đăng nhập vào tài khoản sử dụng xác minh liên kết ma thuật, hệ thống sẽ tự động gửi liên kết URL đến địa chỉ email đã đăng ký của họ hoặc qua tin nhắn đến số điện thoại của họ - sau đó người dùng nhấp vào liên kết để tự động đăng nhập vào tài khoản. Đây là một loại yếu tố sở hữu khác vì nó giả định rằng chỉ người dùng mới có quyền truy cập vào email hoặc điện thoại của họ.

Ứng dụng xác thực

Các ứng dụng xác thực của bên thứ ba, chẳng hạn như của Google và Microsoft, đã trở nên phổ biến cho việc đăng nhập không cần mật khẩu. Trong trường hợp này, người dùng định cấu hình một ứng dụng xác thực cụ thể - ứng dụng đã được thiết lập tương thích với dịch vụ tài khoản đang sử dụng - bằng thông tin đăng nhập của họ. Sau khi hệ thống được thiết lập đúng cách, người dùng sẽ nhận được thông báo từ ứng dụng mỗi khi họ đăng nhập vào tài khoản của mình và sẽ cần cung cấp OTP hoặc xác minh thông tin đăng nhập để được quyền truy cập.

Mã xác thực FIDO

Mã xác thực trực tuyến nhanh (FIDO) hoạt động theo cùng ý tưởng với chứng chỉ kỹ thuật số. Khi người dùng đăng ký thông tin đăng nhập, hệ thống sẽ tạo một cặp khóa mật mã - khóa công khai được lưu trữ trên máy chủ hệ thống và khóa riêng tư được lưu trữ trên thiết bị của người dùng. Hệ thống xác thực khóa riêng tư trên thiết bị của người dùng để cấp quyền truy cập vào tài khoản.

Ưu và nhược điểm của bảo mật không mật khẩu

Các công ty ngày càng chuyển sang bảo mật không mật khẩu để bảo vệ cả các bên liên quan nội bộ và bên ngoài, đồng thời giữ an toàn cho dữ liệu. Tuy nhiên, giống như mọi thứ liên quan đến an ninh mạng, điều quan trọng là phải hiểu được lợi ích và nhược điểm của xác thực không mật khẩu.

Ưu điểm của đăng nhập không mật khẩu

Một số khía cạnh tích cực của đăng nhập không mật khẩu bao gồm:

• Nó an toàn hơn mật khẩu và có khả năng chống lại nhiều cuộc tấn công mạng.
• Người dùng thấy rằng việc bảo trì thấp vì họ không phải nhớ mật khẩu phức tạp hoặc thường xuyên thay đổi chúng; người dùng cũng dễ dàng kích hoạt nó trên tài khoản hoặc thiết bị của họ hơn.
• Các công ty sử dụng xác thực không mật khẩu thường nhận được ít yêu cầu hỗ trợ hơn vì ít cần đặt lại mật khẩu hoặc khắc phục sự cố.
• Các hệ thống này có khả năng mở rộng và thường rất nhanh chóng và dễ triển khai.
• Nó thường đủ để đáp ứng các yêu cầu tuân thủ về bảo vệ dữ liệu, bao gồm Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu và Đạo luật quyền riêng tư của người tiêu dùng California.
• Ít xảy ra tình trạng khóa tài khoản và giỏ hàng bị bỏ rơi.

Nhược điểm của Đăng nhập không mật khẩu

Mặc dù xác thực không mật khẩu ngày càng phổ biến nhờ tính bảo mật mà nó mang lại, nhưng vẫn có một số nhược điểm, bao gồm:

• Trong một số trường hợp, nó có thể phức tạp và tốn kém hơn so với mật khẩu đơn giản.
• Các hệ thống sử dụng sinh trắc học có thể phức tạp, vì xác thực sinh trắc học không thể được đặt lại nếu bị xâm phạm.
• Người dùng thường cho rằng mình sẽ sử dụng một kênh bảo mật khi thiết lập đăng nhập không cần mật khẩu, nhưng điều này không phải lúc nào cũng đúng - quá trình thiết lập có thể bị xâm phạm.
• Trong một số trường hợp, các hệ thống này không hoàn hảo - ví dụ, mã OTP có thể bị chặn hoặc đánh cắp khi hoán đổi SIM .
• Một số người dùng, đặc biệt là những người ít kinh nghiệm về kỹ thuật, có thể không muốn sử dụng đăng nhập không cần mật khẩu nếu họ gặp khó khăn với hệ thống hoặc không hiểu chúng.

Triển khai xác thực không cần mật khẩu

Hầu hết các thiết bị hoặc dịch vụ điện tử hiện nay đều cung cấp cho người dùng các tùy chọn xác thực không cần mật khẩu bên cạnh các phương thức đăng nhập truyền thống. Mỗi phương thức sẽ kết hợp các hình thức khác nhau và hầu hết sẽ khuyến nghị người dùng kích hoạt tùy chọn này như một biện pháp bảo mật bổ sung. Để bật xác thực không cần mật khẩu, người dùng chỉ cần điều hướng đến phần cài đặt của thiết bị hoặc tài khoản liên quan và chọn các tùy chọn phù hợp (một số có thể cung cấp nhiều tùy chọn). Một số ví dụ phổ biến nhất về đăng nhập không cần mật khẩu dành cho người tiêu dùng bao gồm:

• Nhận dạng khuôn mặt cho iPhone và MacBook
• Mã OTP để xác minh thường xuyên tài khoản Google
• Liên kết ma thuật cho nhiều ứng dụng và phần mềm dựa trên trình duyệt

Đối với những người dùng vẫn muốn sử dụng mật khẩu nhưng vẫn muốn hưởng lợi từ hình thức đăng nhập không cần mật khẩu, Kaspersky Password Manager có thể hỗ trợ. Không chỉ có thể tạo mật khẩu phức tạp, duy nhất cho mỗi tài khoản, phần mềm này còn lưu trữ tất cả chúng trong một kho lưu trữ riêng được mã hóa mà không ai khác có thể nhìn thấy. Chương trình cũng cung cấp tính năng đăng nhập an toàn bằng cách cho phép người dùng tự động điền thông tin chi tiết của họ trên nhiều trang web, ứng dụng và thiết bị khác nhau, đồng thời có trình xác thực riêng trong ứng dụng cho phép người dùng kích hoạt xác thực đa yếu tố trên tài khoản của họ.

Đối với các doanh nghiệp, việc lựa chọn và triển khai bảo mật không cần mật khẩu là rất quan trọng – đặc biệt nếu họ cung cấp tài khoản và thiết bị dành cho khách hàng, vì họ cần phải bảo mật thông tin của khách hàng. Có một số điều cần cân nhắc khi thực hiện việc này:

• Chọn hình thức xác thực không cần mật khẩu phù hợp nhất, chẳng hạn như xác thực sinh trắc học bằng dấu vân tay hoặc liên kết ma thuật.
• Quyết định xem một yếu tố là đủ hay khách hàng cần xác thực đa yếu tố không cần mật khẩu để tăng cường bảo mật.
• Tìm kiếm và mua phần cứng và/hoặc phần mềm cần thiết.
• Đảm bảo người dùng có thể đăng ký và sử dụng hệ thống đã chọn một cách chính xác.

Việc triển khai đăng nhập không cần mật khẩu ở cấp độ tổ chức có thể là một thách thức và đòi hỏi đầu tư đáng kể về thời gian và tiền bạc. Vì lý do này, nhiều người chọn hợp tác với các nhà cung cấp bên thứ ba để triển khai hình thức an ninh mạng đặc biệt này một cách nhanh chóng và hiệu quả.

Một tương lai không cần mật khẩu?

Với rất nhiều ưu điểm và tính bảo mật vượt trội so với mật khẩu truyền thống, xác thực không mật khẩu dường như có một tương lai tươi sáng, đặc biệt là với sự tích hợp trí tuệ nhân tạo (AI) . Nó có thể giúp bảo mật người dùng và thông tin của họ trong một thế giới ngày càng số hóa và cung cấp các tùy chọn an toàn hơn cho làm việc từ xa.

Tuy nhiên, có một số thách thức cần được khắc phục nếu chúng ta muốn chứng kiến ​​bảo mật không mật khẩu được sử dụng ngày càng nhiều. Những thách thức này bao gồm việc khắc phục các lo ngại về quyền riêng tư, đặc biệt là xung quanh xác thực sinh trắc học, tinh giản cơ sở hạ tầng kỹ thuật, củng cố niềm tin của người dùng và đảm bảo tuân thủ quy định.

Các bài viết và đường liên kết liên quan:

• Mẹo tạo mật khẩu mạnh và duy nhất
• Tin tặc có thể làm gì với địa chỉ email của bạn?
• 10 rủi ro lớn nhất khi chơi game trực tuyến và cách phòng tránh

Các sản phẩm và dịch vụ liên quan:

• Kaspersky Premium
• Tải xuống Kaspersky Premium Antivirus với bản dùng thử miễn phí 30 ngày
• Kaspersky Password Manager
• Kaspersky Security Awareness