Với xác thực không dùng mật khẩu, người dùng sẽ được cung cấp phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu, qua hình thức dựa trên email, những mật khẩu dùng một lần trong một khoảng thời gian được gửi qua tin nhắn SMS (OTP), sinh trắc học hoặc các phương pháp xác thực dựa trên mã thông báo của phần cứng (token). Tất cả các công cụ không dùng mật khẩu này đơn giản, dễ sử dụng và hấp dẫn người dùng. Tuy nhiên, khi nghiên cứu thì thấy rằng, với một số loại hình hoặc tình huống thì vẫn cần có sự kết hợp mật khẩu trong quá trình xác thực.
Với các giải pháp xác thực không cần mật khẩu mới này, các mật khẩu thường được sử dụng trong tình huống dự phòng hoặc mất an toàn khi hệ thống từ chối quyền truy nhập của người dùng hợp lệ. Ví dụ, người dùng sẽ gặp sự cố về việc xác minh danh tính qua xác thực sinh trắc học khi đang đeo khẩu trang, tính năng quét khuôn mặt sẽ không hoạt động, hệ thống sẽ mặc định nhắc người dùng cần nhập mật khẩu.
Điều này cũng được thực hiện tương tự đối với việc đọc dấu vân tay. Do đó, ngay cả khi một tổ chức đã áp dụng hình thức xác thực không mật khẩu cho mọi ứng dụng và dịch vụ thì những tài khoản này vẫn cần sử dụng thêm mật khẩu để xác thực để dự phòng. Điều này có nghĩa là các tổ chức vẫn không thể hoàn toàn loại bỏ mật khẩu để thay thế cho phương pháp xác thực không dùng mật khẩu.
Tuy nhiên, vẫn có một số hệ thống đang cố gắng loại bỏ sự phụ thuộc vào những mật khẩu dự phòng này, bằng việc sử dụng sinh trắc học trong thiết bị cục bộ và mã PIN để mở khóa các khóa mã hóa không đối xứng, sau đó sử dụng để xác thực với máy chủ.
Windows Hello của Microsoft là một ví dụ điển hình. Trong những tình huống thích hợp, về mặt lý thuyết, các giải pháp mới này có thể sử dụng để loại bỏ các mật khẩu khỏi dịch vụ thư mục. Tuy nhiên, trong thực tế, chưa có giải pháp tối ưu nào để truy nhập tài khoản của người dùng từ các thiết bị không phải của Microsoft. Ví dụ như truy nhập trình duyệt email Exchange của công ty từ thiết bị di dộng. Thông thường, các trường hợp này vẫn phải duy trì thêm việc dùng mật khẩu cho người dùng.
Một lĩnh vực khác mà thông tin đăng nhập vẫn yêu cầu là hệ thống xác thực trên phần phụ trợ. Trong các tổ chức lớn, hầu như bắt buộc phải có các hệ thống hoặc ứng dụng yêu cầu mật khẩu để xác thực. Dù với bất cứ lý do gì, quản trị viên CNTT là người hiểu rõ về thông tin đăng nhập cho tất cả các loại hệ thống không hỗ trợ đăng nhập một lần không cần mật khẩu. Một số hệ thống này là kế thừa và không có khả năng cập nhật để hỗ trợ cho việc đăng nhập một lần không cần mật khẩu của công ty. Trong trường hợp này, việc loại bỏ hoặc thay thế chúng có thể không phải là một lựa chọn tốt.
Các tổ chức phải đánh giá cẩn thận những hệ thống không dùng mật khẩu khi họ cố gắng cải thiện bảo mật và hiểu rằng mật khẩu thông thường vẫn là một yếu tố xác thực. Một số thách thức bổ sung cần xem xét với các giải pháp xác thực vô hình này bao gồm:
Nhiều công nghệ mới này tuy có tính sáng tạo, nhưng đòi hỏi người dùng phải sử dụng điện thoại thông minh hoặc máy tính xách tay. Ví dụ, nếu các tổ chức muốn sử dụng phương pháp xác thực sinh trắc học thì người dùng cần một thiết bị có khả năng cập nhật những tính năng đó. Chi phí để thực hiện việc này trong các tổ chức là tương đối lớn. Tương tự như vậy, các mã token yêu cầu một khoản đầu tư khá lớn, cùng với đó những mã này thường dễ bị mất nên chi phí là mang tính định kỳ. Đây là một thách thức đối với cả nhân viên và những tài khoản của người dùng.
Một trong những thách thức là việc tiến hành triển khai một hệ thống không dùng mật khẩu để khắc phục sự không tương thích với các hệ thống cũ. Việc chuyển đổi tất cả các hệ thống này cho các tổ chức với rất nhiều người dùng, nhiều ứng dụng, các cơ sở hạ tầng kết hợp và đăng nhập phức tạp đòi hỏi mất nhiều công sức và tiền bạc. Các tổ chức không nên thực hiện dự án này một cách qua loa. Ngược lại, giải pháp dùng mật khẩu lại tương thích phổ biến và hoạt động trên tất cả các thiết bị, phiên bản và các hệ điều hành.
Có một số xác thực không dùng mật khẩu đòi hỏi người dùng phải dựa vào thiết bị. Nếu thiết bị bị mất hoặc bị đánh cắp thì kẻ tấn công có thể có quyền truy nhập vào nhiều tài nguyên của công ty thông qua xác thực không dùng mật khẩu bằng cách giả mạo sinh trắc học.
Tin tặc luôn cố gắng tìm ra lỗ hổng trong các công cụ xác thực mới xuất hiện. Từ việc giả mạo đến việc đánh tráo sim để lừa đảo, tin tặc sẽ cố gắng tìm ra sơ hở sớm nhất thay cho mật khẩu nhằm xâm nhập vào hệ thống thiết bị người dùng.
Khi những giải pháp này trở nên phổ biến, các tin tặc sẽ tiếp tục khai thác mọi lỗ hổng. Điều này chỉ làm tăng thêm khối lượng công việc của các nhóm bảo mật vốn đã quá tải. Đặc biệt, khi cơ sở dữ liệu sinh trắc học bị rò rỉ và bị tấn công, người dùng sẽ không thể thay đổi khuôn mặt hoặc các dấu vân tay giống như mật khẩu.
Có một số sản phẩm được giới thiệu là không dùng mật khẩu, chỉ sử dụng email hoặc OTP dựa trên SMS. Nếu như vậy, những kẻ tấn công có thể xâm phạm những tài khoản email và đánh tráo SIM. Dựa vào các cơ chế này khi phương pháp xác thực không dùng mật khẩu áp dụng cho mọi thứ thì các ứng dụng bảo mật cấp thấp hơn có thể sẽ gặp thêm nhiều rắc rối.
Với những thách thức này, chiến lược tốt hơn cho các tổ chức là áp dụng phương pháp xác thực kết hợp trong đó việc xác thực không dùng mật khẩu được giới thiệu một cách cẩn trọng để tạo sự đơn giản cho người dùng và tăng tính bảo mật trong khi vẫn tiếp tục theo đuổi các công nghệ. Thực tế là tăng cường các mật khẩu để làm nền tảng cho những giải pháp không dùng mật khẩu trong tương lai.
Cần nhớ rằng, vấn đề với các mật khẩu là do các tổ chức áp dụng chính sách mật khẩu yếu kém cùng với thái độ của người dùng chứ không phải do vấn đề về mật khẩu. Do đó, cách tiếp cận đa lớp vẫn là phương thức tốt nhất cho các tổ chức muốn có một quy trình mạnh mẽ, an toàn và không phức tạp.
Sự đổi mới của việc không dùng mật khẩu sẽ tiếp tục được đẩy mạnh trong sử dụng. Các tổ chức nên tìm kiếm những tùy chọn khác nhau phù hợp với tổ chức của mình. Tuy nhiên, cần chú ý rằng, mật khẩu vẫn là một phần quan trọng của quá trình xác thực kết hợp trong tương lai gần và vẫn phải đảm bảo sự phù hợp.
Trần Thanh Tùng
(Theo helpnetsecurity)
14:00 | 29/10/2020
08:00 | 15/02/2022
20:00 | 03/02/2022
16:00 | 07/12/2020
10:00 | 13/07/2020
15:00 | 16/09/2021
13:00 | 14/07/2022
10:00 | 16/11/2021
07:00 | 24/05/2021
14:00 | 28/04/2021
14:00 | 07/03/2022
14:00 | 21/06/2023
Tài khoản định danh điện tử mức 2 có nhiều tiện ích cho người sử dụng, giúp giải quyết thủ tục hành chính, dịch vụ hành chính công và các giao dịch khác trên môi trường điện tử.
14:00 | 20/02/2023
Năm 2022, Thủ tướng Chính phủ tiếp tục ban hành các Quyết định, Chỉ thị về phát triển Chính phủ điện tử, chuyển đổi số quốc gia thể hiện sự quyết tâm, quyết liệt trong việc xây dựng thành công Chính phủ điện tử, hướng tới Chính phủ số, nền kinh tế số, xã hội số tại Việt Nam. Trong đó, chữ ký số chuyên dùng Chính phủ tiếp tục đóng vai trò quan trọng, góp phần đảm bảo an toàn các giao dịch điện tử, tạo môi trường làm việc hiện đại, nâng cao hiệu quả công việc.
14:00 | 17/02/2023
Theo Bộ Thông tin và Truyền thông, trong tháng 1/2023, các Bộ, ngành, địa phương tiếp tục đẩy mạnh cung cấp dịch vụ công trực tuyến theo hướng toàn trình quy định tại Nghị định số 42/2022/NĐ-CP ngày 24/6/2022 của Chính phủ quy định về việc cung cấp thông tin và dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng.
08:00 | 24/05/2022
Các Bộ, ngành, địa phương cần phối hợp với Bộ Quốc phòng, trực tiếp là Ban Cơ yếu Chính phủ để thống nhất nội dung, phương án triển khai, ứng dụng chứng thư số và dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ trong các chương trình, đề án, kế hoạch ứng dụng công nghệ thông tin.
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024