Có thể loại bỏ hoàn toàn mật khẩu bằng phương pháp bảo mật không dùng mật khẩu?

Hạnh Tâm| 29/05/2021 08:44
Theo dõi ICTVietnam trên

Ý tưởng xác thực không dùng mật khẩu đã nhận được sự quan tâm. Theo dự báo của Gartner, đến năm 2022, 60% doanh nghiệp (DN) trên toàn cầu và các DN lớn sẽ triển khai một số giải pháp không dùng mật khẩu để tăng cường bảo mật. Mặc dù các công cụ xác thực mới nổi này tạo sự tiện dụng cho người dùng, nhưng nếu cho rằng loại bỏ giải pháp bảo mật bằng mật khẩu có lẽ là còn hơi sớm.

Các chiến lược bảo mật vô hình này được giới thiệu như phương thuốc chữa bách bệnh cho vấn đề mật khẩu. Người dùng thay vì phải nhớ mật khẩu rườm rà, họ có thể tự xác thực bằng việc sử dụng thứ gì đó mà họ sở hữu, họ biết, họ đang có hoặc kết hợp cả ba yếu tố.

Với xác thực không dùng mật khẩu, người dùng được cung cấp một hoặc nhiều phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu. Điều này có thể ở dưới hình thức dựa trên email hoặc những mật khẩu tại một thời điểm dựa tin nhắn SMS (OTP), sinh trắc học hoặc các phương pháp xác thực dựa trên mã thông báo của phần cứng (token). Tất cả các công cụ không dùng mật khẩu mới nổi này đơn giản hơn và khá hấp dẫn người dùng. Tuy nhiên, khi nghiên cứu thì thấy rằng, với một số loại hình hoặc tình huống thì vẫn cần có sự kết hợp mật khẩu trong quá trình xác thực. 

Có thể loại bỏ hoàn toàn mật khẩu bằng các phương pháp bảo mật không dùng mật khẩu? - Ảnh 1.

Các mật khẩu được sử dụng kết hợp như thế nào?

Với các giải pháp xác thực không cần mật khẩu mới nổi này, các mật khẩu thường được sử dụng trong tình huống dự phòng hoặc mất an toàn khi hệ thống từ chối quyền truy nhập của người dùng hợp lệ. Ví dụ, nếu bạn gặp sự cố về xác thực sinh trắc học như khi bạn phải đeo khẩu trang và tính năng quét khuôn mặt không hoạt động, hệ thống sẽ mặc định nhắc bạn nhập mật khẩu.

Điều này cũng được thực hiện tương tự với đọc dấu vân tay. Do đó, ngay cả khi một tổ chức đã áp dụng hình thức xác thực không mật khẩu cho mọi ứng dụng và dịch vụ thì những tài khoản này vẫn sử dụng thêm mật khẩu để xác thực để dự phòng. Điều này có nghĩa là các DN không thể hoàn toàn "bỏ qua" mật khẩu để thay thế cho phương pháp xác thực không dùng mật khẩu.

Tuy nhiên, vãn có một số hệ thống đang cố gắng loại bỏ sự phụ thuộc vào những mật khẩu dự phòng này bằng việc sử dụng sinh trắc học trong thiết bị cục bộ và mã PIN để mở khóa các khóa mã hóa không đối xứng, sau đó sử dụng để xác thực với máy chủ.

Windows Hello của Microsoft là một ví dụ đáng chú ý, trong những tình huống thích hợp, về mặt lý thuyết, các giải pháp mới này có thể sử dụng để loại bỏ các mật khẩu khỏi dịch vụ thư mục (Active Directory - AD). Tuy nhiên, trong thực tế, chưa có giải pháp tối ưu nào để truy nhập tài khoản của bạn từ các thiết bị không phải của Microsoft. Ví dụ như truy nhập trình duyệt email Exchange của công ty hoặc từ thiết bị iPhone hay Android. Thông thường, các trường hợp này vẫn phải duy trì thêm việc dùng mật khẩu cho người dùng.

Một lĩnh vực khác mà thông tin đăng nhập vẫn yêu cầu là hệ thống xác thực trên phần phụ trợ. Trong các tổ chức lớn, hầu như không thể không có các hệ thống hoặc ứng dụng yêu cầu mật khẩu để xác thực. Dù với bất cứ lý do gì, quản trị viên CNTT là người hiểu rõ về thông tin đăng nhập cho tất cả các loại hệ thống không hỗ trợ đăng nhập một lần không cần mật khẩu (SSO). Một số hệ thống này là kế thừa và không có khả năng cập nhật để hỗ trợ SSO của công ty. Trong trường hợp này, việc loại bỏ hoặc thay thế chúng có thể không phải là một lựa chọn.

Các tổ chức phải đánh giá cẩn thận những hệ thống không dùng mật khẩu khi họ cố gắng cải thiện bảo mật và hiểu rằng mật khẩu thông thường vẫn là một yếu tố xác thực. Một số thách thức bổ sung cần xem xét với các giải pháp xác thực vô hình này bao gồm:

Những hệ lụy về chi phí

Nhiều công nghệ mới nổi này tuy có tính sáng tạo, nhưng đòi hỏi người dùng phải sử dụng điện thoại thông minh hoặc máy tính xách tay. Ví dụ, nếu các tổ chức muốn sử dụng phương pháp xác thực sinh trắc học thì người dùng cần một thiết bị có khả năng cập nhật những tính năng đó. Chi phí để thực hiện việc này trong các tổ chức là tương đối lớn. Tương tự như vậy, các mã token yêu cầu một khoản đầu tư khá lớn, cùng với đó những mã này thường dễ bị mất nên chi phí là mang tính định kỳ. Đây là một thách thức đối với cả nhân viên và những tài khoản khách hàng/người dùng.

Gánh nặng tích hợp

Thách thức hơn khi cố gắng triển khai một hệ thống không dùng mật khẩu là khắc phục sự không tương thích với các hệ thống cũ. Việc chuyển đổi tất cả các hệ thống này cho các tổ chức với rất nhiều người dùng, nhiều ứng dụng, các cơ sở hạ tầng kết hợp và đăng nhập phức tạp đòi hỏi mất nhiều công sức và tiền bạc. Các tổ chức không nên thực hiện dự án này một cách qua loa. Ngược lại, giải pháp dùng mật khẩu lại tương thích phổ biến và hoạt động trên tất cả các thiết bị, phiên bản và các hệ điều hành.

Có thể tăng rủi ro từ các thiết bị bị mất/bị đánh cắp

Khi một số xác thực không dùng mật khẩu đòi hỏi người dùng phải dựa vào thiết bị.  Nếu thiết bị bị mất hoặc bị đánh cắp thì kẻ tấn công có thể có quyền truy nhập vào nhiều tài nguyên của công ty thông qua SSO bằng cách như giả mạo sinh trắc học.

Vấn đề về tin tặc

Khi các công cụ xác thực mới xuất hiện, tin tặc nhanh chóng tìm ra các lỗ hổng trong đó. Từ những giả mạo sâu sắc đến việc đánh tráo sim để lừa đảo, những tin tặc tìm thấy sơ hở gần như ngay khi những lựa chọn thay thế mật khẩu xuất hiện. 

Khi những giải pháp này trở nên phổ biến, các tin tặc sẽ tiếp tục khai thác mọi lỗ hổng. Điều này chỉ làm tăng thêm khối lượng công việc của các nhóm bảo mật vốn đã quá tải. Đặc biệt, khi cơ sở dữ liệu sinh trắc học bị rò rỉ và bị tấn công, bạn không thể thay đổi khuôn mặt hoặc các dấu vân tay giống như mật khẩu.

Các giải pháp chỉ sử dụng OTP là gót chân Achilles

Có một số sản phẩm được giới thiệu là không dùng mật khẩu, chỉ sử dụng email hoặc OTP dựa trên SMS. Nếu như vậy, những kẻ tấn công có thể xâm phạm những tài khoản email và đánh tráo SIM. Dựa vào các cơ chế này khi phương pháp xác thực không dùng mật khẩu áp dụng cho mọi thứ thì các ứng dụng bảo mật cấp thấp hơn có thể sẽ gặp rắc rối.

Với những thách thức này, chiến lược tốt hơn cho các tổ chức là áp dụng phương pháp xác thực kết hợp trong đó việc xác thực không dùng mật khẩu được giới thiệu một cách cẩn trọng để tạo sự đơn giản cho người dùng và tăng tính bảo mật trong khi vẫn tiếp tục theo đuổi các công nghệ. Và thực tế là tăng cường các mật khẩu để làm nền tảng cho những giải pháp "không dùng mật khẩu" trong tương lai.

Cần nhớ rằng, vấn đề với các mật khẩu là do các tổ chức áp dụng chính sách mật khẩu yếu kém cùng với thái độ của người dùng chứ không phải do vấn đề về mật khẩu. Do đó, cách tiếp cận đa lớp vẫn là phương thức tốt nhất cho các tổ chức muốn có một quy trình mạnh mẽ, an toàn và không phức tạp.

Sự đổi mới không dùng mật khẩu sẽ tiếp tục dấy lên và các tổ chức nên tìm kiếm những tùy chọn khác nhau. Tuy nhiên, họ cần nhận ra rằng những mật khẩu vẫn là một phần quan trọng của xác thực kết hợp trong tương lai gần và vẫn phải đảm bảo sự phù hợp.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Có thể loại bỏ hoàn toàn mật khẩu bằng phương pháp bảo mật không dùng mật khẩu?
POWERED BY ONECMS - A PRODUCT OF NEKO