Có thể loại bỏ hoàn toàn mật khẩu bằng phương pháp bảo mật không dùng mật khẩu?

Các chiến lược bảo mật vô hình này được giới thiệu như phương thuốc chữa bách bệnh cho vấn đề mật khẩu. Người dùng thay vì phải nhớ mật khẩu rườm rà, họ có thể tự xác thực bằng việc sử dụng thứ gì đó mà họ sở hữu, họ biết, họ đang có hoặc kết hợp cả ba yếu tố.

Với xác thực không dùng mật khẩu, người dùng được cung cấp một hoặc nhiều phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu. Điều này có thể ở dưới hình thức dựa trên email hoặc những mật khẩu tại một thời điểm dựa tin nhắn SMS (OTP), sinh trắc học hoặc các phương pháp xác thực dựa trên mã thông báo của phần cứng (token). Tất cả các công cụ không dùng mật khẩu mới nổi này đơn giản hơn và khá hấp dẫn người dùng. Tuy nhiên, khi nghiên cứu thì thấy rằng, với một số loại hình hoặc tình huống thì vẫn cần có sự kết hợp mật khẩu trong quá trình xác thực. 

Các mật khẩu được sử dụng kết hợp như thế nào?

Với các giải pháp xác thực không cần mật khẩu mới nổi này, các mật khẩu thường được sử dụng trong tình huống dự phòng hoặc mất an toàn khi hệ thống từ chối quyền truy nhập của người dùng hợp lệ. Ví dụ, nếu bạn gặp sự cố về xác thực sinh trắc học như khi bạn phải đeo khẩu trang và tính năng quét khuôn mặt không hoạt động, hệ thống sẽ mặc định nhắc bạn nhập mật khẩu.

Điều này cũng được thực hiện tương tự với đọc dấu vân tay. Do đó, ngay cả khi một tổ chức đã áp dụng hình thức xác thực không mật khẩu cho mọi ứng dụng và dịch vụ thì những tài khoản này vẫn sử dụng thêm mật khẩu để xác thực để dự phòng. Điều này có nghĩa là các DN không thể hoàn toàn "bỏ qua" mật khẩu để thay thế cho phương pháp xác thực không dùng mật khẩu.

Tuy nhiên, vãn có một số hệ thống đang cố gắng loại bỏ sự phụ thuộc vào những mật khẩu dự phòng này bằng việc sử dụng sinh trắc học trong thiết bị cục bộ và mã PIN để mở khóa các khóa mã hóa không đối xứng, sau đó sử dụng để xác thực với máy chủ.

Windows Hello của Microsoft là một ví dụ đáng chú ý, trong những tình huống thích hợp, về mặt lý thuyết, các giải pháp mới này có thể sử dụng để loại bỏ các mật khẩu khỏi dịch vụ thư mục (Active Directory - AD). Tuy nhiên, trong thực tế, chưa có giải pháp tối ưu nào để truy nhập tài khoản của bạn từ các thiết bị không phải của Microsoft. Ví dụ như truy nhập trình duyệt email Exchange của công ty hoặc từ thiết bị iPhone hay Android. Thông thường, các trường hợp này vẫn phải duy trì thêm việc dùng mật khẩu cho người dùng.

Một lĩnh vực khác mà thông tin đăng nhập vẫn yêu cầu là hệ thống xác thực trên phần phụ trợ. Trong các tổ chức lớn, hầu như không thể không có các hệ thống hoặc ứng dụng yêu cầu mật khẩu để xác thực. Dù với bất cứ lý do gì, quản trị viên CNTT là người hiểu rõ về thông tin đăng nhập cho tất cả các loại hệ thống không hỗ trợ đăng nhập một lần không cần mật khẩu (SSO). Một số hệ thống này là kế thừa và không có khả năng cập nhật để hỗ trợ SSO của công ty. Trong trường hợp này, việc loại bỏ hoặc thay thế chúng có thể không phải là một lựa chọn.

Các tổ chức phải đánh giá cẩn thận những hệ thống không dùng mật khẩu khi họ cố gắng cải thiện bảo mật và hiểu rằng mật khẩu thông thường vẫn là một yếu tố xác thực. Một số thách thức bổ sung cần xem xét với các giải pháp xác thực vô hình này bao gồm:

Những hệ lụy về chi phí

Nhiều công nghệ mới nổi này tuy có tính sáng tạo, nhưng đòi hỏi người dùng phải sử dụng điện thoại thông minh hoặc máy tính xách tay. Ví dụ, nếu các tổ chức muốn sử dụng phương pháp xác thực sinh trắc học thì người dùng cần một thiết bị có khả năng cập nhật những tính năng đó. Chi phí để thực hiện việc này trong các tổ chức là tương đối lớn. Tương tự như vậy, các mã token yêu cầu một khoản đầu tư khá lớn, cùng với đó những mã này thường dễ bị mất nên chi phí là mang tính định kỳ. Đây là một thách thức đối với cả nhân viên và những tài khoản khách hàng/người dùng.

Gánh nặng tích hợp

Thách thức hơn khi cố gắng triển khai một hệ thống không dùng mật khẩu là khắc phục sự không tương thích với các hệ thống cũ. Việc chuyển đổi tất cả các hệ thống này cho các tổ chức với rất nhiều người dùng, nhiều ứng dụng, các cơ sở hạ tầng kết hợp và đăng nhập phức tạp đòi hỏi mất nhiều công sức và tiền bạc. Các tổ chức không nên thực hiện dự án này một cách qua loa. Ngược lại, giải pháp dùng mật khẩu lại tương thích phổ biến và hoạt động trên tất cả các thiết bị, phiên bản và các hệ điều hành.

Có thể tăng rủi ro từ các thiết bị bị mất/bị đánh cắp

Khi một số xác thực không dùng mật khẩu đòi hỏi người dùng phải dựa vào thiết bị.  Nếu thiết bị bị mất hoặc bị đánh cắp thì kẻ tấn công có thể có quyền truy nhập vào nhiều tài nguyên của công ty thông qua SSO bằng cách như giả mạo sinh trắc học.

Vấn đề về tin tặc

Khi các công cụ xác thực mới xuất hiện, tin tặc nhanh chóng tìm ra các lỗ hổng trong đó. Từ những giả mạo sâu sắc đến việc đánh tráo sim để lừa đảo, những tin tặc tìm thấy sơ hở gần như ngay khi những lựa chọn thay thế mật khẩu xuất hiện. 

Khi những giải pháp này trở nên phổ biến, các tin tặc sẽ tiếp tục khai thác mọi lỗ hổng. Điều này chỉ làm tăng thêm khối lượng công việc của các nhóm bảo mật vốn đã quá tải. Đặc biệt, khi cơ sở dữ liệu sinh trắc học bị rò rỉ và bị tấn công, bạn không thể thay đổi khuôn mặt hoặc các dấu vân tay giống như mật khẩu.

Các giải pháp chỉ sử dụng OTP là gót chân Achilles

Có một số sản phẩm được giới thiệu là không dùng mật khẩu, chỉ sử dụng email hoặc OTP dựa trên SMS. Nếu như vậy, những kẻ tấn công có thể xâm phạm những tài khoản email và đánh tráo SIM. Dựa vào các cơ chế này khi phương pháp xác thực không dùng mật khẩu áp dụng cho mọi thứ thì các ứng dụng bảo mật cấp thấp hơn có thể sẽ gặp rắc rối.

Với những thách thức này, chiến lược tốt hơn cho các tổ chức là áp dụng phương pháp xác thực kết hợp trong đó việc xác thực không dùng mật khẩu được giới thiệu một cách cẩn trọng để tạo sự đơn giản cho người dùng và tăng tính bảo mật trong khi vẫn tiếp tục theo đuổi các công nghệ. Và thực tế là tăng cường các mật khẩu để làm nền tảng cho những giải pháp "không dùng mật khẩu" trong tương lai.

Cần nhớ rằng, vấn đề với các mật khẩu là do các tổ chức áp dụng chính sách mật khẩu yếu kém cùng với thái độ của người dùng chứ không phải do vấn đề về mật khẩu. Do đó, cách tiếp cận đa lớp vẫn là phương thức tốt nhất cho các tổ chức muốn có một quy trình mạnh mẽ, an toàn và không phức tạp.

Sự đổi mới không dùng mật khẩu sẽ tiếp tục dấy lên và các tổ chức nên tìm kiếm những tùy chọn khác nhau. Tuy nhiên, họ cần nhận ra rằng những mật khẩu vẫn là một phần quan trọng của xác thực kết hợp trong tương lai gần và vẫn phải đảm bảo sự phù hợp.