Mật khẩu sẽ trở thành câu chuyện quá khứ?

An toàn thông tin - Ngày đăng : 16:22, 21/11/2019

Khi các loại hình tấn công mạng ngày càng trở nên tinh vi và phức tạp thì dường như mật khẩu không còn là phương thức bảo mật hiệu quả nữa.

Fernando Corbato, nhà khoa học máy tính huyền thoại của Học viện Công nghệ Massachusetts (MIT) là người phát minh ra mật khẩu vào những năm 1960.

Mật khẩu được ứng dụng lần đầu trên hệ thống chia sẻ thời gian máy tính (CTSS), cho phép nhiều người cùng sử dụng một máy tính và bảo mật bằng mật khẩu. Nó đã từng là một trong những biện pháp bảo mật đáng tin cậy nhất nhưng trong thập kỷ qua.

Tuy nhiên, cùng với sự phát triển của công nghệ, các phương thức tấn công mạng ngày càng trở nên tinh vi và phức tạp thì dường như mật khẩu không còn hiệu quả nữa. Hiện nay, trung bình mỗi người dùng quản lý hơn 191 cặp tên người dùng và mật khẩu, điều đó cho thấy gần như mọi người sử dụng lại cùng một mật khẩu để xác thực trên các dịch vụ khác nhau.

Những thách thức trong quản lý mật khẩu

Hầu hết các xâm phạm dữ liệu xuất hiện trong thời gian gần đây liên quan tới việc mật khẩu bị đánh cắp. Khi các nền tảng số phát triển, khối lượng dữ liệu tạo ra lên tới hàng gigabyte, bao gồm thông tin cá nhân và thông tin đăng nhập mà chúng ta sử dụng để truy cập vào các dịch vụ số đó, chi phí cho một cuộc tấn công cho tin tặc đã giảm đáng kể.

Giờ đây, bạn có thể mua thông tin đăng nhập cho tài khoản ngân hàng hoặc tài khoản Uber của ai đó trên web đen với giá chỉ 7 USD.

Các phương thức xác thực như sử dụng mã PIN, mật khẩu, cụm mật khẩu hoặc bất cứ điều gì mà chúng ta cần ghi nhớ, không chỉ gây đau đầu cho người dùng mà còn rất tốn kém.

Thậm chí, không tính đến chi phí của một cuộc tấn công mạng thì chi phí quản lý mật khẩu (bao gồm thời gian cần để nhân viên gõ mật khẩu và liên hệ với bộ phận CNTT khi quên mật khẩu), có thể lên tới 70 USD đối với mỗi vụ việc. Với mức tối đa 50% các cuộc gọi đến bộ phận trợ giúp là thiết lập lại mật khẩu, thì con số này có thể sẽ tăng lên nhanh chóng.

Để quản lý mật khẩu không phải quá khó khăn nhưng chúng bất tiện, không an toàn và tốn kém. Theo dự báo của Gartner vào năm 2022, 60% DN lớn và tất cả các DN vừa sẽ giảm một nửa sự phụ thuộc vào mật khẩu.

Các công nghệ xác thực giúp tăng cường bảo mật

Sự ra đời của Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) và Đạo luật bảo mật người tiêu dùng California (CCPA) sắp tới đây sẽ giúp khách hàng có quyền kiểm soát dữ liệu của họ và không cần tới việc sử dụng mật khẩu.

Người tiêu dùng thường quen với việc sử dụng các dịch vụ miễn phí, nhưng thực chất chúng được trả tiền từ chính việc bán dữ liệu của họ mà không có sự đồng ý hoặc hiểu biết rõ ràng.

Tuy nhiên, giờ đây, mọi thứ đã thay đổi và người dùng bắt đầu lên tiếng chống lại các hành vi này. Điển hình là vụ việc Facebook phải đối mặt với vụ kiện tập thể liên quan đến các cá‌o buộc lạ‌m dụng dữ liệu nhận diện khuôn mặt của người dùng ở Illinois, trong khi cơ quan bảo vệ dữ liệu của Thụy Điển ban hành khoản phạt đầu tiên theo GDPR cho một trường học vì sử dụng công nghệ nhận dạng khuôn mặt không đúng cách.

Để đáp ứng các yêu cầu do những đạo luật mới này đưa ra, các sản phẩm và dịch vụ được thiết kế phải đảm bảo quyền riêng tư và cung cấp tính minh bạch hoàn toàn cho người dùng. Nếu các dịch vụ được xây dựng theo cách này, chúng ta sẽ có thể xây dựng hệ thống xác thực sinh trắc học tin cậy.

Cả chính phủ và các bộ, ngành liên quan đều có vai trò quan trọng trong việc cung cấp quyền truy cập vào các thuộc tính được xác minh trong hệ thống hệ thống xác thực sinh trắc học.

Năm 2018, Liên minh Nhận dạng (Better Identity Coalition) đã phát hành một báo cáo kêu gọi các nguồn lực chính phủ tin cậy để mở ra quyền truy cập vào các thuộc tính mà họ nắm giữ.

Nhiều chính phủ đã tìm cách giải quyết vấn đề làm thế nào để xác minh một ai đó thông qua các sáng kiến ​​như dịch vụ nhận diện, xác thực và tin cậy eIDAS (electronic identification, authentication and trust services) của Liên minh châu Âu, Khung tin cậy liên Canada (Pan-Canadian Trust Framework) và Khung nhận dạng kỹ thuật số tin cậy (Trusted Digital Identity Framework) của Úc.

Để không còn sử dụng mật khẩu, chúng ta cần phải buộc người dùng kiểm soát dữ liệu của chính họ. Điều này sẽ cho phép hoạt động của các cơ quan như World Wide Web Consortium, nơi phát triển các tiêu chuẩn toàn cầu cho web và Liên minh FIDO - một hiệp hội công nghiệp chuyên về các phương thức xác thực kỹ thuật số - dựa vào thiết bị và thuộc tính thời gian thực, để người dùng có thể tự xác minh từ xa và an toàn hơn.

Tương lai không mật khẩu đã gần kề. Chúng ta sẽ tiếp tục thấy những bước tiến vào năm 2020, nhưng ngay từ bây giờ cần phải hành động ngay để tăng cường các biện pháp xác thực số và giảm sự phụ thuộc vào mật khẩu.

Điều này có thể được thực hiện bằng cách cung cấp trải nghiệm người dùng đáng tin cậy, an toàn và thuận tiện hơn, giúp mọi người tự bảo vệ dữ liệu của họ, đồng thời cung cấp cho các công ty quyền truy cập vào mạng phi tập trung để nhận dạng kỹ thuật số tin cậy ở quy mô lớn. Từ đó cho phép quản lý các nền tảng số cũng như các dịch vụ kỹ thuật số khác nhau dễ dàng hơn trong thời gian thực, cung cấp mức độ tương tác và trải nghiệm tin cậy cho người dùng.

DY