Mật khẩu có còn tồn tại khi xuất hiện các lựa chọn thay thế thông minh?
An toàn thông tin - Ngày đăng : 14:31, 09/11/2018
Gần như tất cả các vi phạm dữ liệu bắt đầu với mật khẩu bị xâm nhập. Chúng được thu thập thông qua lừa đảo tinh vi, tấn công Brute-Force (kiểu tấn công hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu), tấn công phi kỹ thuật, phần mềm độc hại và nhiều hơn nữa - tuy nhiên, mật khẩu vẫn là tuyến phòng thủ đầu tiên và đôi khi là duy nhất để chống lại các cuộc tấn công mạng.
Các lựa chọn thay thế cho mật khẩu bao gồm sinh trắc học (giống tính năng FaceID của Apple), xác thực truyền thông xã hội (như “Đăng nhập bằng Facebook”) và nhiều ý tưởng khác thường khác như xác thực bằng hai lần nhấp. Ngoài ra còn có tiêu chuẩn xác thực hai yếu tố FIDO 2.0 của FIDO Alliance hiện đang được các tổ chức tài chính trên toàn thế giới chấp nhận; và các nhánh của nó, như cách tiếp cận WebAuthn của World Wide Web Consortium, loại bỏ yêu cầu mật khẩu bằng cách thực hiện một kỹ thuật mật mã nhằm giảm sự tiếp xúc cho người dùng.
"Trải nghiệm đăng nhập liên tục thay đổi dựa trên nhu cầu của người dùng và sự cần thiết của việc chống lại tội phạm mạng tinh vi ngày nay", Martin Gontovnikas, phó chủ tịch tiếp thị và tăng trưởng tại Auth0, nhà cung cấp định danh-như-một-dịch vụ sử dụng WebAuthn cho biết. "Phương pháp tiếp cận không mật khẩu là một tín hiệu của sự thay đổi trong ngành công nghiệp mà chúng ta đang hướng tới."
Tuy nhiên, đã có ít nhất một nhà nghiên cứu bảo mật tuyên bố rằng những nỗ lực giết mật khẩu sẽ thất bại ngay từ đầu vì các hệ thống xác thực thay thế có vấn đề về khả năng sử dụng cơ bản: Họ yêu cầu người dùng học cách làm điều gì đó khác với điều họ thường làm.
“Một điều khiến cho mật khẩu khiêm tốn vượt qua các lựa chọn thay thế cao cấp về mặt kỹ thuật là mọi người đều hiểu cách sử dụng nó. Mọi người.” Troy Hunt, tác giả của HaveIBeenPwned, cho biết trong một blog được công bố hôm thứ Hai. Ông nói thêm, "Ngay khi bạn yêu cầu mọi người bắt đầu làm điều gì đó mà họ không quen thuộc, rủi ro đi kèm với nó sẽ được khuếch đại lên và đánh bại toàn bộ mục đích của việc có dịch vụ ngay từ đầu."
Hunt thừa nhận triển vọng của các phương pháp tiếp cận sinh trắc học như FaceID của Apple và FIDO / WebAuthn, nhưng lưu ý, “chúng không thay thế mật khẩu, thay vào đó là cung cấp cho bạn một phương tiện xác thực thay thế.” Ông nói thêm với WebAuthn, “hy vọng là nó có thể xác định lại việc xác thực trong các dịch vụ trực tuyến theo cách mở, tiêu chuẩn hóa và có thể được áp dụng rộng rãi. Nhưng đã nhiều năm trôi qua.”
Những con số thống đang kê ủng hộ tuyên bố: Mặc dù các lựa chọn thay thế cho mật khẩu xuất hiện ngày càng nhiều trong đăng nhập dịch vụ và ứng dụng, các phương pháp này còn phải cố gắng rất nhiều trước khi chúng có thể tiến tới gần việc thay thế mật khẩu.
Trong một cuộc khảo sát người dùng của mình vào hè vừa rồi, Auth0 phát hiện ra rằng chỉ có 19,4% đang sử dụng tính năng “không mật khẩu” dựa trên WebAuthn. Việc xác minh qua phương tiện truyền thông xã hội có kết quả tốt hơn, Google dẫn đầu với 60,3%, tiếp theo là Facebook (24,1%). Theo xa phía sau là LinkedIn (8,8%), GitHub (7,1%), và Windows Live (6,8%). Chỉ có 11,4% khách hàng Auth0 đang sử dụng xác thực đa yếu tố dựa trên rủi ro, phương pháp sử dụng các yếu tố như vị trí địa lý, lọc IP, loại thiết bị và các gợi ý thông tin khác để xác minh danh tính.
"Tỷ lệ chấp nhận của xác thực đa yếu tố đang ở mức thấp nhưng nó là một tính năng quan trọng để ngăn chặn các cuộc tấn công lừa đảo, cũng như giảm khả năng bị tấn công", báo cáo lưu ý.
Những con số này tính trên số khách hàng đã sử dụng một nền tảng quản lý mật khẩu (Auth0). Tỷ lệ phần trăm trên tổng khách hàng của công ty có thể thấp hơn nhiều. Xem xét điều này trong bối cảnh bùng nổ sử dụng mật khẩu đang tiếp tục diễn ra thì rõ ràng việc “giết chết” mật khẩu là một mục tiêu không tưởng.
Một báo cáo từ Cybersecurity Ventures năm ngoái đã dự đoán số lượng mật khẩu sử dụng có khả năng sẽ vượt 300 tỷ vào năm 2020. Chỉ trong vài năm, con người sẽ sử dụng hơn 100 tỷ mật khẩu (trong khi số người online được dự đoán sẽ tăng lên ít hơn 4 tỷ vào năm 2020), các thiết bị IoT và máy kết nối chiếm thêm 200 tỷ mật khẩu.
Mặc dù mật khẩu có khả năng tiếp tục phổ biến với chúng ta trong một khoảng thời gian dài, tỷ lệ vi phạm dữ liệu có thể sẽ thúc đẩy các công ty tìm kiếm các giải pháp thay thế. Gartner dự đoán đến cuối năm 2020, các doanh nghiệp đầu tư vào phương pháp xác thực mới và kiểm soát thay thế sẽ trải qua ít hơn 50% số vi phạm về bảo mật liên quan đến danh tính so với các công ty không thực hiện điều này.
"Một số các biện pháp kiểm soát này có thể cung cấp các lợi ích bảo mật quan trọng.", công ty cho biết. Ví dụ: “Cổng email bảo mật (SEG) có thể giúp chống lại các cuộc tấn công lừa đảo. Các kiểm soát khác dành riêng cho các rủi ro về mật khẩu, và quyết định thực hiện phải được thực hiện trên cơ sở chi phí-lợi ích. ”
Hunt, về phần mình, nói rằng các công ty nên tìm kiếm các giải pháp "cải thiện tình hình mật khẩu, hơn là giải quyết nó,... mà không thay đổi cơ bản cách mọi người chứng thực."
Ví dụ, xem xét các bất thường trong hành vi là một cách thông minh để tăng cường bảo mật xác thực. Ông khuyên bạn không nên loại bỏ mật khẩu mà hãy thực hiện mô hình truy cập theo cấp bậc.
"Khi một người nào đó được xác thực thành công, họ có nên được cho quyền truy cập đầy đủ vào tất cả các tính năng không?", ông nói. “Ví dụ: nếu chỉ mất một vài bước để có được mật khẩu đúng và họ đã đến từ một trình duyệt ở một quốc gia khác chưa từng xuất hiện trước đó, họ có nên được truy cập không giới hạn vào mọi thứ không? Hay họ phải bị hạn chế ở các tính năng cơ bản và phải xác minh bằng địa chỉ email đã được đăng ký trước khi thực hiện bất kỳ điều gì quan trọng?”
Mặt khác, theo ông, “những kẻ giết mật khẩu” tự xưng là không thực tế trong mục tiêu của họ.
“Tất cả các giải pháp tuyên bố rằng sẽ ‘giải quyết vấn đề của mật khẩu’ đặt ra những thách thức khác, dẫn đến một tập hợp các vấn đề mới”, ông nói. "Đó là lý do tại sao [cách tiếp cận mới] không phải là “kẻ giết mật khẩu” và tại sao, trong tương lai gần, chúng ta sẽ phải tiếp tục cải thiện phương án xác thực mà mọi người đều biết cách sử dụng, đó là mật khẩu."