Không dùng mật khẩu sẽ giúp tăng tính an toàn, bảo mật cao hơn

An toàn thông tin - Ngày đăng : 08:11, 23/06/2023

Không dùng mật khẩu đang trở thành một xu hướng cho các tổ chức ngày nay. Tuy nhiên, phương pháp bảo mật mới cũng đặt ra nhiều thách thức.
An toàn thông tin

Không dùng mật khẩu sẽ giúp tăng tính an toàn, bảo mật cao hơn

Anh Minh {Ngày xuất bản}

Không dùng mật khẩu đang trở thành một xu hướng cho các tổ chức ngày nay. Tuy nhiên, phương pháp bảo mật mới cũng đặt ra nhiều thách thức.

Thực tế, việc thay đổi suy nghĩ của người dùng, để họ tin tưởng vào các phương pháp xác minh không cần mật khẩu là rất khó. Nhiều người vẫn cảm thấy mật khẩu mang lại cho họ cảm giác an toàn hơn.

Những thách thức của phương pháp bảo mật bằng mật khẩu

Vấn đề với việc tiếp tục sử dụng, bám vào mật khẩu là tội phạm mạng đang trở nên lão luyện hơn trong việc phá và hack mật khẩu. Mặc dù các công ty cung cấp trình tạo mật khẩu và sử dụng xác thực đa yếu tố, mật khẩu vẫn là một liên kết yếu.

Trên thực tế, tấn công brute force, một kỹ thuật tấn công được tội phạm mạng sử dụng để bẻ khóa các mật khẩu yếu, có thể mang lại kết quả đáng báo động. Một tin tặc có thể thử 2,18 nghìn tỷ kết hợp mật khẩu/tên người dùng trong 22 giây và nếu mật khẩu đơn giản, tài khoản có thể dễ dàng bị xâm phạm. Một phương pháp bẻ khóa mật khẩu khác là lợi dụng các tài khoản mà người dùng không bao giờ thay đổi mật khẩu sau khi chúng bị rò rỉ.

Tại Đông Nam Á, một báo cáo của Kaspersky cho thấy 47,8 triệu cuộc tấn công đã nhắm vào những người làm việc từ xa từ tháng 1 đến tháng 6/2022. Con số này tương đương với khoảng 265.000 cuộc tấn công trung bình hàng ngày.

Đặc biệt, Singapore đang chứng kiến sự gia tăng các cuộc tấn công như vậy. Chúng bao gồm các chiến dịch lừa đảo mà khách hàng của Ngân hàng OCBC đã trải qua vào năm ngoái, khiến các nạn nhân bị thiệt hại hơn 8,5 triệu đô la Singapore. Sau khi dịch bệnh bùng phát, các nhà chức trách đã đưa ra các biện pháp bảo mật mới bao gồm cấm gửi mọi liên kết trong email và SMS ngân hàng.

Gần đây hơn, người dân Singapore chứng kiện sự gia tăng các khoản phí trái phép đối với thẻ ghi nợ và thẻ tín dụng. Theo The Straits Times, nhiều giao dịch trái phép đã được báo cáo. Cơ quan An ninh mạng Singapore tuyên bố rằng những giao dịch nhỏ này có thể do tội phạm mạng thực hiện, nhằm kiểm tra để xác định hoặc xác thực chi tiết thẻ ghi nợ và thẻ tín dụng trước khi thực hiện các giao dịch lớn hơn. Người tiêu dùng được khuyến nghị đặt cảnh báo cho các giao dịch đó trên tài khoản của họ.

Một trường hợp khác gần đây ở Singapore liên quan đến Mediacorp, đài truyền hình quốc gia của nước này. Các báo cáo chỉ ra rằng khoảng 14.000 người dùng dịch vụ meconnect đã bị đặt lại mật khẩu sau khi tài khoản của họ bị một đối tượng bên ngoài không xác định truy cập. Thông tin đăng nhập được sử dụng để truy cập các dịch vụ của Mediacorp, chẳng hạn như nền tảng phát trực tuyến meWatch. Mediacorp đã thông báo cho tất cả các chủ tài khoản bị ảnh hưởng về vấn đề này và đặt lại mật khẩu của họ.

Đã đến lúc không nên dùng mật khẩu nữa?

Theo David Hope, Phó chủ tịch cấp cao phụ trách Châu Á - Thái Bình Dương và Nhật Bản tại ForgeRock, sự gia tăng gần đây về phí ghi nợ và thẻ tín dụng trái phép cho thấy các lỗ hổng liên quan đến hệ thống xác thực dựa trên mật khẩu truyền thống. Do đó, Hope tin rằng điều quan trọng hơn bao giờ hết là áp dụng các giải pháp không dùng mật khẩu để đảm bảo an toàn và bảo mật tốt hơn.

“Danh tính kỹ thuật số là chìa khóa để mọi người truy cập các dịch vụ như ngân hàng trực tuyến và bán lẻ một cách an toàn. Sự thay đổi này, cùng với lượng thông tin cá nhân được sử dụng để truy cập các dịch vụ như vậy, đã cung cấp nhiều giải pháp mới lớn hơn cho tội phạm mạng khai thác”.

Để tối ưu hóa bảo mật trơn tru và giảm thiểu những rủi ro mạng này, các tổ chức cần bỏ mật khẩu. Họ phải nhúng các biện pháp xác thực và xác thực thông minh hơn trong hệ sinh thái công nghệ của mình để bảo vệ bản thân và người dùng khỏi gian lận, đảm bảo dễ dàng xác định các mối đe dọa tiềm tàng, ông nói.

Xác thực không cần mật khẩu và các giải pháp bảo vệ khỏi mối đe dọa dựa trên AI khác tạo ra các biện pháp bảo mật chính xác hơn để bảo vệ thông tin nhận dạng kỹ thuật số. Thông qua phương pháp này, các tổ chức ở Singapore có thể điều hướng tốt hơn trước số lượng các cuộc tấn công ngày càng tăng, cải thiện trải nghiệm người dùng, giảm sự thiếu hiệu quả trong hoạt động và tiết kiệm chi phí từ việc đặt lại mật khẩu thông thường.

Khi Singapore tiếp tục dẫn đầu về số hóa trong khu vực, nhu cầu truy cập an toàn và xác thực được ủy quyền sẽ chỉ tiếp tục phát triển và các tổ chức phải tập trung vào việc cải thiện hệ thống của họ ngay hôm nay để chứng minh lợi thế cạnh tranh trong tương lai và bảo vệ người dùng của họ”, ông Dave Hope nói thêm.

“Không mật khẩu” thực sự có nghĩa là gì?

Xác thực không cần mật khẩu được mô tả là một phương tiện để xác minh danh tính của người dùng mà không cần sử dụng mật khẩu. Thay vào đó, các phương pháp không cần mật khẩu sử dụng các giải pháp thay thế an toàn hơn như sinh trắc học.

passwordless-2151150-1-0.jpg
Xác thực đa yếu tố trên thiết bị cá nhân đã được một số nhà cung cấp dịch vụ tài chính triển khai. (Ảnh minh họa)

Để hiệu quả, dữ liệu xác thực (thường là dấu vân tay sinh trắc học hoặc nhận dạng khuôn mặt) cần khớp với dữ liệu được lưu trữ trong cơ sở dữ liệu. Nếu không có sinh trắc học, có thể sử dụng mật khẩu hoặc xác thực đa yếu tố thông qua thiết bị cá nhân.

Xác thực đa yếu tố trên thiết bị cá nhân đã được một số nhà cung cấp dịch vụ tài chính triển khai, theo đó danh tính của người dùng được xác nhận thông qua dấu vân tay hoặc quét võng mạc trên thiết bị di động.

Liên minh FIDO (Fast IDentity Online) giúp thúc đẩy các tiêu chuẩn xác thực mở và giảm việc sử dụng mật khẩu như một hình thức xác thực. FIDO2 là tiêu chuẩn mới nhất kết hợp tiêu chuẩn xác thực web (WebAuthn).

Khóa bảo mật FIDO2 là một phương pháp xác thực không cần mật khẩu, dựa trên tiêu chuẩn, không thể lừa đảo được, có thể ở bất kỳ yếu tố hình thức nào. FIDO là một tiêu chuẩn mở để xác thực không cần mật khẩu. FIDO cho phép người dùng và tổ chức tận dụng các tiêu chuẩn để đăng nhập vào tài nguyên của họ mà không cần tên người dùng hoặc mật khẩu, bằng cách sử dụng khóa bảo mật bên ngoài hoặc khóa nền tảng được tích hợp trong thiết bị.

Những thách thức của việc không dùng mật khẩu

Việc không sử dụng mật khẩu mang đến một số thách thức cần được giải quyết để triển khai thành công. Nhưng điều quan trọng nhất là sự chấp nhận và quen thuộc của người dùng. Như đã đề cập ở trên, việc khiến người dùng chuyển từ thói quen sử dụng mật khẩu sang không sử dụng mật khẩu có thể gây nhầm lẫn cho một số người, đặc biệt là thế hệ cũ đã quen sử dụng chúng.

Việc giới thiệu các phương pháp xác thực mới có thể yêu cầu thay đổi tư duy và giáo dục người dùng để đảm bảo sự quen thuộc và chấp nhận rộng rãi. Ngoài ra, việc triển khai các giải pháp không cần mật khẩu thường yêu cầu những thay đổi đáng kể đối với các hệ thống và cơ sở hạ tầng hiện có. Các vấn đề về khả năng tương thích có thể phát sinh khi tích hợp với các hệ thống cũ được thiết kế hoạt động với mật khẩu, điều này có thể cản trở việc áp dụng các phương pháp không cần mật khẩu.

Các phương thức xác thực không cần mật khẩu cũng nên ưu tiên trải nghiệm người dùng liền mạch trong khi vẫn đảm bảo khả năng truy cập cho người dùng khuyết tật. Cân bằng các yêu cầu bảo mật với tính dễ sử dụng và đáp ứng các nhu cầu đa dạng của người dùng có thể là một thách thức.

Ngoài ra, một thách thức khác là quá trình khôi phục và quản lý tài khoản sẽ hoàn toàn khác. Thay vì chỉ đặt lại mật khẩu, các tổ chức cần phát triển các cơ chế thay thế để người dùng lấy lại quyền truy cập vào tài khoản của họ trong trường hợp mất thiết bị, thay đổi sinh trắc học hoặc các trường hợp khác.

Thực tế, do cơ sở hạ tầng trong nước, việc triển khai các hệ thống không cần mật khẩu sẽ phức tạp. Tuy nhiên, với khả năng kết nối của đất nước, việc triển khai các phương pháp như vậy chắc chắn là có thể. Câu hỏi duy nhất là liệu công chúng có cởi mở với những thay đổi như vậy không? Mặc dù hệ thống có thể hoạt động đối với một số phương thức xác thực, nhưng có thể mất một thời gian trước khi nó được triển khai./.

Anh Minh