Passkey không đáng sợ – chính mật khẩu mới là mối lo

Nhiều người ngần ngại trước khái niệm passkey, lo sợ nó phức tạp, khó dùng, hoặc chưa an toàn. Nhưng thực tế, chính mật khẩu truyền thống mới là nguồn gốc của vô vàn rủi ro mà chúng ta đang chịu đựng — từ phishing, dùng lại mật khẩu giữa nhiều tài khoản, đến bị đánh cắp khi server bị hack.

Passkey hoạt động dựa trên mã hóa công khai – riêng tư (public-private key cryptography): khi bạn tạo passkey, hệ thống sẽ sinh ra một cặp khóa — khóa công khai (public) được lưu trên máy chủ dịch vụ, còn khóa riêng (private) chỉ lưu trên thiết bị của bạn. Khóa riêng không bao giờ được gửi đi, nên kẻ tấn công không thể truy cập hoặc tái tạo nó nếu chỉ chiếm được khóa công khai.

Có hai cách phổ biến để lưu passkey:

• Lưu lên đám mây: Passkey được đồng bộ giữa các thiết bị thông qua tài khoản (Microsoft, Apple, Google…), thuận tiện khi dùng nhiều thiết bị.

• Lưu cục bộ: Đặt passkey trên thiết bị như máy tính, điện thoại hoặc USB bảo mật — cách này tăng độ an toàn, vì kẻ xấu cần chiếm được thiết bị để có thể dùng passkey.

Tuy nhiên, passkey không hoàn hảo nếu triển khai sai cách. Các điểm cần lưu ý:

• Passkey chỉ an toàn nếu hệ thống kiểm tra domain đúng — nó không thể bị dùng cho trang giả mạo (phishing) nếu thiết kế chuẩn.

• Nếu bạn lưu passkey trên đám mây nhưng tài khoản đám mây bị chiếm đoạt, passkey cũng có nguy cơ bị truy cập.

• Nếu bạn mất thiết bị mà không có bản sao lưu hoặc phương thức khôi phục, bạn có thể mất quyền truy cập vào tài khoản.

Nhận định & lời khuyên

Thay vì sợ passkey, hãy nghi ngờ mật khẩu. Passkey giúp loại bỏ việc nhớ nhiều mật khẩu, giảm rủi ro bị đánh cắp thông tin qua phishing hoặc vi phạm dữ liệu. Nhưng để áp dụng passkey hiệu quả, bạn cần chọn nơi lưu passkey an toàn (tốt nhất là thiết bị hoặc hệ thống đám mây bảo mật), sử dụng sinh trắc (vân tay, khuôn mặt) để xác thực và đảm bảo có phương thức phục hồi khi mất thiết bị.