Passkey không đáng sợ — mật khẩu mới thực sự là vấn đề: Phá bỏ những hiểu lầm về bảo mật

Nhiều người vẫn e ngại passkey vì chưa thực sự hiểu cách nó hoạt động. Nhưng thực chất, chính mật khẩu truyền thống mới là thứ chứa nhiều rủi ro. Hãy cùng bóc tách một số hiểu lầm phổ biến và nhìn rõ hơn ưu điểm của passkey.

Passkey là gì?

Passkey là tên thông dụng cho chuẩn WebAuthn trong xác thực — sử dụng mã hóa khóa công khai (public-key cryptography). Khi bạn tạo passkey, hệ thống tạo ra một cặp khóa: khóa công khai (public key) được gửi cho trang web, trong khi khóa riêng tư (private key) chỉ bạn giữ. Khóa riêng tư không bao giờ được truyền đi hoặc sao chép, giúp nâng cao tính an toàn.

Bạn có thể lưu passkey theo hai cách:

• Lưu trên đám mây (cloud storage): Apple, Microsoft, Google đều hỗ trợ lưu passkey kèm tài khoản của bạn. Bạn có thể truy cập từ nhiều thiết bị nếu đăng nhập cùng tài khoản. 
  
   
• Lưu cục bộ (local storage): Passkey có thể lưu chỉ trên thiết bị như điện thoại, máy tính cá nhân, hoặc trong thiết bị bảo mật như YubiKey. Cách này an toàn nếu bạn giữ thiết bị tốt, nhưng nếu mất thiết bị mà không có bản sao lưu, bạn có thể bị khóa tài khoản. 
  
   

WebAuthn cũng phân biệt giữa “roaming authenticator” (thiết bị di động như YubiKey) và “platform authenticator” (thiết bị gốc như điện thoại hoặc máy tính) — tức là cách sử dụng và di chuyển passkey giữa thiết bị như thế nào tùy thuộc vào loại xác thực.

Các lỗ hổng & hiểu lầm thường gặp về passkey

Lừa đảo (phishing)

Passkey chống phishing tốt hơn mật khẩu vì:

• Không có khóa riêng bị gửi đi hoặc chia sẻ, nên tin tặc không thể đánh cắp cùng cách như lấy mật khẩu. 
  
   
• Khi trang giả mạo cố gắng yêu cầu passkey, trình duyệt kiểm tra tên miền gốc của passkey và từ chối nếu không khớp. Việc yêu cầu ghi đè như autofill trong mật khẩu không thể xảy ra với passkey. 
  
   

Bảo mật sinh trắc học & PIN

Khi bạn dùng sinh trắc học (vân tay, khuôn mặt) hoặc PIN để mở passkey, thao tác đó chỉ diễn ra trên thiết bị của bạn. Dữ liệu sinh trắc học không được gửi ra máy chủ. Trong một số khu vực, PIN có thể bị buộc tiết lộ theo luật, trong khi sinh trắc học thường không chịu quy định này — mặc dù nó vẫn có nhược điểm nếu thiết bị bị xâm nhập.

Tại sao passkey an toàn hơn mật khẩu?

• Không gửi mật khẩu qua mạng: passkey xác thực bằng cách tương tác khóa công khai/riêng tư, không có quá trình truyền chia sẻ mật khẩu. 
  
   
• Khả năng chống phishing cao: passkey không thể bị sử dụng nếu tên miền không hợp lệ. 
  
   
• Loại bỏ việc tái sử dụng mật khẩu: mỗi passkey là độc nhất cho mỗi dịch vụ — bạn không dùng chung như mật khẩu. 
  
   
• Giảm rủi ro từ máy chủ bị tấn công: khi server bị hack, hacker có thể lấy bảng băm mật khẩu, nhưng không thể lấy passkey vì khóa riêng không được lưu ở server. 
  
   

Lưu ý khi sử dụng passkey

• Nếu bạn mất thiết bị và không có bản sao lưu hoặc passkey phụ trợ, bạn có thể mất quyền truy cập. 
  
   
• Khi lưu passkey trên đám mây, nếu tài khoản lưu trữ bị xâm nhập, passkey của bạn cũng có thể bị dùng. 
  
   
• Việc truyền đổi passkey giữa các hệ sinh thái (Apple, Google, Microsoft) hiện vẫn gặp khó khăn, nhưng lĩnh vực này đang được cải thiện.