Bị chê bai cũ kĩ, lạc hậu, chuỗi mật khẩu truyền thống vẫn là “vô đối” trong giới bảo mật

Ở thời điểm hiện tại, khi công nghệ bảo mật ngày càng phát triển với các hình thái đa dạng, nổi bật như bảo mật vân tay và mống mắt...nhiều người cho rằng kỉ nguyên của dãy kí tự mật khẩu đã đến lúc khép lại. 

Cũ kĩ, dễ bị lấy cắp, phiền toái...là những gì người ta hình dung về chuỗi mật khẩu (password) đã gắn bó bấy lâu. Thế nhưng việc xóa sổ phương thức đăng nhập thông qua mật khẩu không hề dễ dàng như chúng ta tưởng.

Vì đâu mật khẩu bị “ghẻ lạnh”?

Năm 2018, trao đổi về mục tiêu "Xây dựng một thế giới không có mật khẩu" với đội ngũ bảo mật, đại diện của Microsoft chia sẻ: "Không ai trong chúng ta thích mật khẩu cả. Chúng thật bất tiện, không an toàn, và đôi khi gây nhiều rắc rối. Thực tế, chúng tôi ghét mật khẩu nhiều đến nỗi, phải dồn hết sức lực của mình vào việc tạo ra một thế giới mới mà không có chúng – một thế giới hoàn toàn ‘sạch' mật khẩu".

Dễ dàng nhận thấy việc đặt mật khẩu ngày càng trở nên phiền toái. Thay vì password đơn giản như thời kì đầu, người dùng cần lựa chọn một dãy kí tự có độ phức tạp cao và khác nhau, với tài khoản trên mỗi trang web mà mình truy cập. Chỉ có như vậy mới đảm bảo giảm thiểu nguy cơ bị tin tặc đánh cắp mọi dữ liệu và thông tin cá nhân.  

Thế nhưng một vấn đề khác lại phát sinh, đó là quá khó khăn để nhớ nhiều mật khẩu cùng lúc. Khi bộ não và trí nhớ con người là giới hạn thì những phần mềm quản lý mật khẩu ra đời, hỗ trợ lưu trữ số lượng lớn password. Từ đó người dùng chỉ cần ghi nhớ duy nhất một mật khẩu để truy cập phần mềm này.

Ngay cả khi bạn đã có trong tay một phần mềm quản lý ưu việt cùng vô số mật khẩu khó thì không có gì chắc chắn về độ bảo mật, khi các hacker hoàn toàn có thể cài đặt keylogger hay mã độc (malware) lên thiết bị, link dẫn...để lấy thông tin từ bạn. Hay chính những phần mềm quản lý password đó cũng có thể bị lỗi. Ví dụ như Lastpass đã từng gặp lỗi XSS và CSRF (tìm hiểu tại đây) Đó cũng là nguyên do mà bảo mật 2 lớp qua mã OTP đến điện thoại/ thiết bị cá nhân khác ra đời. Độ phức tạp cũng vì thế mà tăng gấp đôi.

Rắc rối là thế nên giới chuyên môn đã tạo ra nhiều phương thức với mong muốn thay thế cho mật khẩu truyền thống.

Những phương thức bảo mật với tham vọng thay thế mật khẩu

Giới chuyên môn nhận định, suốt 2 thập kỉ qua có vô số kế hoạch được khởi tạo nhằm loại bỏ mật khẩu, nhưng đều thất bại. Tuy nhiên với  trình độ công nghệ tiến bộ vượt bậc cùng sự gia tăng như vũ bão của các thiết bị cá nhân thông minh, nhiều người vẫn nuôi hi vọng vào tính khả thi của việc này trong tương lai.

Điển hình như phát triển bảo mật sinh trắc học, sử dụng vân tay, mống mắt, face ID thay vì nhập mã pin. Với Microsoft, người dùng có thể tạo một tài khoản Windows mà không cần mật khẩu, thay vào đó, một chuỗi kí tự sẽ được gửi về số điện thoại của bạn qua tin nhắn SMS. 

Bản thân các thiết bị di động cá nhân cũng được sử dụng như một dạng password. Ví dụ như gần đây Google cho phép thiết bị Android hoạt động như các khóa FIDO2. Nếu muốn đăng nhập vào website trên máy tính của mình, bạn chỉ cần nhấn vân tay trên điện thoại cá nhân để xác thực.

Phương thức “đăng nhập 1 lần” cũng là một xu hướng nhằm giảm thiểu tính phụ thuộc mật khẩu. Người dùng có thể dễ dàng sử dụng các tài khoản Facebook, Google,..để đăng nhập các web, dịch vụ khác mà không cần tạo thêm tài khoản hay password.

Từ tham vọng đến thực tế

Những hình thức thay thế đầy tiềm năng nói trên mở ra hi vọng nhưng vẫn chưa thực sự giải quyết được bài toán bảo mật và khó để thay thế dãy kí tự mật khẩu truyền thống. 

Đi vào tìm hiểu sâu ta thấy rằng, mọi bảo mật sinh trắc đều yêu cầu passcode khi người dùng thay đổi cài đặt. Như vậy, sự thật là mã kí tự vẫn luôn tồn tại theo một hình thức nào đó để hỗ trợ tính bảo mật tuyệt đối. 

Bên cạnh đó, các hình thức sinh trắc còn gặp vấn đề kém bảo mật như: nhận dạng khuôn mặt bị qua mặt bởi video hoặc ảnh chụp, bảo mật vân tay bị đánh cắp bằng cách lấy dấu trên các đồ vật (hoặc trong lúc ngủ, hoặc bị ép buộc)....So với password thì với phương thức này, không gian lưu trữ, xử lý dữ liệu cũng khó khăn hơn.

Với các tài khoản Windows không cần mật khẩu, tưởng thuận tiện nhưng lại tiềm ẩn những nguy cơ không tưởng. Thay vì một chuỗi ký tự cố định cho tài khoản của bạn, phương thức này tạo ra các ký tự (thường là đơn giản) khác nhau mỗi khi bạn muốn đăng nhập và gửi đến điện thoại thông qua SMS. So với việc sử dụng mật khẩu truyền thống kết hợp với mã xác thực được gửi qua SMS thì phương pháp này kém an toàn hơn nhiều. 

Và khi sử dụng Google hay Facebook để đăng nhập 1 lần, các nhà dịch vụ sẽ dễ dàng theo dõi bạn đăng nhập vào các địa chỉ nào để khai thác thông tin cá nhân. 

Nếu bạn đặt hi vọng vào việc lấy thiết bị cá nhân làm mật khẩu, vậy thì trong trường hợp điện thoại hay laptop bị đánh cắp, mật khẩu các tài khoản bị quên lãng và không sử dụng đến bấy lâu sẽ là thứ đầu tiên chúng cần phải lấy lại.

Sự thực là...chúng ta vẫn cần dãy kí tự truyền thống

Dãy kí tự mật khẩu đã, đang và có vẻ sẽ vẫn là phương thức tốt nhất trong các trường hợp cần bảo mật cao. Có những trường hợp ta bắt buộc phải sử dụng đến mật khẩu, ví dụ điển hình như khi bạn sử dụng thiết bị Apple với các dạng bảo mật thay thế, bạn sẽ buộc phải nhập mật khẩu Apple ID khi thực hiện điều này trên các thiết bị không nằm trong hệ sinh thái của hãng này. Như vậy, các hình thức sinh trắc có thể giữ vai trò là hình thức bảo mật bổ sung cho mật khẩu.

Goldberg, giám đốc bộ phận bảo mật của công ty 1Password tiết lộ:“Số lượng người sử dụng 1Password ngày càng tăng, và các tập đoàn lớn như Apple, Google, hay Mozilla đang thật sự nghiêm túc hơn trong vấn đề quản lý mật khẩu. Vì việc tạo ra trang web sử dụng đăng nhập bằng mật khẩu là điều khá dễ dàng đối với các nhà cung cấp dịch vụ, giúp tiết kiệm chi phí và đơn giản các vấn đề liên quan.” 

Tóm lại, với sự phát triển công nghệ như vũ bão của ngày nay, chúng ta có quyền hi vọng vào một phương thức bảo mật tân tiến, tiện lợi và “ngầu” hơn dãy kí tự truyền thống. Mặc dù vậy, việc khai tử dãy kí tự mật khẩu vẫn đang chỉ là giấc mơ bởi muôn vàn những khó khăn chưa thể giải quyết.