Với xác thực không dùng mật khẩu, người dùng sẽ được cung cấp phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu, qua hình thức dựa trên email, những mật khẩu dùng một lần trong một khoảng thời gian được gửi qua tin nhắn SMS (OTP), sinh trắc học hoặc các phương pháp xác thực dựa trên mã thông báo của phần cứng (token). Tất cả các công cụ không dùng mật khẩu này đơn giản, dễ sử dụng và hấp dẫn người dùng. Tuy nhiên, khi nghiên cứu thì thấy rằng, với một số loại hình hoặc tình huống thì vẫn cần có sự kết hợp mật khẩu trong quá trình xác thực.
Với các giải pháp xác thực không cần mật khẩu mới này, các mật khẩu thường được sử dụng trong tình huống dự phòng hoặc mất an toàn khi hệ thống từ chối quyền truy nhập của người dùng hợp lệ. Ví dụ, người dùng sẽ gặp sự cố về việc xác minh danh tính qua xác thực sinh trắc học khi đang đeo khẩu trang, tính năng quét khuôn mặt sẽ không hoạt động, hệ thống sẽ mặc định nhắc người dùng cần nhập mật khẩu.
Điều này cũng được thực hiện tương tự đối với việc đọc dấu vân tay. Do đó, ngay cả khi một tổ chức đã áp dụng hình thức xác thực không mật khẩu cho mọi ứng dụng và dịch vụ thì những tài khoản này vẫn cần sử dụng thêm mật khẩu để xác thực để dự phòng. Điều này có nghĩa là các tổ chức vẫn không thể hoàn toàn loại bỏ mật khẩu để thay thế cho phương pháp xác thực không dùng mật khẩu.
Tuy nhiên, vẫn có một số hệ thống đang cố gắng loại bỏ sự phụ thuộc vào những mật khẩu dự phòng này, bằng việc sử dụng sinh trắc học trong thiết bị cục bộ và mã PIN để mở khóa các khóa mã hóa không đối xứng, sau đó sử dụng để xác thực với máy chủ.
Windows Hello của Microsoft là một ví dụ điển hình. Trong những tình huống thích hợp, về mặt lý thuyết, các giải pháp mới này có thể sử dụng để loại bỏ các mật khẩu khỏi dịch vụ thư mục. Tuy nhiên, trong thực tế, chưa có giải pháp tối ưu nào để truy nhập tài khoản của người dùng từ các thiết bị không phải của Microsoft. Ví dụ như truy nhập trình duyệt email Exchange của công ty từ thiết bị di dộng. Thông thường, các trường hợp này vẫn phải duy trì thêm việc dùng mật khẩu cho người dùng.
Một lĩnh vực khác mà thông tin đăng nhập vẫn yêu cầu là hệ thống xác thực trên phần phụ trợ. Trong các tổ chức lớn, hầu như bắt buộc phải có các hệ thống hoặc ứng dụng yêu cầu mật khẩu để xác thực. Dù với bất cứ lý do gì, quản trị viên CNTT là người hiểu rõ về thông tin đăng nhập cho tất cả các loại hệ thống không hỗ trợ đăng nhập một lần không cần mật khẩu. Một số hệ thống này là kế thừa và không có khả năng cập nhật để hỗ trợ cho việc đăng nhập một lần không cần mật khẩu của công ty. Trong trường hợp này, việc loại bỏ hoặc thay thế chúng có thể không phải là một lựa chọn tốt.
Các tổ chức phải đánh giá cẩn thận những hệ thống không dùng mật khẩu khi họ cố gắng cải thiện bảo mật và hiểu rằng mật khẩu thông thường vẫn là một yếu tố xác thực. Một số thách thức bổ sung cần xem xét với các giải pháp xác thực vô hình này bao gồm:
Nhiều công nghệ mới này tuy có tính sáng tạo, nhưng đòi hỏi người dùng phải sử dụng điện thoại thông minh hoặc máy tính xách tay. Ví dụ, nếu các tổ chức muốn sử dụng phương pháp xác thực sinh trắc học thì người dùng cần một thiết bị có khả năng cập nhật những tính năng đó. Chi phí để thực hiện việc này trong các tổ chức là tương đối lớn. Tương tự như vậy, các mã token yêu cầu một khoản đầu tư khá lớn, cùng với đó những mã này thường dễ bị mất nên chi phí là mang tính định kỳ. Đây là một thách thức đối với cả nhân viên và những tài khoản của người dùng.
Một trong những thách thức là việc tiến hành triển khai một hệ thống không dùng mật khẩu để khắc phục sự không tương thích với các hệ thống cũ. Việc chuyển đổi tất cả các hệ thống này cho các tổ chức với rất nhiều người dùng, nhiều ứng dụng, các cơ sở hạ tầng kết hợp và đăng nhập phức tạp đòi hỏi mất nhiều công sức và tiền bạc. Các tổ chức không nên thực hiện dự án này một cách qua loa. Ngược lại, giải pháp dùng mật khẩu lại tương thích phổ biến và hoạt động trên tất cả các thiết bị, phiên bản và các hệ điều hành.
Có một số xác thực không dùng mật khẩu đòi hỏi người dùng phải dựa vào thiết bị. Nếu thiết bị bị mất hoặc bị đánh cắp thì kẻ tấn công có thể có quyền truy nhập vào nhiều tài nguyên của công ty thông qua xác thực không dùng mật khẩu bằng cách giả mạo sinh trắc học.
Tin tặc luôn cố gắng tìm ra lỗ hổng trong các công cụ xác thực mới xuất hiện. Từ việc giả mạo đến việc đánh tráo sim để lừa đảo, tin tặc sẽ cố gắng tìm ra sơ hở sớm nhất thay cho mật khẩu nhằm xâm nhập vào hệ thống thiết bị người dùng.
Khi những giải pháp này trở nên phổ biến, các tin tặc sẽ tiếp tục khai thác mọi lỗ hổng. Điều này chỉ làm tăng thêm khối lượng công việc của các nhóm bảo mật vốn đã quá tải. Đặc biệt, khi cơ sở dữ liệu sinh trắc học bị rò rỉ và bị tấn công, người dùng sẽ không thể thay đổi khuôn mặt hoặc các dấu vân tay giống như mật khẩu.
Có một số sản phẩm được giới thiệu là không dùng mật khẩu, chỉ sử dụng email hoặc OTP dựa trên SMS. Nếu như vậy, những kẻ tấn công có thể xâm phạm những tài khoản email và đánh tráo SIM. Dựa vào các cơ chế này khi phương pháp xác thực không dùng mật khẩu áp dụng cho mọi thứ thì các ứng dụng bảo mật cấp thấp hơn có thể sẽ gặp thêm nhiều rắc rối.
Với những thách thức này, chiến lược tốt hơn cho các tổ chức là áp dụng phương pháp xác thực kết hợp trong đó việc xác thực không dùng mật khẩu được giới thiệu một cách cẩn trọng để tạo sự đơn giản cho người dùng và tăng tính bảo mật trong khi vẫn tiếp tục theo đuổi các công nghệ. Thực tế là tăng cường các mật khẩu để làm nền tảng cho những giải pháp không dùng mật khẩu trong tương lai.
Cần nhớ rằng, vấn đề với các mật khẩu là do các tổ chức áp dụng chính sách mật khẩu yếu kém cùng với thái độ của người dùng chứ không phải do vấn đề về mật khẩu. Do đó, cách tiếp cận đa lớp vẫn là phương thức tốt nhất cho các tổ chức muốn có một quy trình mạnh mẽ, an toàn và không phức tạp.
Sự đổi mới của việc không dùng mật khẩu sẽ tiếp tục được đẩy mạnh trong sử dụng. Các tổ chức nên tìm kiếm những tùy chọn khác nhau phù hợp với tổ chức của mình. Tuy nhiên, cần chú ý rằng, mật khẩu vẫn là một phần quan trọng của quá trình xác thực kết hợp trong tương lai gần và vẫn phải đảm bảo sự phù hợp.
Trần Thanh Tùng
(Theo helpnetsecurity)
14:00 | 29/10/2020
08:00 | 15/02/2022
20:00 | 03/02/2022
16:00 | 07/12/2020
10:00 | 13/07/2020
15:00 | 16/09/2021
13:00 | 14/07/2022
10:00 | 16/11/2021
07:00 | 24/05/2021
14:00 | 28/04/2021
14:00 | 07/03/2022
15:00 | 20/11/2023
Việc áp dụng và phát triển các công nghệ liên quan đến trí tuệ nhân tạo (AI) đã có những tiến bộ vượt bậc trong năm 2023. Một lĩnh vực dường như đã sẵn sàng được hưởng lợi từ AI là quản lý rủi ro của bên thứ ba, nghĩa là AI có thể cung cấp cho các tổ chức một cách tự động hóa hơn để quản lý rủi ro của nhà cung cấp bên thứ ba, đồng thời đảm bảo tuân thủ quy định phức tạp.
15:00 | 26/10/2023
Mỹ có kế hoạch tạm dừng xuất khẩu các chip trí tuệ nhân tạo tiên tiến hơn do Nvidia và các công ty khác thiết kế đến Trung Quốc. Đây là một trong một loạt biện pháp được công bố nhằm tìm cách ngăn Trung Quốc tiếp nhận các công nghệ tiên tiến của Mỹ để tăng cường tiềm lực quân sự.
15:00 | 14/04/2023
Sự tăng trưởng nhanh chóng của các thiết bị kết nối Internet (Internet of Things-IoT) đã và đang thay đổi cách thức sống, làm việc và cả cách tạo ra, chia sẻ, thu thập, sử dụng dữ liệu của người dùng. Hiện tại có trên 14 tỷ thiết bị IoT trên toàn thế giới, con số này ước tính sẽ còn tăng cao lên tới 27 tỷ thiết bị vào năm 2025. Dự kiến trong năm 2023, thế giới sẽ chứng kiến các thiết bị IoT được triển khai rộng rãi trên nhiều mặt với nhiều công nghệ và nhiều ứng dụng mới. Cùng với sự tăng trưởng đó, vấn đề bảo mật dữ liệu và cách thức doanh nghiệp cần thích nghi để đáp ứng những yêu cầu, quy định được đặt ra là rất cần thiết. Dưới đây là những xu hướng IoT chủ yếu có thể kể đến trong năm 2023.
15:00 | 12/09/2022
Hòa chung khí thế của toàn Đảng, toàn quân và toàn dân chào mừng kỷ niệm 77 năm cách mạng tháng Tám và Quốc khánh 02/9, chào mừng 77 năm ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2022), sáng ngày 12/9, Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã long trọng tổ chức Lễ đón nhận Huân chương Lao động hạng Ba do Chủ tịch nước trao tặng.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Sáng 23/8, Đoàn Công tác của Ban Cơ yếu Chính phủ do đồng chí Hoàng Văn Thủy, Phó Cục trưởng Cục Chứng thực số và bảo mật thông tin làm trưởng đoàn đã tới kiểm tra về tình hình sử dụng chữ ký số chuyên dùng Chính phủ trong hoạt động của cơ quan Nhà nước tại Yên Bái.
19:00 | 25/08/2023
Việc áp dụng và phát triển các công nghệ liên quan đến trí tuệ nhân tạo (AI) đã có những tiến bộ vượt bậc trong năm 2023. Một lĩnh vực dường như đã sẵn sàng được hưởng lợi từ AI là quản lý rủi ro của bên thứ ba, nghĩa là AI có thể cung cấp cho các tổ chức một cách tự động hóa hơn để quản lý rủi ro của nhà cung cấp bên thứ ba, đồng thời đảm bảo tuân thủ quy định phức tạp.
15:00 | 20/11/2023
