Apple Chấm Dứt Ý Nghĩa của Mật Khẩu. Đây là Mọi Thứ Bạn Cần Biết

Trong nhiều năm qua, chúng ta đã được hứa hẹn về sự kết thúc của đăng nhập dựa trên mật khẩu. Bây giờ, hiện thực về một tương lai không cần mật khẩu đang bước lên một bước lớn, với khả năng loại bỏ mật khẩu được triển khai cho hàng triệu người. Khi Apple ra mắt iOS 16 vào ngày 12 tháng 9 và macOS Ventura vào tháng sau, phần mềm sẽ bao gồm giải pháp thay thế mật khẩu của nó, được biết đến là passkeys, cho iPhone, iPad và Mac.

Passkeys cho phép bạn đăng nhập vào ứng dụng và trang web hoặc tạo tài khoản mới mà không cần tạo, ghi nhớ hoặc lưu trữ mật khẩu. Passkey này, được tạo ra từ một cặp khóa mật mã, thay thế mật khẩu truyền thống của bạn và được đồng bộ hóa trên Keychain của iCloud. Nó có tiềm năng loại bỏ mật khẩu và cải thiện an ninh trực tuyến của bạn, thay thế những mật khẩu không an toàn và thói quen xấu mà bạn có thể đang sử dụng ngay bây giờ.

Việc triển khai passkeys của Apple là một trong những ứng dụng lớn nhất của công nghệ không cần mật khẩu cho đến nay và xây dựng trên nhiều năm công việc của FIDO Alliance, một nhóm ngành công nghiệp được tạo thành từ những công ty công nghệ lớn. Passkeys của Apple là phiên bản của chuẩn được tạo ra bởi FIDO Alliance, có nghĩa là chúng sẽ cuối cùng làm việc với hệ thống của Google, Microsoft, Meta và Amazon.

Khái niệm về Mật khẩu dự phòng là gì?

Việc sử dụng Mật khẩu dự phòng tương tự như việc sử dụng mật khẩu. Trên các thiết bị của Apple, nó được tích hợp vào các hộp mật khẩu truyền thống mà các trang web và ứng dụng sử dụng để bạn đăng nhập. Mật khẩu dự phòng hoạt động như một chiếc chìa khóa số duy nhất và có thể được tạo ra cho mỗi ứng dụng hoặc trang web bạn sử dụng. (Từ “mật khẩu dự phòng” cũng đang được sử dụng bởi Google và Microsoft, với FIDO gọi chúng là “mật khẩu đa thiết bị FIDO.”)

Nếu bạn mới sử dụng một ứng dụng hoặc trang web, có khả năng bạn có thể tạo ra một mật khẩu dự phòng thay vì mật khẩu từ đầu. Nhưng đối với các dịch vụ mà bạn đã có tài khoản, có khả năng bạn sẽ cần đăng nhập vào tài khoản hiện tại đó bằng mật khẩu và sau đó tạo một mật khẩu dự phòng.

Các bản trình diễn của công nghệ của Apple cho thấy một cửa sổ hộp thoại xuất hiện trên thiết bị của bạn trong quá trình đăng nhập hoặc tạo tài khoản. Hộp này sẽ hỏi liệu bạn có muốn “lưu một mật khẩu dự phòng” cho tài khoản bạn đang sử dụng hay không. Ở giai đoạn này, thiết bị của bạn sẽ yêu cầu bạn sử dụng Face ID, Touch ID, hoặc một phương thức xác minh khác để tạo mật khẩu dự phòng.

Khi đã tạo, mật khẩu dự phòng có thể được lưu trữ trong iCloud Keychain và đồng bộ trên nhiều thiết bị—nghĩa là mật khẩu dự phòng của bạn sẽ có sẵn trên iPad và MacBook mà không cần làm thêm bất kỳ công việc nào khác. Mật khẩu dự phòng hoạt động trong trình duyệt web Safari của Apple cũng như trên các thiết bị của họ. Chúng cũng có thể được chia sẻ với các thiết bị Apple gần đó bằng cách sử dụng AirDrop.

Vì mật khẩu dự phòng của Apple dựa trên các tiêu chuẩn không sử dụng mật khẩu rộng lớn được tạo ra bởi Liên minh FIDO, có khả năng chúng có thể được lưu trữ ở nơi khác ngoài ra. Ví dụ, quản lý mật khẩu Dashlane đã công bố sự hỗ trợ cho mật khẩu dự phòng, tuyên bố rằng đó là một “giải pháp độc lập và phổ quát không phụ thuộc vào thiết bị hoặc nền tảng.”

Trong khi Apple đang ra mắt mật khẩu dự phòng với iOS 16 và macOS Ventura, có một số lưu ý về triển khai của nó. Trước tiên, bạn cần cập nhật thiết bị của mình lên hệ điều hành mới. Thứ hai là ứng dụng và trang web cần hỗ trợ việc sử dụng mật khẩu dự phòng—họ có thể làm điều này bằng cách sử dụng các tiêu chuẩn FIDO. Trước khi Apple cập nhật, chưa rõ ứng dụng hoặc trang web nào đã hỗ trợ mật khẩu dự phòng, mặc dù Apple đã giới thiệu công nghệ này đến các nhà phát triển tại hội nghị phát triển của mình vào năm 2021.

Làm thế nào Mật khẩu dự phòng của Apple hoạt động?

Dưới bộ áo của mình, mật khẩu dự phòng của Apple dựa trên API xác thực Web (WebAuthn), được phát triển bởi Liên minh FIDO và Tổ chức World Wide Web (WC3). Chính mật khẩu dự phòng sử dụng mật mã khóa công khai để bảo vệ tài khoản của bạn. Do đó, một mật khẩu dự phòng không phải là điều có thể được (dễ dàng) gõ.

Khi bạn tạo một mật khẩu dự phòng, một cặp khóa số kỹ thuật số có liên quan được tạo ra bởi hệ thống của bạn. “Những khóa này được tạo ra bởi thiết bị của bạn, một cách an toàn và duy nhất, cho mỗi tài khoản,” Garrett Davidson, một kỹ sư thuộc nhóm trải nghiệm xác thực của Apple, nói trong một video về mật khẩu dự phòng. Một trong những khóa này là công khai và được lưu trữ trên máy chủ của Apple, trong khi khóa khác là khóa bí mật và ở trên thiết bị của bạn mọi lúc. “Máy chủ không bao giờ biết khóa bí mật của bạn là gì, và thiết bị của bạn giữ nó an toàn,” Davidson nói.

Khi bạn cố gắng đăng nhập vào một trong các tài khoản của bạn bằng mật khẩu dự phòng, máy chủ trang web hoặc ứng dụng gửi thiết bị của bạn một “thách thức,” về cơ bản là yêu cầu thiết bị của bạn chứng minh rằng đó là bạn đang đăng nhập. Khóa bí mật, được lưu trữ trên thiết bị của bạn, có thể trả lời thách thức này và gửi lại phản hồi của mình. Câu trả lời này sau đó được xác nhận bởi khóa công khai, từ đó cho phép bạn đăng nhập. “Điều này có nghĩa là máy chủ có thể chắc chắn rằng bạn có khóa bí mật đúng, mà không cần biết khóa bí mật thực sự là gì,” Davidson nói.

Nếu Tôi Không Chỉ Sử Dụng Thiết Bị Apple?

Do Apple phát triển mật khẩu dự phòng của mình dựa trên tiêu chuẩn của Liên minh FIDO, các mật khẩu dự phòng có thể hoạt động trên nhiều thiết bị và trên web. Nếu bạn cố gắng đăng nhập vào một trong các tài khoản của bạn trên máy tính chạy Windows, bạn sẽ phải sử dụng một phương pháp khác một chút vì mật khẩu dự phòng của bạn sẽ không được lưu trữ trên máy đó. (Nếu chúng được lưu trong một quản lý mật khẩu bên ngoài, bạn sẽ cần đăng nhập vào đó trước).

Thay vào đó, khi bạn đăng nhập vào một trang web trong Google Chrome, ví dụ, bạn sẽ phải sử dụng một mã QR và iPhone của bạn để giúp bạn đăng nhập. Mã QR chứa một URL bao gồm các khóa mã hóa sử dụng một lần. Một khi đã quét, điện thoại của bạn và máy tính có thể giao tiếp bằng cách sử dụng một mạng lưới được mã hóa từ đầu đến cuối thông qua Bluetooth và chia sẻ thông tin.

“Điều này có nghĩa là một mã QR được gửi trong một email hoặc được tạo ra trên một trang web giả mạo sẽ không hoạt động, vì một kẻ tấn công từ xa sẽ không thể nhận được quảng cáo Bluetooth và hoàn tất sự trao đổi cục bộ,” Davidson nói. Quá trình này xảy ra giữa điện thoại của bạn và trình duyệt web—trang web bạn đang đăng nhập không liên quan.

Ngoài Apple, các công ty công nghệ khác đang ở các giai đoạn khác nhau của việc triển khai công nghệ mật khẩu dự phòng của họ. Trang phát triển của Google nói rằng nó đặt mục tiêu có sẵn hỗ trợ mật khẩu dự phòng cho các nhà phát triển Android “về cuối năm 2022.” Microsoft đã sử dụng một số hệ thống đăng nhập không sử dụng mật khẩu trong vài năm qua và nói rằng “trong tương lai gần,” mọi người sẽ có thể đăng nhập vào tài khoản Microsoft bằng một mật khẩu dự phòng từ thiết bị Apple hoặc Google.

Passkeys Có Tốt Hơn Mật Khẩu?

Không có hệ thống nào là hoàn hảo, nhưng mật khẩu mà mọi người đang sử dụng hiện nay là một trong những vấn đề bảo mật lớn nhất trên web. Mỗi năm, những mật khẩu phổ biến mà mọi người sử dụng—theo phân tích của các vụ rò rỉ dữ liệu—đều bắt đầu bằng “123456789” và “password.” Việc sử dụng mật khẩu yếu và lặp lại là một trong những rủi ro quan trọng nhất đối với cuộc sống trực tuyến của bạn.

Có sự hỗ trợ rộng rãi cho việc từ bỏ mật khẩu—Liên minh FIDO liên quan đến hầu hết mọi công ty công nghệ lớn, và tất cả họ đều đang làm việc để loại bỏ mật khẩu. Jen Easterly, giám đốc Cơ quan An ninh và Hạ tầng Mạng lưới An ninh của Hoa Kỳ, hoan nghênh việc áp dụng các công nghệ không sử dụng mật khẩu vào tháng 5 năm nay.

“Mỗi mật khẩu dự phòng đều mạnh mẽ. Chúng không thể đoán được, không được sử dụng lại, hoặc yếu,” Apple nói trong tài liệu của mình về mật khẩu dự phòng. “Để thực sự giải quyết vấn đề mật khẩu, chúng ta cần đi xa hơn mật khẩu,” Google nói trong mô tả riêng về mật khẩu dự phòng của mình. Nó khẳng định rằng mật khẩu dự phòng sẽ giúp giảm thiểu các cuộc tấn công lừa đảo—người ta không thể bị lừa gạt để chia sẻ mật khẩu dự phòng của họ—và mật khẩu dự phòng ít làm mục tiêu cho hacker vì chi tiết của chúng không được lưu trữ trên máy chủ.

Mặc dù có sự hứng thú với mật khẩu dự phòng, mật khẩu vẫn sẽ tồn tại trong thời gian dài nữa. Chuyển đổi người ta từ việc sử dụng mật khẩu sang một phương thức đăng nhập mới đòi hỏi họ phải tin tưởng và hiểu rõ hệ thống mới; các ứng dụng và trang web cũng cần hỗ trợ mật khẩu dự phòng. Và vẫn còn một số câu hỏi chưa có câu trả lời, như việc sao lưu đám mây từ iOS sang Android có tương thích hay không. Mật khẩu chưa chết hoàn toàn, nhưng nó đang dần dần kết thúc.