“Kỷ nguyên của mật khẩu đang đi đến hồi kết”, hai lãnh đạo của Microsoft khẳng định trong một bài viết được đăng trên trang blog hồi tháng 7 vừa qua. Từ tháng 5 năm nay, Microsoft đã chính thức áp dụng mặc định các phương thức đăng nhập không dùng mật khẩu cho người dùng mới. Đây là bước đi mới nhất trong chiến lược dài hơi nhằm thay thế hoàn toàn mật khẩu bằng các giải pháp bảo mật hiện đại hơn. Các nền tảng lớn khác, trong đó có OpenAI với ChatGPT, cũng đã triển khai các bước xác thực bổ sung như gửi mã xác minh đến email người dùng trước khi cho phép truy cập thông tin nhạy cảm.
Theo chuyên gia an ninh mạng Benoit Grunemwald, tại công ty bảo mật ESET, mật khẩu hiện nay vừa yếu, vừa dễ bị lạm dụng. Người dùng thường sử dụng cùng một mật khẩu cho nhiều tài khoản, khiến chỉ một vụ rò rỉ cũng có thể mở đường cho hàng loạt vụ tấn công dây chuyền. Ông Grunemwald cảnh báo chỉ cần vài phút hoặc thậm chí vài giây, tin tặc có thể phá được mật khẩu gồm 8 ký tự. Trong nhiều vụ rò rỉ dữ liệu lớn, mật khẩu là mục tiêu chính, đặc biệt khi chính các nhà cung cấp dịch vụ không có biện pháp an toàn trong việc lưu trữ chúng.
Một cơ sở dữ liệu khổng lồ với khoảng 16 tỷ thông tin đăng nhập bị rò rỉ đã được các nhà nghiên cứu từ trang tin Cybernews phát hiện hồi tháng 6 năm nay – minh chứng cho thấy mức độ rủi ro từ việc tiếp tục sử dụng mật khẩu là không thể xem nhẹ. Liên minh Fast Identity Online (FIDO) – quy tụ các "ông lớn" như Google, Apple, Amazon, Microsoft và TikTok – đang dẫn đầu cuộc cách mạng thay thế mật khẩu. Trọng tâm là khóa truy cập (passkey) – một phương thức xác thực mới không dùng mật khẩu, hoạt động thông qua thiết bị cá nhân như điện thoại, sử dụng mã PIN hoặc sinh trắc học để xác minh danh tính người dùng.
Chuyên gia an ninh mạng người Australia Troy Hunt, người sáng lập trang Have I Been Pwned, nhận định khóa truy cập có thể ngăn chặn nguy cơ từ các trang web giả mạo (phishing) – vốn là nguyên nhân phổ biến nhất dẫn đến rò rỉ thông tin cá nhân. Ông cho rằng với khoá truy cập, người dùng không thể vô tình cung cấp cho một trang lừa đảo như với mật khẩu. Tuy nhiên, ông cũng thẳng thắn cho rằng tuyên bố “kết thúc kỷ nguyên mật khẩu” đã được đưa ra nhiều lần trong quá khứ mà chưa bao giờ thành hiện thực. Ông lưu ý: “10 năm trước, người ta đã nói về điều này. Nhưng thực tế là chúng ta đang có nhiều mật khẩu hơn bao giờ hết”.
Trong khi các nền tảng công nghệ lớn đang chuyển hướng trong cách thức bảo mật, phần lớn các trang web vẫn sử dụng hệ thống đăng nhập cũ – đơn giản, phổ biến, nhưng tiềm ẩn nhiều rủi ro. Hơn nữa, việc thiết lập khóa truy cập đòi hỏi người dùng phải cài đặt trước trên thiết bị cá nhân. Nếu điện thoại bị mất hoặc người dùng quên mã PIN, quy trình khôi phục sẽ phức tạp hơn nhiều so với việc đặt lại mật khẩu thông thường. Ông Hunt nhấn mạnh điểm mạnh lớn nhất của mật khẩu chính là sự quen thuộc – ai cũng biết cách sử dụng.
Tuy nhiên, dù công nghệ có thay đổi, yếu tố con người vẫn là trung tâm của an ninh mạng. Chuyên gia Grunemwald cảnh báo người dùng sẽ cần bảo vệ điện thoại thông minh hay các thiết bị của mình kỹ lưỡng hơn bởi trong tương lai, đó sẽ là mục tiêu bị tấn công hàng đầu.
