Không bao giờ có vấn đề làm thay đổi thế giới khỏi mật khẩu mất nhiều năm. Công nghệ xác thực số, mặc dù có nhược điểm sâu sắc, nhưng lan rộng và bền vững. Trong năm năm qua, Hiệp hội An toàn Xác thực Trực tuyến, được biết đến là FIDO Alliance, đã tiến triển thực sự trong việc quảng bá “phím qua mạng,” một lựa chọn không cần mật khẩu để đăng nhập vào ứng dụng và trang web. Tuy nhiên, bạn có thể vẫn sử dụng nhiều mật khẩu mỗi ngày. Trên thực tế, có thể bạn không có tài khoản nào được bảo vệ bằng phím qua mạng, mặc dù đã có sự thông dụng rộng rãi từ Microsoft, Google, Apple, và nhiều hãng khác.
Tại hội nghị an toàn RSA ở San Francisco trong tuần tới, Christiaan Brand, đồng chủ tịch của nhóm làm việc kỹ thuật FIDO2 và quản lý sản phẩm về danh tính và an ninh tại Google, sẽ trình bày về những tính năng mới và sự phát triển trong việc sử dụng phím qua mạng. Anh cũng dự định xem xét về những thách thức hiện tại mà phím qua mạng đang phải đối mặt trong việc đối phó với sự trì trệ mà mật khẩu đã tích tụ qua hàng thập kỷ—và sự chơi dài trong việc từ từ đánh bại sự thống trị của mật khẩu.
“Điều mà tôi muốn nhấn mạnh là chúng ta đã đi được bao xa, nhưng vẫn còn những vấn đề chưa được giải quyết,” Brand nói. “Mật khẩu ở mọi nơi, và chúng là tồi, nhưng mọi người đã quá quen với chúng. Người dùng không muốn bất ngờ, và họ không thích sự thay đổi. Vì vậy, quan trọng là nghĩ về phím qua mạng như một bổ sung. Chúng ta cần đẩy người dùng đến điều sẽ dễ dàng và an toàn hơn."
Trong năm qua, theo Brand, FIDO đã đạt được tiến triển đáng kể trong việc triển khai các tính năng hỗ trợ tầm nhìn không cần mật khẩu của họ. Cơ sở hạ tầng hiện đã sẵn sàng để hỗ trợ sao lưu các phím qua mạng để chúng có thể đồng bộ giữa các thiết bị, đẩy dịch vụ để nhắc người dùng về các phím qua mạng thay vì luôn mặc định là tên người dùng và mật khẩu, và sử dụng cảm biến tiệm cận dựa trên Bluetooth để chia sẻ xác thực phím qua mạng giữa các thiết bị. Ba điểm này đều giải quyết những vấn đề lớn về tính khả dụng mà FIDO công bố cố gắng cải thiện một năm trước.
Tuy nhiên, trong thực tế, vẫn còn những thách thức, và việc phát triển những giải pháp này đã mất thời gian. Ví dụ, Brand nói rằng giao thức tiệm cận dựa trên Bluetooth mới đã được thiết kế cẩn thận để tránh những vấn đề bảo mật mà thường xuyên làm phiền các triển khai Bluetooth. Ý tưởng là loại bỏ hầu hết các chức năng của Bluetooth và sử dụng duy nhất giao thức để kiểm tra tiệm cận thay vì bất kỳ chuyển dữ liệu nào. Phương pháp này đã cho phép phím qua mạng tránh được nhiều điểm lạ lùng và vấn đề độ tin cậy khi cố gắng ghép nối thiết bị.
Phát triển một “trải nghiệm người dùng” (UX) mạch lạc cho phím qua mạng trên các hệ điều hành và dịch vụ web khác nhau là một thách thức liên tục. Ví dụ, nếu bạn đăng nhập vào tài khoản Google của mình từ một Mac bằng mật khẩu truyền thống, thông tin đăng nhập của bạn vẫn được kiểm tra so với những gì Google lưu trữ cho tài khoản của bạn trên một trong các máy chủ của công ty. Nhưng những lợi ích về bảo mật và chống phishing của phím qua mạng đến từ việc chúng hoạt động theo cách khác. Nếu bạn sử dụng một phím qua mạng để đăng nhập vào tài khoản Google từ một Mac, kiểm tra mã hóa xảy ra tại địa phương, Apple không tham gia trực tiếp, nhưng mọi trải nghiệm của người dùng trong suốt tương tác được thuận lợi bởi macOS, không phải Google.
“Nếu tôi là Google triển khai phím qua mạng, tôi sẽ chuyển giao nhiều quyền kiểm soát cho Apple nếu người dùng của tôi đang sử dụng thiết bị của Apple, tôi sẽ chuyển giao nhiều quyền kiểm soát cho Microsoft nếu người dùng đang sử dụng thiết bị chạy Windows, tôi sẽ chuyển giao nhiều quyền kiểm soát giao diện người dùng cho Android và trình duyệt,” Brand nói. “Vì vậy, tôi nghĩ chúng ta đang ở giai đoạn công nghệ non trẻ, nơi mà tất cả các nền tảng khác nhau đã tạo ra các mẫu và mô hình UX khác nhau. Kết hợp tất cả những điều đó lại là một chút phức tạp, và có lẽ sẽ mất thêm chín đến mười hai tháng nữa để ngành công nghiệp hỗ trợ.”
Một thách thức lớn khác khi thiết lập sự nhất quán và liên tục sẽ là quá trình chuyển đổi dài hạn đến phím qua mạng một mình. Trong tương lai có thể nhìn thấy, các dịch vụ phải tiếp tục hỗ trợ đăng nhập bằng tên người dùng và mật khẩu và đảm bảo rằng những hệ thống đó là an toàn và cập nhật nhất có thể trong khi chủ yếu hỗ trợ sự phát triển và tiến hóa của phím qua mạng. Khi hệ thống đăng nhập bằng mật khẩu mất đi vị thế và bị bỏ quên, chúng có thể tạo ra các loại lỗ hổng bảo mật mới trong sự hư hại của chúng.
Nhưng cho đến nay, ngành công nghiệp công nghệ vẫn ở giai đoạn đầu của quá trình chuyển đổi dài hạn này.
“Một phần vấn đề là mọi thứ trong bài thuyết trình của tôi, chúng ta thực sự chưa thấy điều này được thực hiện trong thực tế,” Brand nói. “Có những triển khai phím qua mạng, và một số người đã thử nghiệm, nhưng nhiều điều vẫn chưa thực sự xuất hiện trong ý thức chung của các nhà phát triển, và chắc chắn không phải đối với người dùng. Việc thụ động, thực hiện quy mô lớn vẫn là điều chúng tôi đang cố gắng thực hiện.”