Google muốn loại bỏ mật khẩu khỏi hệ điều hành Android, ảnh hưởng hơn 1 tỷ người dùng
Ngày 25 tháng 2 vừa qua, Google đã giới thiệu một tính năng bảo mật mới cho hệ điều hành Android, được kỳ vọng sẽ có ảnh hưởng lớn đối với thói quen và hành vi bảo mật thông tin trực tuyến của người dùng. Công ty cho biết tất cả các thiết bị chạy hệ điều hành Android 7.0 trở lên sẽ được chứng nhận theo tiêu chuẩn FIDO2, nhờ đó người dùng sẽ có thể đăng nhập mà không cần mật khẩu. Chỉ trong một đêm, hàng triệu người dùng Android trên toàn thế giới "đột nhiên" có thêm một chiếc khoá bảo mật trong túi quần mình, đó chính là chiếc điện thoại. Khoá bảo mật đó có tiềm năng để một ngày nào đó trong tương lai sẽ biến mật khẩu (cùng với tất cả những vấn đề và nguy cơ mà chúng mang lại) trở thành quá khứ.
Mật khẩu là hệ thống chính giúp bảo mật đời sống số của bạn, nhưng càng ngày, chúng càng không "làm tròn" được chức năng và nhiệm vụ của mình. Đa số mọi người sử dụng đi sử dụng lại một cụm từ quá dễ đoán, và công nghệ cốt lõi để vận hành hệ thống mật khẩu cũng ngày càng trở nên dễ bị tổn thương hơn trước các cuộc tấn công. Tất cả những gì tin tặc cần làm là lừa cho bạn tin trang web đăng nhập giả mạo của chúng là thật, trông giống hệt như trang web của ngân hàng hay một dịch vụ trực tuyến nào đó bạn thường sử dụng, nhờ đó chúng có thể đánh lừa bạn nhập mật khẩu (đây gọi là kiểu tấn công "phishing") và có được quyền truy cập vào tài khoản của bạn.
Nhưng hệ thống bảo mật đó sẽ chứng kiến sự thay đổi lớn khi áp dụng tiêu chuẩn FIDO2. Thay vì phải nhớ và phải gõ vào một chuỗi kí tự phức tạp, khó nhớ (hoặc là làm theo cách mà đa số mọi người vẫn dùng là nhờ cậy vào trình duyệt hay một trình quản lý mật khẩu ghi nhớ chúng cho bạn), bạn sẽ xác thực thông qua một khoá bảo mật hoặc một thiết bị sinh trắc học như cảm biến vân tay. Trước đó, đa số những khoá bảo mật này được lưu trữ trên ổ USB hoặc một thiết bị có kết nối Bluetooth nào đó. Song theo thông báo của Google, chiếc điện thoại Android của bạn có thể thực hiện quy trình xác thực tương tự, đóng vai trò một khoá bảo mật. Cái "bắt tay" phức tạp giữa khoá bảo mật và thiết bị đầu cuối sẽ "giải thoát" cho bạn khỏi nỗi "cực nhọc" phải ghi nhớ những mật khẩu dài dòng, cùng với đó quy trình xác thực sẽ không dễ bị can thiệp và đánh cắp các thông tin nhạy cảm.
Tiêu chuẩn này có tiềm năng thay thế hoàn toàn mật khẩu trong tương lai, và Google đang làm việc tích cực để hướng đến tương lai đó. "Thế giới mà chúng ta đang ký vọng là nơi mà bạn sẽ không bao giờ phải thực hiện những thao tác xác thực cũ kĩ truyền thống, trong đó có mật khẩu," Steven Soneff, quản lý sản phẩm tại Google, trả lời phóng viên trang tinThe Verge như vậy. Nếu bạn đã từng đăng nhập vào tài khoản Google trên điện thoại của mình, thì lần tới bạn muốn đăng nhập vào tài khoản này trên một máy khác, bạn chỉ cần sử dụng chiếc điện thoại của mình như một "thiết bị mồi" trung gian và nhờ đó, "bạn sẽ không bao giờ phải "lằng nhằng" với tên đăng nhập và mật khẩu truy cập tài khoản Google của mình nữa".
Với quy trình đăng nhập này, các trang web sử dụng một thành phần của tiêu chuẩn FIDO2 có tên là WebAuthn, một giao thức mở được chấp thuận bởi Hiệp hội World Wide Web (W3C) hồi đầu tháng 3 vừa qua. Hiện chưa có nhiều trang web hỗ trợ tiêu chuẩn này, nhưng con số đó đang ngày càng gia tăng: Dropbox bắt đầu hỗ trợ từ tháng 5 năm 2018, Microsoft nối tiếp vào tháng 12, và sau đó là Google bắt đầu hỗ trợ WebAuthn từ ngày 10 tháng 4 vừa qua. Để đăng nhập bằng tiêu chuẩn này, trình duyệt của bạn cần phải hỗ trợ WebAuthn; hiện nay, các trình duyệt phổ biến như Chrome, Edge, Firefox và Safari đều đã hỗ trợ giao thức này.
Tuy nhiên, tính đến thời điểm hiện tại, mới chỉ có một trong các số trang web trên thực sự chuyển sang chuẩn FIDO2 để thay thế hoàn toàn mật khẩu truyền thông. Hệ thống của Microsoft cho phép bạn có thể sử dụng hoặc Windows Hello hoặc là một khoá bảo mật vật lý làm phương thức bảo mật DUY NHẤT để truy cập tài khoản của mình. Trong khi đó, Google và Dropbox chỉ sử dụng WebAuthn dưới dạng một lớp bảo mật tăng cường bên cạnh mật khẩu truyền thống, tương tự như các ứng dụng xác thực bằng cách tự tạo mã trên điện thoại của bạn. Đây không phải là một điều không tốt. WebAuthn vẫn là một phương thức an toàn hơn nhiều để cung cấp dịch vụ xác thực hai yếu tố, bởi nó không dễ bị đánh cắp như các dãy số đăng nhập gồm 6 chữ ôs mà bạn vẫn thường thấy ngày nay. Tuy nhiên, cách làm này chưa thể khai thác toàn bộ tiềm năng bảo mật của tiêu chuẩn kỹ thuật mới này.
Nhưng hầu hết các công ty vẫn chưa sẵn sàng để loại bỏ hoàn toàn mật khẩu khỏi hệ thống của mình. Soneff nói rằng một tương lai hoàn toàn không có mật khẩu là mục tiêu mà Google đang hướng tới, nhưng gã khổng lồ tìm kiếm không cho biết chi tiết khi nào chức năng này sẽ được triển khai.
Khi Dropbox lần đầu công bố hỗ trợ giao thức WebAuthn vào năm ngoái, công ty cho biết họ tin tưởng rằng "sử dụng WebAuthn cho các quy trình xác thực hai yếu tố sẽ tạo nên sự cân bằng phù hợp cho đa số người dùng ở thời điểm hiện tại." Khi được hỏi kĩ hơn về câu nói này, giám đốc bảo mật của công ty, ông Rajan Kapoor, cho biết, "Chúng tôi hy vọng rằng một ngày trong tương lai, mật khẩu sẽ không còn là lựa chọn duy nhất, hoặc là lựa chọn chính, để người dùng đăng nhập tài khoản." Nhưng, ông cũng không quên bổ sung rằng, "Vẫn còn một số vấn đề liên quan đến tính tiện dụng và khả năng triển khai phổ biến của các giải pháp bảo mật khác, cần có thêm thời gian để giải quyết trước khi chúng hoàn toàn thay thế mật khẩu truyền thống."
Với việc mọi thiết bị chạy hệ điều hành Android hiện đại đều được chứng nhận đạt chuẩn FIDO2, nhận định của Dropbox rằng công nghệ mới này vẫn chưa được triển khai phổ biến có vẻ như đã bớt nghiên trọng hơn rất nhiều. Tuy nhiên, vẫn còn nhiều việc cần phải làm để nâng cao tính khả dụng (và tiện dụng) của công nghệ này. Ví dụ, điều gì xảy ra nếu bạn đánh mất thiết bị dùng để xác thực? Cơ chế khôi phục dùng cho những tình huống như thế này hiện vẫn đang là một vấn đề khó giải quyết, và Google đang xem xét một số cách thức để xử lý. "Cơ chế khôi phục khi thiết bị bị mất hoặc đánh cắp là điểm yếu lớn nhất mà các tin tặc có thể lợi dụng," Soneff cho biết.
Một vấn đề khác nằm ở những chiếc iPhone. Tiêu chuẩn xác thực FIDO2 sẽ không bao giờ có hy vọng trở thành xu hướng chính trừ khi được iPhone hỗ trợ, và chiếc điện thoại của Apple cũng phải có khả năng được sử dụng làm khoá bảo mật, bên cạnh những chiếc điện thoại Android. Thực ra, các trang web vẫn có thể yêu cầu người dùng iPhone sử dụng một thiết bị riêng để làm khoá bảo mật vật lý, chẳng hạn như chiếc USB Yubico, nhưng Soneff nghĩ rằng việc phải mua một thiết bị phần cứng chuyên dụng để làm khoá bảo mật sẽ là một rào cản lớn khiến cho công nghệ này không được người dùng phổ thông lựa chọn, mà sẽ chỉ phổ biến trong giới doanh nghiệp mà thôi.
Có những tín hiệu cho thấy Apple cũng quan tâm tới việc sử dụng các giao thức bảo mật khác ngoài mật khẩu. Công ty hiện đã cho phép người dùng sử dụng đồng hồ thông minh Apple Watch để đăng nhập vào máy tính Mac. Có tin đồn cho rằng tính năng này sẽ còn được phát triển hơn nữa trong tương lai. Apple hẳn biết rất rõ rằng mật khẩu là một phương thức bảo mật không hoàn thiện, kém an toàn và ẩn chứa rất nhiều vấn đề, và họ chắc chắn đã có kế hoạch thay thế chúng. Tuy nhiên, hiện tại công ty mới chỉ áp dụng các phương thức đăng nhập mới trong hệ sinh thái "đóng" gồm các thiết bị của hãng, chứ chưa chấp nhận một chuẩn công nghiệp phổ biến như FIDO2.
Khi phóng viên The Verge đặt câu hỏi đối với đại diện của Liên minh FIDO, Brett McDowell về khả năng Apple thiết kế các thiết bị của mình đạt tiêu chuẩn để được chứng nhận FIDO2, ông này từ chối bình luận. Ông chỉ cho biết rằng việc bổ sung tính năng FIDO2 không thực sự cần phải được chứng nhận. Sau cùng thì, đây vẫn là một tiêu chuẩn mở. Ông cũng nói rằng chứng nhận là một "cơ hội" để các nhà sản xuất đảm bảo rằng thiết bị của họ có thể tương thích với những sản phẩm khác trên thị trường và tuân thủ đúng những quy tắc của tiêu chuẩn. Còn không thì, "việc chứng nhận là hoàn toàn tuỳ chọn."
Tuy nhiên, ngay cả khi mọi việc đã được hoàn thành và mọi thứ hoàn chỉnh về mặt công nghệ, thì mật khẩu có lẽ cũng khó có thể biến mất hoàn toàn. McDowell nghĩ rằng mật khẩu sẽ còn tiếp tục tồn tại bên cạnh phương thức xác thực FIDO2 "thêm một khoảng thời gian đáng kể nữa", giống như cách mà đa số điện thoại trên thị trường hỗ trợ song song cả mã PIN và bảo mật sinh trắc học. Bạn có thể sử dụng dấu vân tay để mở khoá điện thoại đến 99,9% số lần sử dụng smartphone, nhưng mã PIN vẫn luôn có mặt ở đó trong các trường hợp cần thiết.
"Thói quen của người dùng và sức ép từ thị trường sẽ khiến mật khẩu trở thành dĩ vãng, nhưng nó sẽ là một dĩ vãng còn được hỗ trợ trong một thời gian dài nữa," McDowell nói. "Qua thời gian, sức ép từ thị trường sẽ khiến mật khẩu giảm đi sức thu hút, chúng sẽ khó có khả năng tồn tại và nếu có thì tính hiệu quả cũng không còn cao nữa."