Công nghệ passkey thanh lịch, nhưng không phải là bảo mật có thể sử dụng

 (arstechnica.com)
6 điểm bởi GN⁺ 2024-12-31 | 2 bình luận | Chia sẻ qua WhatsApp
  • Một công nghệ chưa sẵn sàng cho giai đoạn phổ cập: công nghệ passkey tuy thanh lịch nhưng chưa đủ an toàn để sử dụng rộng rãi
  • Đang được chú ý như một giải pháp thay thế mật khẩu, đồng thời được xem là biện pháp phòng vệ mạnh trước phishing và các vụ hack cơ sở dữ liệu
  • Đặc tả FIDO2 và WebAuthn thì thanh lịch, nhưng trải nghiệm người dùng vẫn còn phức tạp
    • Dù hàng trăm trang web cùng các hệ điều hành và trình duyệt lớn đã hỗ trợ passkey, cách triển khai khác nhau giữa các nền tảng và quy trình làm việc thiếu nhất quán làm giảm tính khả dụng
    • Ví dụ, ngay cả trên cùng một trang web, trải nghiệm đăng nhập trên iOS và Android cũng khác nhau, và một số trình duyệt thậm chí hoàn toàn không hỗ trợ
    • Mỗi nền tảng đều ép người dùng dùng tùy chọn đồng bộ passkey của riêng mình, khiến việc chọn phương án khác trở nên khó khăn
    • Việc triển khai passkey lẽ ra phải giúp người dùng sử dụng dễ dàng, nhưng hiện tại chưa đạt được điều đó
  • Có thể giải quyết vấn đề bằng cách đồng bộ passkey qua trình quản lý bảo mật như 1Password, nhưng điều này lại làm suy yếu mục tiêu cốt lõi của passkey là xác thực không cần mật khẩu.
    • Ngoài ra, phần lớn người dùng vẫn chưa sử dụng trình quản lý mật khẩu
  • Trong số các trang web hỗ trợ passkey, không có nơi nào loại bỏ hoàn toàn mật khẩu
    • Xác thực MFA dựa trên SMS vẫn dễ bị tổn thương và làm suy giảm tính bảo mật của passkey
  • Trong môi trường doanh nghiệp, passkey có thể trở thành lựa chọn thay thế cho mật khẩu và ứng dụng xác thực

Đề xuất

  • Dùng trình quản lý bảo mật: Đồng bộ passkey qua công cụ như 1Password và bật MFA để tăng cường bảo mật
  • Ưu tiên MFA: Nếu có thể, hãy dùng khóa bảo mật hoặc ứng dụng xác thực để bật xác thực đa yếu tố
  • Cân nhắc áp dụng passkey: Về lâu dài passkey rất hứa hẹn, nhưng ở thời điểm hiện tại mật khẩu và trình quản lý bảo mật vẫn là thiết yếu

Kết luận

  • Passkey có nhiều khả năng giải quyết các vấn đề bảo mật của mật khẩu, nhưng ở thời điểm hiện tại, do các ràng buộc kỹ thuật và vấn đề về tính khả dụng, đây chưa phải là giải pháp thay thế hoàn hảo
  • Khả năng cao công nghệ này sẽ tiếp tục được cải thiện, nhưng hiện giờ kết hợp song song với các phương thức xác thực hiện có vẫn là lựa chọn hợp lý nhất.

Bài viết liên quan

2 bình luận

 
ndrgrd 2025-01-03

Tôi cũng đang lưu và dùng passkey trong Bitwarden.
Nhìn vào việc họ cho phép đăng ký từng tên một thì có vẻ đây không phải là công nghệ được tạo ra để chỉ tạo một passkey rồi đồng bộ hóa mà dùng. Có vẻ chủ đích là tạo một cái cho mỗi thiết bị, nhưng thành thật mà nói thì khá phiền.
 
GN⁺ 2024-12-31
Ý kiến Hacker News

  • Trong một vũ trụ song song nào đó, có luật quy định mọi nhà sản xuất thiết bị điện toán phải cung cấp một kho lưu trữ để người dùng có thể cắm thông tin xác thực bảo mật của mình vào. Cách tiếp cận passkey hiện nay được thiết kế dựa trên một mô hình tưởng tượng, nơi người dùng hoàn toàn đắm mình trong một hệ sinh thái duy nhất.

  • Passkey lẽ ra là cách Yubico muốn dùng khóa phần cứng để xác thực, nhưng Apple, Google và Microsoft lại thích xác thực một cách kỳ diệu thông qua hệ điều hành.

  • Các nhà cung cấp hệ điều hành muốn người dùng không dùng phần mềm hay phần cứng ngoài hệ điều hành, và dẫn họ đến việc sử dụng passkey dựa trên đám mây.

  • Trạng thái tương lai lý tưởng là có thể chọn nhà cung cấp cho thông tin xác thực mới được đăng ký trong phần cài đặt trình duyệt.

  • TOTP cũng gặp vấn đề tương tự, và nhiều kho lưu trữ passkey không cho phép xuất. Bitwarden là ngoại lệ khi có thể xuất passkey.

  • Việc chuyển từ mật khẩu sang passkey là một thay đổi lớn trong mô hình bảo mật Internet hiện đại, nên việc mọi người thận trọng và có nhiều ý kiến trái chiều là điều hoàn toàn dễ hiểu.

  • Với tư cách là một trong số ít người dùng thích passkey, tôi tạo passkey trong iCloud Keychain và 1Password. Tôi nghĩ cần có khả năng xuất/nhập tốt hơn.

  • Passkey là một hộp đen vô hình, và người dùng bình thường không thể sao lưu. Việc triển khai vẫn chưa hoàn thiện và bề mặt tấn công lớn hơn.

  • Fido thiếu sự hỗ trợ từ website/framework/thư viện, và tôi cho rằng passkey là một sản phẩm thất bại. Tôi không thể tin tưởng passkey vì các vấn đề về khả năng sử dụng.

  • Với tư cách là một người dùng am hiểu công nghệ, tôi đã ngừng dùng Google vì thời lượng phiên xác thực bằng passkey quá ngắn. Việc phải xác thực lại thường xuyên gây bất tiện.