Tính năng mới "Passwordless by default" của Microsoft rất hay, nhưng phải trả giá

baeba · 2025-05-07T10:16:40+09:00

Microsoft đã triển khai cách mặc định áp dụng đăng nhập không mật khẩu (passkey) cho tài khoản mới, nhưng trên thực tế vẫn có ràng buộc là bắt buộc phải cài ứng dụng Microsoft Authenticator. Passkey là phương thức xác thực thế hệ mới có khả năng chống phishing và rò rỉ tốt hơn, dựa trên tiêu chuẩn WebAuthn (FIDO2) và hoạt động bằng cặp khóa công khai/riêng tư. Cơ chế này giúp tăng cường bảo mật, nhưng cấu trúc phụ thuộc vào một ứng dụng cụ thể có thể làm suy giảm một phần trải nghiệm người dùng và lợi ích bảo mật. 1. Chính sách “đăng nhập mặc định không mật khẩu” của Microsoft Từ năm 2025, Microsoft sẽ chọn passkey làm phương thức đăng nhập mặc định cho các tài khoản Microsoft mới. Người dùng hiện tại cũng sẽ được khuyến khích đăng ký passkey khi đăng nhập. Mục tiêu: Giảm rủi ro bảo mật và gánh nặng cho người dùng do việc tạo và quản lý mật khẩu. Nỗ lực giải quyết các cuộc tấn công password spraying và vấn đề rò rỉ. 2. Tổng quan kỹ thuật và cách triển khai Passkey là gì? Xác thực thông qua cặp khóa công khai/riêng tư được tạo dựa trên WebAuthn (FIDO2). Khóa riêng tư được lưu trên thiết bị của người dùng (điện thoại, PC, Yubikey, v.v.) và không bị lộ ra bên ngoài. Về bản chất có khả năng chống phishing, tái sử dụng mật khẩu và rò rỉ tốt hơn. Nguyên lý hoạt động: Trang web gửi một “challenge” ngẫu nhiên → bộ xác thực (Authenticator) trên thiết bị ký → máy chủ xác minh bằng khóa công khai. Khóa được ràng buộc với URL tương ứng nên không thể tái sử dụng trên trang phishing. 3. Ràng buộc và giới hạn Vấn đề: ngay cả khi đã thiết lập passkey, nếu không có ứng dụng Microsoft Authenticator thì vẫn không thể loại bỏ hoàn toàn mật khẩu. Authy, Google Authenticator và các ứng dụng tương tự không tương thích. Điều này đồng nghĩa với việc buộc người dùng phải cài một ứng dụng, và mâu thuẫn với tuyên bố “mặc định là không mật khẩu”. Hàm ý về bảo mật: Nếu mật khẩu vẫn còn tồn tại, một phần lợi ích bảo mật của passkey sẽ bị mất đi. WebAuthn hiện vẫn đang tiếp tục phát triển, và vẫn còn những điểm chưa hoàn thiện về tính khả dụng.

(arstechnica.com)

1 điểm bởi baeba 2025-05-07 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp

Microsoft đã triển khai cách mặc định áp dụng đăng nhập không mật khẩu (passkey) cho tài khoản mới, nhưng trên thực tế vẫn có ràng buộc là bắt buộc phải cài ứng dụng Microsoft Authenticator.
Passkey là phương thức xác thực thế hệ mới có khả năng chống phishing và rò rỉ tốt hơn, dựa trên tiêu chuẩn WebAuthn (FIDO2) và hoạt động bằng cặp khóa công khai/riêng tư.
Cơ chế này giúp tăng cường bảo mật, nhưng cấu trúc phụ thuộc vào một ứng dụng cụ thể có thể làm suy giảm một phần trải nghiệm người dùng và lợi ích bảo mật.

1. Chính sách “đăng nhập mặc định không mật khẩu” của Microsoft

Từ năm 2025, Microsoft sẽ chọn passkey làm phương thức đăng nhập mặc định cho các tài khoản Microsoft mới.
Người dùng hiện tại cũng sẽ được khuyến khích đăng ký passkey khi đăng nhập.
Mục tiêu:
- Giảm rủi ro bảo mật và gánh nặng cho người dùng do việc tạo và quản lý mật khẩu.
- Nỗ lực giải quyết các cuộc tấn công password spraying và vấn đề rò rỉ.

2. Tổng quan kỹ thuật và cách triển khai

Passkey là gì?
- Xác thực thông qua cặp khóa công khai/riêng tư được tạo dựa trên WebAuthn (FIDO2).
- Khóa riêng tư được lưu trên thiết bị của người dùng (điện thoại, PC, Yubikey, v.v.) và không bị lộ ra bên ngoài.
- Về bản chất có khả năng chống phishing, tái sử dụng mật khẩu và rò rỉ tốt hơn.
Nguyên lý hoạt động:
- Trang web gửi một “challenge” ngẫu nhiên → bộ xác thực (Authenticator) trên thiết bị ký → máy chủ xác minh bằng khóa công khai.
- Khóa được ràng buộc với URL tương ứng nên không thể tái sử dụng trên trang phishing.

3. Ràng buộc và giới hạn

Vấn đề: ngay cả khi đã thiết lập passkey, nếu không có ứng dụng Microsoft Authenticator thì vẫn không thể loại bỏ hoàn toàn mật khẩu.
- Authy, Google Authenticator và các ứng dụng tương tự không tương thích.
- Điều này đồng nghĩa với việc buộc người dùng phải cài một ứng dụng, và mâu thuẫn với tuyên bố “mặc định là không mật khẩu”.
Hàm ý về bảo mật:
- Nếu mật khẩu vẫn còn tồn tại, một phần lợi ích bảo mật của passkey sẽ bị mất đi.
WebAuthn hiện vẫn đang tiếp tục phát triển, và vẫn còn những điểm chưa hoàn thiện về tính khả dụng.

Tính năng mới "Passwordless by default" của Microsoft rất hay, nhưng phải trả giá

1. Chính sách “đăng nhập mặc định không mật khẩu” của Microsoft

2. Tổng quan kỹ thuật và cách triển khai

3. Ràng buộc và giới hạn

Bài viết liên quan

Chưa có bình luận nào.