Không còn mật khẩu — mật khẩu sẽ thay thế mật khẩu của bạn như thế nào
Để tránh sự mơ hồ, các thuật ngữ sau đây sẽ được sử dụng;
Trình xác thực ; Điện thoại di động được sử dụng để đăng nhập
Trang web ; Trang web hoặc ứng dụng mà người dùng đang sử dụng để thực hiện yêu cầu đăng nhập
Dịch vụ ; Nhà cung cấp dịch vụ nhất định, ví dụ: Google Mail, Microsoft Outlook
Vấn đề với mật khẩu là gì?
Mật khẩu đồng nghĩa với việc chúng ta sử dụng internet, chúng ta sử dụng chúng để đăng nhập vào email, tài khoản mạng xã hội hoặc để kiểm tra số dư ngân hàng của mình. Chúng tôi được nhắc đặt mật khẩu phức tạp 'tốt' với mỗi trang web có định nghĩa riêng về thế nào là tốt.
Bất chấp những nỗ lực này, mật khẩu vẫn là một điểm yếu vì nhiều người sử dụng mật khẩu yếu và/hoặc cùng một mật khẩu trên các tài khoản. Thông thường, một số nạn nhân trở thành nạn nhân của các trang web giả vờ là dịch vụ chính hãng, được gọi là lừa đảo. Đây là nơi người dùng nhấp vào một liên kết mà họ tin là chính hãng nhưng trên thực tế, đó là một trang web giả mạo được tạo ra để đánh cắp mật khẩu của người dùng.
Các trang web giả mạo 'lừa đảo' rất tốt cũng có thể lừa người dùng xác thực đa yếu tố (MFA) nếu loại MFA không được thiết kế để chống lại các cuộc tấn công lừa đảo. Tuy nhiên, có bất kỳ MFA nào vẫn tốt hơn là không có MFA nào cả.
Mật khẩu là gì
Mật khẩu thay thế mật khẩu và được thiết kế để chống lại các cuộc tấn công lừa đảo. Chúng cũng làm cho quá trình đăng nhập dễ dàng hơn cho người dùng cũng như an toàn hơn.
Hãy lấy Batool làm ví dụ, cô ấy đã sử dụng mật khẩu để đăng nhập vào tài khoản Gmail của mình. Bằng cách di chuyển đến Passkey, cô ấy có thể đăng nhập bằng dấu vân tay hoặc khuôn mặt của mình. Mật khẩu trở thành một phương pháp thay thế trong trường hợp cô ấy không thể sử dụng Passkey (mật khẩu cuối cùng sẽ bị loại bỏ vào một lúc nào đó).
Mật khẩu sử dụng khái niệm khóa riêng và khóa chung , thay vì cụm mật khẩu, Batool hiện có khóa riêng được tạo, lưu trữ và quản lý liền mạch bằng điện thoại di động của cô ấy. Điều này có thể thông qua Ứng dụng xác thực hoặc trong hệ điều hành.
Điện thoại của Batool biết cách tự động tải khóa công khai mới của cô ấy lên Gmail, như một phần của quá trình tạo Mật khẩu của cô ấy với Gmail.com.
Gmail hiện biết về khóa công khai của Batool và do đó sẽ yêu cầu cô ấy xác nhận đó là của mình bằng cách yêu cầu Batool mở khóa điện thoại của cô ấy và ký tên bằng khóa riêng của cô ấy.
Tất cả điều này xảy ra trong nền giữa Gmail.com và điện thoại của cô ấy, Batool chỉ cần lo lắng về việc sử dụng tính năng mở khóa sinh trắc học bằng vân tay hoặc khuôn mặt của cô ấy như bình thường. Cô ấy có thể phải chọn Passkey sẽ sử dụng nếu cô ấy đã thiết lập nhiều tài khoản Gmail.com khác nhau.
Các trang web giả mạo giờ đây ít bị đe dọa hơn vì chúng không có khóa công khai của Batool nên cô ấy không thể đăng nhập. Hãy nhớ rằng khóa riêng tư không bao giờ rời khỏi điện thoại di động của cô ấy.
Vậy làm cách nào để Batool chuyển từ mật khẩu sang mã khóa?
Sơ đồ bên dưới cho thấy cách Batool chuyển từ sử dụng mật khẩu sang mã xác nhận cho tài khoản Gmail của cô ấy.
1- Batool đăng nhập vào dịch vụ (Gmail) bằng tên người dùng và mật khẩu của cô ấy.
2- Gmail hiện hỗ trợ Mật mã, một yêu cầu được gửi tới Batool để tạo Mật khẩu hoặc cô ấy có thể cần duyệt đến g.co/passkeys .
3- Một thông báo xuất hiện để tạo Passkey.
4- Batool chọn tạo Mật khẩu và được nhắc mở khóa điện thoại của cô ấy bằng cách sử dụng tùy chọn sinh trắc học, điều này cho phép điện thoại của cô ấy tạo Mật khẩu mới cho Gmail.com một cách an toàn và lưu trữ an toàn cho cô ấy.
5- Khóa riêng được liên kết với hồ sơ người dùng của cô ấy, tức là được đồng bộ hóa trên các thiết bị của cô ấy. Trong ví dụ này, Batool đang sử dụng iPhone nên nó có thể được đồng bộ hóa bằng iCloud. Tuy nhiên, các phương pháp thay thế có thể được sử dụng bởi các nhà cung cấp khác nhau, chẳng hạn như Microsoft Authenticator hoặc Google Password Manager.
6 - Khóa công khai tương ứng được gửi tới Gmail.
7- Google CHỈ lưu trữ khóa công khai này và được sử dụng trong các lần đăng nhập trong tương lai để xác thực chữ ký đã ký từ Batool.
Mặc dù Batool đang sử dụng dấu vân tay hoặc khuôn mặt của cô ấy để sử dụng Passkey, nhưng điều này cũng giống như mở khóa thiết bị hoặc đăng nhập vào ngân hàng trực tuyến — biểu diễn kỹ thuật số của dấu vân tay hoặc khuôn mặt của cô ấy KHÔNG BAO GIỜ rời khỏi điện thoại di động , nó được lưu trữ mã hóa trong điện thoại và không thể được truy cập bởi Gmail hoặc bất kỳ ai đã tạo ra thiết bị, chẳng hạn như Apple hoặc Android.
Bây giờ Batool đã có Passkey, quá trình đăng nhập diễn ra như thế nào?
Sơ đồ bên dưới cho thấy cách Batool sẽ đăng nhập vào tài khoản Gmail của cô ấy bằng mã xác nhận của cô ấy.
1- Batool duyệt đến trang web đăng nhập của một dịch vụ nhất định, trong trường hợp này là Gmail.
2- Batool trước đó đã tạo passkey (xem ở trên) cho Gmail nên một thử thách được gửi từ dịch vụ Gmail.
3- Thử thách được nhận bởi điện thoại của Batool và xuất hiện dưới dạng danh sách các mật khẩu có sẵn từ dịch vụ, tức là nếu Batool có nhiều tài khoản Gmail thì hai mật mã sẽ xuất hiện
4- Batool chọn Passkey cho tài khoản Gmail của cô ấy và sau đó sử dụng sinh trắc học để mở khóa điện thoại di động của cô ấy, điều này sau đó cho phép điện thoại của cô ấy sử dụng khóa riêng tư.
5- Thách thức từ Google sau đó được ký bằng khóa riêng của Batool.
6- Sau đó, một thách thức đã ký sẽ được gửi tới Google, Google cung cấp sự tin tưởng mạnh mẽ rằng Batool đang đăng nhập.
7 - Google sử dụng public key cho Batool để xác nhận đăng nhập thành công.
Khi đăng nhập vào Google từ bây giờ, Google sẽ yêu cầu Passkey bất cứ khi nào có thể. Nếu không có Passkey, Batool vẫn có thể sử dụng mật khẩu Google của cô ấy.
Đây là một phần trong quá trình chuyển đổi theo từng giai đoạn sang Passkey khi nhiều dịch vụ sử dụng Passkey hơn, chúng tôi hy vọng sẽ thấy một tương lai không có mật khẩu và khả năng chống lừa đảo mạnh mẽ hơn.
Apple, Google và Microsoft đang hợp tác để nâng cao nhận thức và áp dụng Passkey với thông tin thêm về điều này tại đây .
Rất cám ơn Joel Samuel và Ali Sarraf đã xem xét tác phẩm này.