Passkey an toàn đến mức nào mà Google kêu gọi sử dụng?

Lý do đằng sau chiến dịch kêu gọi chuyển sang passkey

Một khảo sát do Google hợp tác với công ty Morning Consult thực hiện tại Mỹ cho kết quả hơn 60% người được hỏi nhận thấy số vụ lừa đảo trực tuyến gia tăng trong năm qua (với 1/3 từng bị xâm phạm dữ liệu). Hầu hết người được hỏi từng nhận tin nhắn lừa đảo, 61% cũng từng bị nhắm mục tiêu qua thư điện tử.

Về thói quen bảo mật, hầu hết người 45 - 60 tuổi, người 61 - 79 tuổi và người 29 - 44 tuổi vẫn dựa vào phương thức đăng nhập cũ như mật khẩu và xác thực 2 yếu tố (2FA). Dù đã quen thuộc với phương thức mới tiện lợi hơn như đăng nhập bằng thông tin sẵn có từ nền tảng lớn (Facebook, Google, Apple), chỉ khoảng 30% sử dụng chúng hàng ngày. Họ cũng dùng mật khẩu theo cách vô cùng rủi ro: 50% dùng chỉ 1 mật khẩu cho nhiều tài khoản, cứ 2 người thì lại có 1 người ghi lại mật khẩu.

Người dùng Gen Z thì đang bỏ qua các chuẩn mực bảo mật lỗi thời như mật khẩu, chọn dùng công cụ xác thực tiên tiến hơn. Họ chủ yếu dựa vào passkey hoặc đăng nhập bằng thông tin sẵn có từ nền tảng lớn.

Phương thức cũ như mật khẩu không còn an toàn nữa - Ảnh: Global News

Khảo sát ghi nhận xu hướng thời gian trực tuyến mỗi ngày tăng lên (ít nhất 5 giờ sử dụng điện thoại mỗi ngày), nhưng số tài khoản đăng nhập các nền tảng ít đi – có thể là nhờ phương thức đăng nhập bằng thông tin sẵn có từ nền tảng lớn. Lừa đảo thường bắt đầu từ việc kẻ xấu tìm cách truy cập tài khoản trực tuyến.

Trước kết quả khảo sát trên, Google kêu gọi người dùng toàn cầu chuyển từ mật khẩu sang passkey hay đăng nhập bằng tài khoản Google. Công ty nhấn mạnh phương thức mới kết hợp công nghệ trí tuệ nhân tạo (AI) chặn nội dung lừa đảo hay mã độc mà Google triển khai với tin nhắn và thư điện tử sẽ góp phần tăng cường bảo mật, không làm mất đi mức độ dễ dàng khi đăng nhập.

Passkey dễ dùng và an toàn

Trang 9to5Google giới thiệu với xác thực bằng passkey, việc đăng nhập tài khoản Google. Chỉ cần nhập tên người dùng rồi dùng mã PIN, vân tay hay dữ liệu khuôn mặt sẵn có trên điện thoại hoặc máy tính.

Passkey được liên kết với tên miền của một trang web hoặc ứng dụng cụ thể. Thiết bị chỉ dùng passkey với trang web/ứng dụng đó. Vì vậy, ngay cả khi ta bị lừa truy cập vào trang lừa đảo, thì passkey cũng không truyền đi, nhờ đó vô hiệu hóa âm mưu lừa đảo.

Phương thức này còn ngăn chặn rò rỉ dữ liệu rất hiệu quả. Passkey gồm public key (khóa công khai) lưu trữ trên máy chủ cùng private key (khóa bí mật) lưu trữ trên thiết bị với thiết lập không bao giờ được chia sẻ. Nếu máy chủ bị xâm nhập, tin tặc chỉ có thể lấy đi khóa công khai vô dụng mà thôi.

Ngoài ra passkey do hệ thống tạo ra, mặc định có độ bảo mật mạnh và là duy nhất với mỗi tài khoản. Điều này giúp loại bỏ sai sót từ con người hay thói quen sử dụng mật khẩu theo cách đầy rủi ro.

Để sử dụng passkey, người dùng phải xác minh danh tính cục bộ trên thiết bị bằng sinh trắc học (vân tay, khuôn mặt). Hoặc mã PIN – giống phương thức xác thực đa yếu tố tích hợp sẵn, chống lừa đảo và khó bị đánh cắp; hơn so với mã OTP qua tin nhắn hay qua thư điện tử. Hơn nữa do người dùng không phải gõ phím, âm mưu xâm nhập bằng cách tự động dò mật khẩu bị vô hiệu.

Một ưu điểm nữa là passkey không cần nhớ hay ghi lại, giảm nguy cơ quên mất hay bị người khác biết được.

Passkey gần như không thể bị lấy đi - Ảnh: The Wired

Cách tạo passkey

Đầu tiên hãy mở trình duyệt trên thiết bị muốn tạo passkey rồi truy cập trang Google Passkeys. Tiếp theo đăng nhập tài khoản Google bằng tên người dùng và mật khẩu thông thường, trình duyệt sẽ chuyển trang. Ở màn hình trang này bấm vào “Create a passkey”, sau đó chọn xác minh danh tính bằng mã PIN, vân tay hay khuôn mặt. Cuối cùng xác nhận thành công để lưu passkey.

Cẩm Bình