Passkey là gì? Phương thức xác thực mới trong bảo mật hiện đại
Passkey là gì?
Passkey là giải pháp bảo mật không cần mật khẩu truyền thống, sử dụng phương pháp xác thực sinh trắc học hoặc mã PIN để đăng nhập vào các tài khoản và dịch vụ trực tuyến. Đây là một công nghệ bảo mật mới, nhằm thay thế các phương thức truyền thống vốn dễ bị xâm phạm như mật khẩu.
Trong thời đại số hóa, đặc biệt là thị trường crypto, nơi yêu cầu bảo mật cao cho tài khoản và tài sản kỹ thuật số, passkey đang trở thành một công nghệ chủ chốt để bảo vệ các hệ thống tài chính kỹ thuật số. Các nền tảng như ngân hàng, thương mại điện tử và crypto đang nhanh chóng áp dụng passkey để đảm bảo an ninh cho người dùng.
Passkey được phát triển bởi FIDO Alliance, một liên minh được thành lập vào năm 2011 với sự tham gia của các công ty công nghệ hàng đầu như Apple, Google và Microsoft. Mục tiêu của liên minh này là tạo ra phương thức xác thực an toàn và tiện lợi hơn so với mật khẩu truyền thống. Hiện nay, nhiều công ty lớn như Amazon, WhatsApp, LinkedIn và PayPal đã tích hợp passkey để bảo vệ tài khoản người dùng.
Tại sao Passkey là bước tiến lớn trong bảo mật?
Passkey không chỉ đơn thuần là sự thay thế mật khẩu mà còn giúp khắc phục những vấn đề bảo mật mà mật khẩu truyền thống gặp phải. Theo Chainalysis 2023 Crypto Crime Report, các vụ tấn công ví và sàn giao dịch crypto đã gây thiệt hại lên tới 3.8 tỷ USD trong năm 2022, tăng 30% so với năm trước. Một phần lớn của các vụ tấn công này đến từ việc khai thác các lỗ hổng mật khẩu của người dùng.
Một nghiên cứu từ Verizon vào năm 2022 cũng chỉ ra rằng 61% các vụ tấn công mạng trong ngành tài chính có nguyên nhân từ việc đánh cắp hoặc rò rỉ mật khẩu. Passkey khắc phục điểm yếu này bằng cách loại bỏ hoàn toàn mật khẩu, dựa vào sinh trắc học hoặc mã PIN an toàn hơn. Một báo cáo khác từ FIDO Alliance cho thấy việc áp dụng passkey có thể giúp giảm tới 80% các vụ tấn công dựa trên thông tin xác thực.
Sử dụng mật khẩu truyền thống có nhiều hạn chế, đặc biệt trong môi trường crypto:
- Dễ bị hack: Mật khẩu bị rò rỉ hoặc đánh cắp khiến hacker dễ dàng truy cập vào tài khoản.
- Phishing: Hacker thường giả mạo trang web hoặc dịch vụ để đánh cắp mật khẩu của người dùng.
- Yếu tố con người: Người dùng có xu hướng sử dụng mật khẩu yếu, dễ đoán, hoặc sử dụng cùng một mật khẩu cho nhiều tài khoản, dẫn đến rủi ro bảo mật cao hơn.
Passkey hoạt động như thế nào?
Passkey được sử dụng trong xác thực người dùng mà không yêu cầu nhập mật khẩu. Công nghệ này dựa trên tiêu chuẩn FIDO2 và WebAuthn, giúp tăng cường bảo mật bằng cách loại bỏ hoàn toàn sự cần thiết của chuỗi ký tự mật khẩu dễ bị tấn công.
Giai đoạn 1: Lưu trữ và sử dụng cặp khóa công khai - khóa riêng trong ví passkey
- Khóa công khai (Public Key): Được lưu trữ trên máy chủ của dịch vụ mà người dùng đăng nhập hoặc giao dịch (như các sàn giao dịch tiền mã hóa hoặc ví tiền mã hóa).
- Khóa riêng (Private Key): Được lưu trữ cục bộ trên thiết bị của người dùng, chẳng hạn như điện thoại di động hoặc ví phần cứng. Khóa riêng không bao giờ rời khỏi thiết bị và được sử dụng để chứng minh danh tính người dùng thông qua việc ký một yêu cầu xác thực.
Giai đoạn 2: Quá trình xác thực
Khi người dùng muốn đăng nhập vào ví hoặc thực hiện một giao dịch, hệ thống sẽ gửi một thách thức xác thực (challenge) từ máy chủ đến thiết bị của họ. Thiết bị của người dùng sẽ sử dụng khóa riêng để ký vào thách thức này.
- Người dùng xác thực bằng sinh trắc học (vân tay, nhận diện khuôn mặt) hoặc mã PIN trên thiết bị của họ. Quá trình này đảm bảo rằng chỉ người dùng có quyền sở hữu thiết bị mới có thể sử dụng khóa riêng để đăng nhập hoặc thực hiện giao dịch.
- Sau khi thách thức được ký bằng khóa riêng, khóa công khai trên máy chủ sẽ kiểm tra và xác minh thách thức này. Nếu khóa công khai và khóa riêng khớp nhau, quá trình xác thực sẽ hoàn tất và người dùng có thể truy cập vào ví hoặc thực hiện giao dịch.
Đọc thêm: Passkey hoạt động như thế nào trong Custodial Wallet?
Lưu ý:
Private key của passkey và private key của ví crypto đều dựa trên cơ chế mã hóa khóa công khai - khóa riêng để xác thực và bảo mật. Tuy nhiên, passkey chủ yếu được sử dụng cho xác thực đăng nhập và bảo mật tài khoản, trong khi private key của ví crypto được dùng để quản lý tài sản tiền mã hóa trên blockchain.
Người dùng không nên nhầm lẫn khái niệm này vì mục đích sử dụng của chúng khác nhau, dẫn đến mức độ quan trọng của từng loại khóa cũng khác nhau.
Passkey và Blockchain: Sự khác biệt về kỹ thuật
Khi tích hợp passkey vào blockchain, đặc biệt là trong các ví hợp đồng thông minh (smart contract wallet), có một sự khác biệt kỹ thuật cần lưu ý, đòi hỏi những điều chỉnh kỹ thuật khi triển khai passkey trên blockchain. Đó chính là sự khác biệt trong việc sử dụng đường cong elliptic.
Trong nhiều ứng dụng như Apple, Android và WebAuthn, passkey sử dụng đường cong elliptic secp256r1 (P-256). Đây là đường cong phổ biến trong các hệ thống xác thực dựa trên mật mã hiện đại.
Private key của ví crypto: Trong hầu hết các blockchain như Bitcoin và Ethereum, private key sử dụng đường cong elliptic secp256k1. Đây là một tiêu chuẩn riêng được sử dụng trong các hệ thống blockchain, nhằm tối ưu hóa cho các giao dịch phi tập trung.
Điều này tạo ra sự phức tạp khi tích hợp passkey vào blockchain, vì hai loại đường cong elliptic này không tương thích với nhau một cách tự nhiên.
Ứng dụng của Passkey trong các lĩnh vực
Passkey đang dần trở nên phổ biến và được ứng dụng trong nhiều ngành công nghiệp khác nhau, đặc biệt là trong các lĩnh vực yêu cầu bảo mật cao như ngân hàng, thương mại điện tử và crypto. Những ứng dụng này không chỉ cải thiện tính bảo mật mà còn nâng cao trải nghiệm người dùng.
Đăng nhập vào tài khoản trực tuyến
Thay vì sử dụng mật khẩu, passkey cho phép người dùng đăng nhập vào các tài khoản trực tuyến (như email, mạng xã hội, ngân hàng, ví điện tử) bằng cách sử dụng sinh trắc học hoặc mã PIN.
Google và Apple: Google đã triển khai passkey cho người dùng Gmail và các tài khoản khác, giúp đăng nhập mà không cần mật khẩu. Apple cũng đã tích hợp passkey trên iCloud và các dịch vụ của mình, giúp đồng bộ hóa passkey giữa các thiết bị qua iCloud Keychain.
Amazon: Một số dịch vụ thương mại điện tử như Amazon cũng bắt đầu thử nghiệm passkey để giúp người dùng mua hàng và quản lý tài khoản dễ dàng hơn.
Bảo mật tài khoản sàn giao dịch tiền mã hóa
Trên các sàn giao dịch tiền mã hóa như Binance, Coinbase, Bybit… passkey được dùng để đăng nhập và xác thực giao dịch mà không cần sử dụng mật khẩu hoặc mã xác thực hai yếu tố (2FA). Ngoài ra, passkey cũng được dùng để xác thực khi người dùng thực hiện các tác vụ mua bán P2P…
Trên Binance hoặc Coinbase, người dùng có thể truy cập vào tài khoản của mình thông qua passkey, sử dụng các phương thức xác thực sinh trắc học (như Touch ID hoặc Face ID), khóa bảo mật USB/NFC, hoặc khóa màn hình và mã PIN. Phương thức này thay thế hoàn toàn cho việc nhập mật khẩu truyền thống, giúp tăng cường bảo mật cho các tài khoản trên Binance.
Một khi đã thiết lập, người dùng có thể sử dụng passkey để đăng nhập từ nhiều thiết bị khác nhau và quản lý nó trực tiếp qua ứng dụng hoặc trang web của Binance. Binance đã hỗ trợ tính năng này từ tháng 3/2023 và nó hoạt động tương tự như xác thực hai yếu tố (2FA) nhưng với mức độ bảo mật cao hơn và trải nghiệm mượt mà hơn.
Đọc thêm: Cách thiết lập và sử dụng Passkey trên sàn Binance.
Ứng dụng ví điện tử và ngân hàng
Passkey được sử dụng trong các ứng dụng ví điện tử và ngân hàng di động, giúp người dùng thực hiện các giao dịch một cách an toàn mà không cần mật khẩu.
PayPal và Venmo: Các dịch vụ thanh toán như PayPal và Venmo đã bắt đầu áp dụng passkey, cho phép người dùng gửi và nhận tiền mà không cần phải nhập mật khẩu hoặc mã OTP.
Xác thực giao dịch trên dApp và DeFi
Passkey trong ví hợp đồng thông minh đang được xem là một bước tiến quan trọng trong việc đơn giản hóa quá trình đăng nhập và xác thực giao dịch, đặc biệt đối với các ví tương thích với tiêu chuẩn ERC-4337 trên Ethereum.
Khi người dùng kích hoạt một giao dịch, khóa riêng sẽ được sử dụng để ký giao dịch, và passkey làm cho quá trình này dễ dàng hơn bằng cách sử dụng sinh trắc học để xác minh người dùng thay vì phải nhập mật khẩu.
Trong môi trường blockchain, sự khác biệt giữa các đường cong elliptic gây ra thách thức khi tích hợp passkey với các hệ thống blockchain như Ethereum. Tuy nhiên, với sự phát triển của các giải pháp như account abstraction (ERC-4337), những thách thức này dần được khắc phục, mở ra cơ hội cho passkey được tích hợp vào các ví hợp đồng thông minh để xác thực giao dịch một cách an toàn.
Trong tương lai, việc tích hợp passkey vào ví hợp đồng thông minh sẽ càng được chú trọng hơn, vì nó có thể giúp tăng cường bảo mật cho các tài sản tiền mã hóa, đặc biệt trong môi trường DeFi, nơi người dùng cần bảo vệ tài sản khỏi các cuộc tấn công mạng phức tạp.
Agent X - dự án ví triển khai smart account giúp người dùng thuận tiện hơn trong tương tác và sử dụng với hệ sinh thái Starknet.
Truy cập các dịch vụ công cộng
Các cơ quan chính phủ và tổ chức công cũng có thể sử dụng passkey để bảo mật thông tin và đăng nhập vào các dịch vụ công. Ở một số quốc gia thuộc EU, passkey được sử dụng để truy cập vào các hệ thống công cộng và các dịch vụ trực tuyến của chính phủ, giúp người dùng bảo mật thông tin cá nhân mà không cần mật khẩu.
Xác thực trong các ứng dụng doanh nghiệp
Trong các công ty và tổ chức lớn, passkey giúp đăng nhập vào hệ thống nội bộ hoặc các ứng dụng doanh nghiệp một cách an toàn, đặc biệt là trong bối cảnh nhiều công ty chuyển sang mô hình làm việc từ xa.
- Microsoft: Microsoft đã tích hợp passkey để giúp nhân viên đăng nhập vào các ứng dụng của công ty mà không cần mật khẩu, đồng thời tăng cường bảo mật.
- Okta: Các giải pháp quản lý danh tính như Okta đã áp dụng passkey để giúp các doanh nghiệp cải thiện khả năng bảo mật truy cập.
Đọc thêm: Top 5 giải pháp sao lưu Passkey hiệu quả trong Crypto.
Ưu điểm của Passkey
Passkey bảo mật
Bảo mật là lợi ích lớn nhất mà passkey mang lại trong thị trường crypto. Bằng cách kết hợp khóa công khai - khóa riêng với xác thực sinh trắc học, passkey giúp bảo vệ tài sản số khỏi các cuộc tấn công mạng.
- Khả năng chống phishing: Passkey giúp loại bỏ nguy cơ bị lừa đảo phishing vì không có mật khẩu nào được nhập trên các trang web. Hacker không thể đánh cắp thông tin đăng nhập thông qua việc giả mạo trang web.
- Bảo vệ chống lại tấn công dò mật khẩu: Passkey không dễ bị tấn công dò mật khẩu, vì nó sử dụng mã hóa khóa công khai, thay vì dựa vào một chuỗi ký tự mật khẩu.
- Bảo mật với sinh trắc học: Việc kết hợp passkey với các phương thức xác thực sinh trắc học như nhận diện khuôn mặt hoặc vân tay tăng cường bảo mật, vì chỉ có người sở hữu thiết bị mới có thể truy cập vào tài khoản hoặc ví của mình.
Tiện lợi cho người dùng
Sự phức tạp trong việc nhớ mật khẩu dài và mạnh là một rào cản đối với nhiều người dùng. Với passkey, người dùng sẽ:
- Không cần nhớ mật khẩu: Người dùng không cần phải ghi nhớ nhiều mật khẩu phức tạp cho các ví tiền mã hóa hoặc tài khoản dApps khác nhau. Điều này đặc biệt hữu ích khi số lượng ứng dụng và tài khoản trong crypto ngày càng tăng.
- Xác thực nhanh chóng: Sử dụng passkey giúp người dùng xác thực nhanh chóng chỉ bằng một cú chạm vân tay hoặc quét khuôn mặt, thay vì phải nhập mật khẩu dài hoặc cụm từ khôi phục.
- Tương thích trên nhiều nền tảng: Passkey hiện đã được hỗ trợ trên nhiều hệ điều hành lớn như Windows, macOS, iOS và Android, giúp người dùng có thể sử dụng công nghệ này trên nhiều thiết bị khác nhau. Điều này cho phép passkey dễ dàng tích hợp vào các nền tảng trực tuyến và ứng dụng, bao gồm các sàn giao dịch crypto và ví tiền mã hóa.
Hạn chế của Passkey
Phụ thuộc vào thiết bị hỗ trợ
Passkey chỉ hoạt động trên các thiết bị có hỗ trợ sinh trắc học hoặc mã PIN an toàn. Nếu người dùng sử dụng thiết bị cũ hoặc không hỗ trợ tính năng này, họ sẽ không thể sử dụng passkey. Điều này làm hạn chế phạm vi áp dụng cho những người dùng có thiết bị lỗi thời.
Rủi ro khi mất thiết bị
Nếu thiết bị chứa passkey bị mất, người dùng có thể gặp khó khăn trong việc khôi phục tài khoản, đặc biệt nếu không có biện pháp sao lưu passkey hoặc mã khôi phục. Việc này có thể gây ra rủi ro mất quyền truy cập vĩnh viễn vào tài khoản nếu không có hệ thống dự phòng an toàn.
Khó khăn khi thay đổi thiết bị
Việc chuyển passkey từ thiết bị này sang thiết bị khác có thể phức tạp. Đặc biệt, nếu người dùng sử dụng các hệ sinh thái khác nhau (ví dụ: từ Android sang iOS), việc đồng bộ hóa giữa các thiết bị có thể không liền mạch, gây ra bất tiện trong việc sử dụng.
Chưa được hỗ trợ rộng rãi
Mặc dù các nền tảng lớn như Google, Apple và Microsoft đã hỗ trợ passkey, nhưng không phải tất cả các dịch vụ trực tuyến đều hỗ trợ công nghệ này. Người dùng vẫn phải duy trì cả passkey và mật khẩu truyền thống cho các dịch vụ không tương thích, gây ra sự bất tiện trong việc quản lý thông tin đăng nhập.