Vấn đề của Passkey: Lý do Passkey chưa là giải pháp bảo mật tối ưu

Tại sao Passkey được xem là giải pháp bảo mật thế hệ mới?

Passkey được phát triển bởi FIDO Alliance với sự hợp tác của các công ty công nghệ lớn như Apple, Google và Microsoft nhằm thay thế mật khẩu truyền thống. Passkey dựa trên công nghệ xác thực không mật khẩu, sử dụng cặp khóa công khai và khóa riêng cùng với sinh trắc học hoặc mã PIN để xác thực người dùng.

Lý do chính khiến passkey được kỳ vọng cao là khả năng loại bỏ các vấn đề bảo mật liên quan đến mật khẩu, chẳng hạn như:

• Mật khẩu yếu: Người dùng thường chọn mật khẩu đơn giản, dễ đoán.
• Tái sử dụng mật khẩu: Nhiều người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau.
• Tấn công phishing: Hacker dễ dàng đánh cắp mật khẩu thông qua các trang web giả mạo.

Tìm hiểu chi tiết: Phương thức xác minh Passkey là gì?

Sự góp mặt của ba ông lớn Google Apple và Microsoft trong phát triển và sử dụng công nghệ bảo mật passkey.

Các vấn đề thực tế của Passkey

Dù passkey hứa hẹn nhiều lợi ích về bảo mật, quá trình triển khai thực tế đã chỉ ra những điểm yếu và thách thức khiến chúng chưa thực sự hiệu quả. Dưới đây là những vấn đề thực tế mà passkey gặp phải:

Passkey bị ràng buộc vào hệ sinh thái cụ thể

Việc sử dụng passkey trên các thiết bị khác nhau, đặc biệt là khi chúng thuộc các hệ sinh thái khác biệt như Windows và iOS, có thể tạo ra những thách thức lớn đối với người dùng. Đây cũng là một trong những hạn chế lớn nhất của passkey.

Một ví dụ đơn giản minh họa điều này là khi một người dùng thiết lập passkey trên máy tính Windows thông qua Chrome và hệ thống Windows Hello, passkey sẽ được lưu trữ trong hệ thống của Windows.

Tuy nhiên, nếu người dùng sau đó muốn đăng nhập vào dịch vụ đó từ một thiết bị iPhone, họ sẽ gặp rào cản vì passkey được lưu trữ trên Windows không tự động đồng bộ với hệ sinh thái iOS.

Trong trường hợp này, người dùng sẽ gặp khó khăn khi truy cập dịch vụ từ iPhone do passkey không đồng bộ giữa hai thiết bị. Điều này dẫn đến tình trạng "passkey bị mắc kẹt" trên một thiết bị, gây rắc rối khi chuyển đổi giữa các nền tảng.

Trừ khi người dùng đủ am hiểu công nghệ để biết cách tạo passkey mới trên iPhone, họ sẽ rơi vào tình trạng không thể truy cập tài khoản. Điều này giống với những vấn đề mà người dùng gặp phải khi sử dụng các hệ thống xác thực hai yếu tố (2FA) mà không có phương án dự phòng thích hợp.

Một nghiên cứu của FIDO Alliance cho thấy hơn 85% người dùng vẫn gặp khó khăn trong việc sử dụng hệ thống bảo mật như passkey khi cần di chuyển giữa các thiết bị khác nhau. Việc yêu cầu người dùng tự thiết lập lại passkey trên thiết bị mới là một quá trình phức tạp và thường xuyên dẫn đến việc họ bị khóa khỏi tài khoản nếu không đủ kiến thức kỹ thuật.

Thách thức ngay cả trong cùng một hệ sinh thái

Ngay cả khi sử dụng các thiết bị trong cùng hệ sinh thái như iPhone và Mac đồng bộ qua iCloud, người dùng vẫn gặp trở ngại khi đăng nhập từ thiết bị không thuộc hệ sinh thái này, chẳng hạn như máy tính của bạn bè.

Trong những tình huống như vậy, mặc dù Keychain Access có thể đồng bộ hóa passkey qua iCloud, quá trình đăng nhập từ máy tính của người khác có thể đòi hỏi các giải pháp phức tạp hơn, chẳng hạn như quét mã QR để truy cập.

Mặc dù phương pháp này là khả thi, nhưng nó lại khá xa lạ với nhiều người dùng, đặc biệt với những ai không quen thuộc với các công nghệ xác thực mới.

Theo một khảo sát từ Pew Research Center, chỉ có 35% người dùng internet cảm thấy thoải mái khi sử dụng các hệ thống xác thực tiên tiến như quét mã QR hoặc passkey. Điều này cho thấy, mặc dù công nghệ passkey có tiềm năng cải thiện bảo mật, nhưng rào cản về sự dễ sử dụng và khả năng tương thích giữa các thiết bị đang làm giảm hiệu quả của nó đối với đa số người dùng.

Rủi ro mất quyền truy cập

Một vấn đề lớn khác là khả năng bị khóa tài khoản nếu thiết bị chứa passkey bị mất hoặc hỏng mà không có phương án dự phòng. Vì passkey được lưu trữ cục bộ trên thiết bị (ví dụ: điện thoại di động hoặc máy tính) và không có mật khẩu truyền thống để nhập từ thiết bị khác, người dùng sẽ không thể dễ dàng khôi phục lại quyền truy cập trừ khi họ đã thiết lập biện pháp dự phòng như sao lưu passkey hoặc đồng bộ hóa qua đám mây.

Điều này có thể trở thành một rào cản phức tạp cho những người không có kiến thức về công nghệ. Nếu không được cung cấp hướng dẫn rõ ràng và dễ hiểu từ trước, việc mất thiết bị chứa passkey có thể khiến người dùng bị khóa khỏi tài khoản của mình một cách vĩnh viễn.

Xem thêm: 5 giải pháp sao lưu Passkey hiệu quả.

Phức tạp hơn cho người dùng phổ thông

Mặc dù passkey được quảng bá là một phương pháp bảo mật tiên tiến, nhưng việc thiết lập và sử dụng nó đòi hỏi người dùng phải có kiến thức cơ bản về hệ sinh thái mà họ sử dụng. Điều này bao gồm việc hiểu rõ cách hoạt động của khóa công khai - khóa riêng, cách đồng bộ hóa giữa các thiết bị, và biết cách sử dụng passkey trên nhiều nền tảng khác nhau.

Đối với người dùng phổ thông, những người không quen thuộc với các khái niệm kỹ thuật, passkey có thể tạo ra sự phức tạp tương tự như việc sử dụng trình quản lý mật khẩu hoặc hệ thống xác thực hai yếu tố (2FA). Điều này có thể khiến passkey trở nên khó sử dụng, đặc biệt là khi người dùng phải đối mặt với việc quản lý passkey trên nhiều thiết bị hoặc khi họ gặp sự cố về khôi phục tài khoản.

Ví dụ: Theo khảo sát của Pew Research, khoảng 40% người dùng internet cảm thấy khó khăn khi sử dụng các hệ thống bảo mật hai yếu tố và passkey cũng có thể tạo ra mức độ khó khăn tương tự. Điều này chứng minh rằng việc tích hợp passkey vào cuộc sống hàng ngày của người dùng, đặc biệt là những người không có nền tảng kỹ thuật mạnh, sẽ không dễ dàng như mong đợi.

Bảo mật 2FA và passkey mặc dù tốt, nhưng ngày càng khiến đại đa số người dùng khó khăn trong việc hiểu và sử dụng đúng cách.

Đánh giá tính hiệu quả của Passkey trong thị trường Crypto

Trong bối cảnh thị trường crypto đầy biến động và dễ trở thành mục tiêu của các cuộc tấn công mạng, passkey có vẻ là một lựa chọn tốt nhờ khả năng ngăn chặn các phương thức tấn công phổ biến như phishing và brute-force.

Tuy nhiên, thị trường này đòi hỏi khả năng khôi phục tài khoản linh hoạt và quản lý đa nền tảng, vì người dùng thường truy cập từ nhiều thiết bị khác nhau. Passkey lại gặp nhiều hạn chế ở điểm này, khi việc đồng bộ giữa các thiết bị và khôi phục passkey từ một thiết bị mới rất phức tạp, đặc biệt nếu mất thiết bị chứa passkey. Điều này có thể dẫn đến tổn thất tài chính nghiêm trọng nếu người dùng mất quyền truy cập.

Hơn nữa, người dùng ví phần cứng như Ledger và Trezor trong thị trường crypto đã quen với việc bảo mật khóa riêng ngoại tuyến, và passkey dường như không mang lại nhiều lợi ích đáng kể trong trường hợp này. Ví phần cứng vốn đã cung cấp một lớp bảo mật mạnh mẽ mà không làm tăng thêm sự phức tạp như passkey.

Giải pháp thay thế khả thi là sử dụng email xác thực bổ sung khi đăng nhập từ thiết bị mới. Email là một phương thức phổ biến, dễ sử dụng và giúp tăng cường bảo mật mà không làm phức tạp quá trình đăng nhập. Tuy nhiên, giải pháp này không hoàn toàn thay thế passkey mà chỉ là một yếu tố bổ sung khi sử dụng trên nhiều thiết bị.

Mặc dù passkey có tiềm năng, nó vẫn chưa phải là giải pháp bảo mật tối ưu cho phần lớn người dùng crypto. Trong ngắn hạn, passkey có thể phù hợp với những người dùng crypto có kiến thức kỹ thuật tốt và hoạt động chủ yếu trong một hệ sinh thái đồng bộ (ví dụ: chỉ sử dụng thiết bị Apple).

Tuy nhiên, đối với người dùng phổ thông, hoặc những người sử dụng nhiều thiết bị và hệ sinh thái khác nhau, passkey chưa phải là giải pháp hoàn hảo. Cần có những cải tiến trong khả năng khôi phục và tương thích trước khi passkey thực sự trở thành giải pháp bảo mật phù hợp và phổ biến trong thị trường crypto.