Mật khẩu truyền thống: Công nghệ cũ kỹ cần bị khai tử ngay lập tức

Những vụ rò rỉ dữ liệu hàng loạt trong thời gian qua cho thấy, mật khẩu truyền thống vẫn là một điểm yếu cố hữu ở khả năng bảo mật. Điều này đặc biệt đúng khi mà rất nhiều người dùng, để dễ nhớ, vẫn lựa chọn cho mình những cụm từ "dễ dãi" để làm mật khẩu như "1234567" hay "abcdef"... Theo phân tích của Keeper Security, riêng "123456" đã chiếm tới 17% trong số 10 triệu mật khẩu bị rò rỉ trên mạng internet. Keeper Security là hãng cung cấp dịch vụ log-in để đăng nhập các dịch vụ trên mạng.

Lời giải cho vấn đề này, tất nhiên, chính là chúng ta phải loại bỏ hoàn toàn mật khẩu truyền thống. Công nghệ sinh trắc học - đặc biệt là cảm biến vân tay - đang góp một phần giúp chúng ta hoàn thành mục tiêu đó. Nó giúp người dùng không phải nhập mật khẩu, việc làm vốn rất dễ bị hacker đoán ra bằng các thuật toán thông minh. Hiện tại, với xu hướng phát triển các thiết bị như loa thông minh (Amazon Echo, Google Home) hỗ trợ giọng nói, các công ty đang bắt đầu tạo ra công nghệ mới nhắm xác thực danh tính người dùng thông qua mẫu giọng nói. Nhận diện khuôn mặt cũng dần bắt đầu được đưa vào sử dụng thực tế.

"Mục tiêu của chúng tôi là khai tử hoàn toàn mật khẩu. Trong tương lai, chúng ta sẽ nhìn lại thời điểm này và phì cười khi thấy mình từng phải tạo một mã gồm 10 ký tự với chữ hoa và chữ thường, số, ký tự đặc biệt, để đăng nhập. Nó giống như việc giới trẻ ngày nay phì cười khi nói tới việc mua album nhạc lưu trên đĩa CD vậy" - Dylan Casey, phó giám đốc quản lý sản phẩm của Yahoo, cho biết.

Tuy nhiên, câu hỏi được đặt ra là liệu các công ty có thể thuyết phục người dùng chuyển sang đăng nhập sinh trắc học, và liệu công nghệ mới này có chứng minh được khả năng chống lại tin tặc so với mật khẩu truyền thống hay không.

Hồi tháng 3/2015, Yahoo bắt đầu quá trình loại bỏ yêu cầu khách hàng nhớ mật khẩu để đăng nhập vào dịch vụ email của mình. Thay vào đó, người dùng có thể đăng nhập bằng loại mật khẩu chỉ dùng một lần mà Yahoo gửi vào số điện thoại của họ qua SMS. Đến tháng 10 năm đó, công ty mở rộng chức năng này để tận dụng smartphone, thiết bị đã quá phổ biến hiện nay. Theo đó, thay vì nhập mật khẩu, người dùng smartphone sẽ nhận được một thông báo notification để xác nhận họ có đang đăng nhập tài khoản hay không. Khi mà smartphone ngày nay đều sở hữu các cảm biến sinh trắc học, cách làm này có thể an toàn hơn SMS, bởi nó không chỉ yêu cầu điện thoại phải đang ở bên cạnh người dùng, mà còn yêu cầu người dùng phải mở khóa cả chiếc điện thoại đó mới có thể sử dụng.

Các hệ thống như trên đã được Apple triển khai từ khá lâu. Apple là hãng có công trong việc phổ biến cảm biến vân tay khi tích hợp nó vào iPhone cách đây 4 năm. Gần đây, cảm biến này còn được đưa lên cả MacBook. Microsoft cũng đang có những động thái tương tự. Tháng trước, công ty bắt đầu cho phép 800 triệu người sử dụng Outlook.com, Xbox.com, Skype.com, và các dịch vụ trên đám mây khác đăng nhập bằng việc quét vân tay trên smartphone của họ nếu muốn. Theo Alex Simons, người phụ trách sản phẩm của Microsoft, đến tháng 10 hoặc tháng 11 năm nay, bạn sẽ có thể cầm điện thoại của mình, đi lại gần máy tính chạy Windows 10 và dùng ngón tay cái đặt trên cảm biến vân tay smartphone để đăng nhập vào máy tính.

Ngân hàng, ngành công nghiệp vốn rất cần tới bảo mật, đã áp dụng một số công nghệ tiên tiến nhất. Ngân hàng Barclays của Anh bắt đầu cho phép những khách hàng giàu có kiểm chứng danh tính của họ thông qua các cuộc gọi điện thoại bằng tiếng nói của mình vào năm 2014. Công nghệ này được phổ biến rộng rãi hơn vào năm ngoái. Simon Separghan, người quản lý các trung tâm liên lạc của Barclays trên khắp các nước Anh, Ấn Độ và Philippines, cho biết: "Bảo mật bằng giọng nói của chúng tôi hoạt động bằng cách thu âm và phân tích các mẫu giọng khác nhau, giọng nói, tốc độ giọng".

Nhận diện khuôn mặt cũng đang trở nên phổ biến hơn. Ngân hàng Lloyds Group công bố hồi tháng Tư rằng sẽ thử nghiệm công nghệ Windows Hello của Microsoft, cho phép người dùng đăng nhập vào các tài khoản trên web bằng cách hướng khuôn mặt của họ vào webcam máy tính.

Một băn khoăn mà người dùng nào cũng muốn biết, đó là các công nghệ mới này có qua mặt được hacker hay không? Ngân hàng Barclays thì tỏ ra lạc quan về hệ thống đăng nhập bằng giọng nói. Người đại diện Separghan khẳng định cho tới nay chưa có vụ rò rỉ dữ liệu nào liên quan đến hệ thống này. "Chúng tôi rất tự tin rằng hệ thống này là độc nhất giống như dấu vân tay của bạn. Bởi vậy, cho dù người bên kia có tìm cách nhái tiếng hay thu âm rồi mở lại, thì hệ thống vẫn sẽ phát hiện ra" - Separghan nói thêm.

Tuy nhiên, Michela Menting, Giám đốc nghiên cứu an ninh kỹ thuật số của ABI Research, thì không chắc chắn như vậy. "Với trí thông minh nhân tạo, bạn sẽ có máy móc có thể nhân bản tiếng nói của con người và có thể giả vờ là người khác", bà chia sẻ. Hồi tháng 4, ba nhà phát triển của một startup về AI ở Montreal (Canada), đã cho phát hành một demo công cụ Lyrebird có khả năng nhái y hệt giọng của bất kỳ ai, chỉ cần nó có được đoạn ghi âm dài 60 giây của giọng nói đó. Startup này đã demo bằng cách giả giọng các nhân vật nổi tiếng như Barack Obama, Hillary Clinton và đương kim Tổng thống Mỹ Donald Trump.

Alexandre de Brébisson, một trong những người sáng lập ra Lyrebird và hiện đang học về AI tại đại học Montreal, nói rằng mục tiêu của nhóm mình là cải tiến việc kết hợp giọng nói chứ không có ý đồ bất chính.

Liệu phần mềm này có thể dùng để đánh lừa các hệ thống xác thực bằng giọng nói hay không? "Chúng tôi chưa thử công nghệ của mình trên các hệ thống đó, tuy nhiên, chúng tôi cũng sẽ không ngạc nhiên nếu mình có thể thực hiện thành công" - Brébisson cho biết.

Những lo ngại tương tự cũng được đặt ra cho hệ thống nhận diện khuôn mặt. Theo Microsoft, công nghệ Windows Hello của hãng hiện đã có trên nhiều mẫu PC Windows và sớm được thử nghiệm tại nhiều ngân hàng. Công nghệ này dùng các cảm biến hồng ngoại để xác định khuôn mặt, và Microsoft cho rằng nó sẽ không bị đánh lừa khi kẻ nào đó dùng ảnh chụp khuôn mặt người khác chĩa trước webcam. Tuy nhiên, hồi tháng 3, theo các phản ánh thì tính năng nhận diện khuôn mặt trên chiếc Galaxy S8 của Samsung dễ dàng bị qua mặt bởi phương pháp dùng ảnh chụp này. Trong một phản hồi sau đó, Samsung nói rằng người dùng có nhiều cách để mở khóa S8, và rằng nhận diện khuôn mặt chỉ có thể được dùng để mở máy chứ không dùng được để xác thực thanh toán Samsung Pay hay mở thư mục bảo mật Secure Folder.

Mười ba năm trước, Bill Gates từng dự đoán về cái chết của mật khẩu. Dù vậy, nó chưa bao giờ xảy ra bởi vì người dùng vẫn theo đuổi những thói quen cũ và không phải lúc nào họ cũng có thể mua được các công nghệ mới nhất. Để tránh gây khó dễ cho khách hàng, các ngân hàng khẳng định sẽ không chuyển hoàn toàn sang công nghệ bảo mật mới an toàn hơn.

Thay vào đó, họ cho phép khách hàng lựa chọn dùng công nghệ mới này hoặc không. Vì vậy, mặc dù cảm biến sinh trắc học ngày càng rẻ hơn và phần mềm thông minh đã giúp cải thiện bảo mật trực tuyến, Menting (giám đốc nghiên cứu an ninh kỹ thuật số của ABI Research) tin rằng mật khẩu vẫn sẽ còn tồn tại tới khoảng 50 năm nữa, giống như kiểu điện thoại bàn không chết mặc cho cuộc cách mạng smartphone tràn qua.

MT (Theo Bloomberg)