Vì sao xác thực không mật khẩu là xu thế của tương lai?

Loại bỏ mật khẩu trong quá trình xác thực sẽ khắc phục một số nhược điểm của phương thức bảo mật hiện nay. Các doanh nghiệp lớn đang đẩy mạnh xu thế này và hướng đến tương lai hoàn toàn không có mật khẩu.

Kể từ tháng 9, người dùng Microsoft không còn phải lệ thuộc hoàn toàn mật khẩu khi đăng nhập tài khoản của họ. Gã khổng lồ công nghệ có trụ sở tại Redmond cho phép sử dụng các phương pháp xác thực khác, bao gồm Windows Hello (trình bảo mật dựa trên cảm biến vân tay, khuôn mặt), khóa bảo mật vật lý hoặc mã xác minh được gửi qua tin nhắn văn bản SMS để đăng nhập vào Outlook, OneDrive và các dịch vụ khác của Microsoft.

Nguy cơ bảo mật từ mật khẩu

Thông báo của Microsoft đưa ra nhằm giải quyết các khuyết điểm tồn tại lâu nay xung quanh việc sử dụng mật khẩu. Một phần của vấn đề là người dùng cần phải nhớ quá nhiều mật khẩu.

Theo kết quả khảo sát do hãng bảo mật Nordpass công bố và tháng 2/2020, trung bình mỗi người dùng có 70-80 tài khoản sử dụng mật khẩu. Con số này phản ánh mức độ phụ thuộc lớn của người dùng vào các dịch vụ kỹ thuật số. Trong năm nay, khi đại dịch COVID-19 khiến cho nhiều doanh nghiệp chuyển sang hoạt động từ xa, số tài khoản có thể tiếp tục tăng lên.

Nếu người dùng có quá nhiều thứ cần nhớ, họ sẽ muốn đơn giản hóa chúng. Trong trường hợp của mật khẩu, điều này đôi khi trả giá bằng nguy cơ bảo mật.

Trong cuộc khảo sát của Specops Software, 29,03% người được hỏi sử dụng duy nhất một mật khẩu, nghĩa là họ lặp lại cùng một mật khẩu trên toàn bộ tài khoản kỹ thuật số. Chỉ 22,58% người đặt những mật khẩu khác nhau. Số còn lại tiết lộ rằng họ dùng các biến thể nhỏ của cùng một mật khẩu cho tất cả tài khoản của mình.

Ngoài ra, 1/3 số người được hỏi không nghĩ rằng việc dùng một mật khẩu cho nhiều tài khoản sẽ tiềm ẩn rủi ro nghiêm trọng. Thậm chí hơn 10% chưa từng lo lắng về việc này.

Những phát hiện đó phù hợp với một cuộc khảo sát khác vào năm 2020 do Threatpost công bố. Trong nghiên cứu này, 2/3 người dùng nói rằng họ "luôn luôn" hoặc "hầu hết" sử dụng cùng một mật khẩu hay các biến thể của một mật khẩu duy nhất, mặc dù 91% biết rõ đây là một rủi ro về bảo mật.

Tác động của mật khẩu đối với doanh nghiệp

Thói quen sử dụng mật khẩu yếu mang lại nguy cơ bảo mật cho bản thân người dùng. Theo Microsoft, những kẻ tấn công có thể sử dụng hồ sơ mạng xã hội của nạn nhân như một "bước khởi đầu để đăng nhập vào tài khoản cá nhân của họ".

Sau khi dùng mạng xã hội để tìm kiếm nạn nhân, hacker xâm nhập hồ sơ bằng cuộc tấn công dò mật khẩu tự động hoặc các chiến dịch lừa đảo. Đồng thời, chúng có thể kết hợp nhiều thông tin khác nhau của người dùng, thu thập qua các kênh rời rạc để dự đoán mật khẩu của hàng loạt tài khoản mà họ sở hữu.

Điều này giải thích lý do hacker thường tấn công vào các cơ sở dữ liệu chứa mật khẩu. Trong báo cáo điều tra tình trạng vi phạm dữ liệu (DBIR) 2020 của Verizon 80% vụ việc liên quan đến phương thức tấn công dò tìm mật khẩu hoặc sử dụng thông tin đăng nhập bị mất/đánh cắp. Những chiến thuật đó xuất hiện trên nhiều loại nội dung nhưng phổ biến nhất là các ứng dụng web.

Mật khẩu cũng ảnh hưởng đến các tổ chức theo những cách khác, ngoài việc xâm phạm dữ liệu. Infosecurity cho rằng nhiều tổ chức lớn tiêu tốn hơn 945.000 USD mỗi năm cho chi phí hỗ trợ liên quan đến mật khẩu, mỗi lần đặt lại mật khẩu có giá trung bình 68 USD.

Con số này gây ra gánh nặng tài chính cho các doanh nghiệp vừa và nhỏ trong dài hạn - đặc biệt là khi họ đang phải chật vật với chi phí liên quan đến các vấn đề khác, như quản lý thiết bị đầu cuối và ứng dụng di động.

Không chỉ vậy, tất cả những yêu cầu mật khẩu đó có thể khiến mọi người làm việc kém hiệu quả. Nhân viên không thể thực hiện tốt công việc nếu họ cần liên tục gọi cho bộ phận CNTT để được hỗ trợ về mật khẩu. Điều này có thể làm tổn hại cho doanh nghiệp nhiều hơn vì khiến cho các dự án bị trì hoãn, ảnh hưởng tiến độ công việc và lợi ích kinh tế.

Xác thực không mật khẩu là giải pháp của tương lai

Các vấn đề được thảo luận ở trên cho thấy sự cần thiết của việc áp dụng phương thức xác thực không mật khẩu trong tương lai. Doanh nghiệp có thể dựa vào một số công nghệ tiên tiến để thực hiện việc này.

Trong trường hợp của Microsoft, gã khổng lồ công nghệ đã đề cập đến một ứng dụng xác thực dựa trên sinh trắc học, khóa bảo mật và mã xác minh qua tin nhắn SMS. Tất cả những điều đó là ví dụ về xác thực đa yếu tố (MFA), có thể giúp bảo vệ quyền truy cập vào tài khoản mà không lệ thuộc hoàn toàn vào mật khẩu.

MFA có thể hoạt động tốt ngay cả trong trường hợp kẻ lừa đảo hoặc kẻ tấn công có chủ đích tìm cách xâm phạm thông tin đăng nhập của tài khoản.

Nhiều tài khoản và ứng dụng đi kèm với các công cụ tích hợp lớp bảo mật MFA phổ biến. Ngoài ra, một số doanh nghiệp lớn còn cung cấp riêng cho khách hàng của họ những giải pháp chuyên biệt để bảo vệ dữ liệu quan trọng.

Ví dụ, hãng IBM vận hành công cụ xác thực đa yếu tố mang tên IBM Z MFA. Đây là hàng rào bảo mật chuyên dụng, hoạt động dựa trên phần mềm và phần cứng đặc biệt của họ như hệ điều hành VM, Sysplex Boundary, khóa bảo mật IBM TouchToken, thiết bị nhận mã tức thời TOTP… mang đến khả năng bảo mật nghiêm ngặt, vượt xa hình thức xác thực đa yếu tố thông thường.

MFA không phải "phương thuốc chữa bách bệnh"

Tuy nhiên, MFA không phải là một giải pháp an toàn tuyệt đối dành cho mọi trường hợp. Có ít nhất 2 lý do để đưa ra nhận định này.

Đầu tiên, các tác nhân độc hại có thể khởi động chiến dịch tấn công được thiết kế để vượt qua hàng rào bảo mật MFA, đặc biệt là hình thức xác thực dựa trên SMS. Chúng có thể hoán đổi SIM, sử dụng phương thức tấn công phi kỹ thuật số, lừa đảo hoặc các phương tiện khác để đánh cắp quyền truy cập vào số điện thoại của nạn nhân. Sau đó, tin tặc chặn mã xác minh dựa trên SMS để truy cập vào tài khoản.

Ngoài ra, hacker có thể sử dụng các số điện thoại được cấp lại để lấy mã xác minh. Các nhà nghiên cứu của Đại học Princeton đã kiểm tra 259 số điện thoại do 2 nhà mạng của Mỹ cung cấp. Họ phát hiện 171 số trong khớp với tài khoản hiện tại trên các trang web khác nhau và 100 số khớp với thông tin đăng nhập bị rò rỉ.

Các nhà nghiên cứu theo dõi 200 số được cấp lại. Trong vòng một tuần, họ thấy khoảng 10% trong số nhận được các tin nhắn liên quan đến quyền riêng tư hoặc bảo mật của chủ sở hữu trước đó.

Trong trường hợp chủ sở hữu cũ quên loại bỏ số điện thoại khỏi phương thức bảo mật đa yếu tố của họ, hacker hoàn toàn có thể lấy được thông tin quan trọng này và dùng vào cuộc tấn công của chúng.

Lý do thứ hai là các hệ thống MFA chưa hỗ trợ loại bỏ mật khẩu hoàn toàn. Nó vẫn được dùng như một phương thức xác thực, bên cạnh các yếu tố khác.

Doanh nghiệp có thể khắc phục bằng cách trang bị cho tất cả nhân viên của mình chương trình quản lý mật khẩu, một loại tiện ích hỗ trợ ghi nhớ mật khẩu của người dùng. Họ cũng nên cân nhắc sử dụng tính năng đăng nhập một lần (SSO), giúp người dùng chỉ cần nhớ một bộ thông tin xác thực để truy cập vào các tài khoản và tài nguyên liên quan đến công việc của họ.

Xu hướng xác thực không mật khẩu

Mật khẩu là cách phù hợp để xác thực khi người dùng có ít tài khoản hơn, nhưng mọi thứ đã thay đổi. Hiện nay, con người ngày càng phụ thuộc vào các nền tảng kỹ thuật số. Điều này khiến mật khẩu trở thành gánh nặng hơn là nhu cầu bảo mật.

Điều may mắn là các doanh nghiệp không cần phải dựa vào loại xác thực lỗi thời này để bảo mật tài khoản. Thay vào đó, họ có thể chuyển sang MFA, SSO và các hình thức xác thực không cần mật khẩu khác.

Những giải pháp mới hứa hẹn giúp giảm nhẹ nỗi lo của người dùng về việc phải ghi nhớ mật khẩu, đồng thời hỗ trợ công việc trôi chảy, nhanh chóng hơn, trong khi vẫn đảm bảo an toàn, hạn chế tối đa nguy cơ xâm phạm dữ liệu.

Riêng các nhóm CNTT tại doanh nghiệp, họ sẽ không phải phí phạm thời gian, công sức vào việc liên tục giải quyết yêu cầu đặt lại mật khẩu./.