Passkey là gì?

Passkey là một phương thức xác thực người dùng tiện lợi và an toàn hơn so với mật khẩu truyền thống, hoạt động trên tất cả các nền tảng và trình duyệt phổ biến. Phương pháp này cho phép người dùng đăng nhập bằng cách mở khóa máy tính hoặc thiết bị di động bằng vân tay, nhận dạng khuôn mặt hoặc mã PIN để xác minh danh tính của mình.

Có thể hiểu passkey là một phương thức xác thực độc đáo dựa trên việc xác thực qua thiết bị của người dùng. Phương thức này giúp tiết kiệm thời gian và giảm bớt đáng kể phiền toái trong việc nhập mật khẩu trên các thiết bị khác nhau.

Thực tế, sử dụng mật khẩu để đăng nhập có thể gây khó khăn cho người dùng. Việc suy nghĩ, tạo và nhớ một mật khẩu đủ mạnh cho nhiều tài khoản khác nhau có thể rất phức tạp. Thậm chí người dùng thông thạo cũng thường bị lừa tiết lộ mật khẩu trong các cuộc tấn công lừa đảo. Dù có 2SV (2FA/MFA) giúp ích, nhưng nó làm cho người dùng cảm thấy không thoải mái và vẫn chưa phòng ngừa được hoàn toàn các cuộc tấn công lừa đảo hay chiêu trò “đổi SIM” để lấy mã xác thực từ SMS. Nhìn chung, để giải quyết tất cả những vấn đề này, passkeys là giải pháp hữu hiệu hiện nay.

Sử dụng mật khẩu để đăng nhập có thể gây khó khăn cho người dùng

Passkey sử dụng như thế nào?

Khi bạn thêm passkey vào tài khoản Google của mình, thay vì nhập mật khẩu truyền thống, Google sẽ yêu cầu passkey để đăng nhập và xác thực chủ sở hữu tài khoản. Passkey được lưu trữ trực tiếp trên thiết bị của bạn và yêu cầu sử dụng dấu vân tay hoặc mã PIN màn hình khóa để xác thực danh tính. Passkey sẽ không bao giờ được chuyển hoặc tiết lộ cho bất kỳ ai khác, bao gồm cả Google.

Bằng cách sử dụng passkey để đăng nhập vào tài khoản Google, hệ thống xác nhận rằng bạn là chủ sở hữu thiết bị bằng cách yêu cầu bạn mở khóa thiết bị. Điều này mang lại sự an toàn và đảm bảo rằng chỉ bạn mới có thể truy cập vào tài khoản của mình. Nhờ vậy, passkey giúp ngăn chặn các cuộc tấn công lừa đảo và giảm nguy cơ mất an toàn mật khẩu. Nó cung cấp một giải pháp an toàn và tiện lợi thay thế cho mật khẩu truyền thống.

Ngoài ra, passkey cũng có tính linh hoạt và tiện ích. Bạn có thể sử dụng passkey để đăng nhập từ nhiều thiết bị khác nhau, bao gồm cả máy tính để bàn và máy tính xách tay. Bạn cũng có thể đồng bộ hóa passkey giữa các thiết bị mà bạn sở hữu. Ví dụ, nếu bạn tạo một passkey trên iPhone, passkey đó sẽ tự động đồng bộ trên các thiết bị Apple khác có cùng đăng nhập iCloud. Điều này giúp bảo vệ bạn khỏi việc mất quyền truy cập vào tài khoản trong trường hợp mất thiết bị và đồng thời đơn giản hóa quá trình chuyển đổi giữa các thiết bị khác nhau.

Tuy nhiên, cần lưu ý rằng Google không khuyến nghị sử dụng passkey trên các thiết bị được chia sẻ với người khác. Điều này có thể làm cho passkey của bạn trở nên không an toàn nếu ai đó khác có thể mở khóa thiết bị và truy cập vào tài khoản của bạn. Vì vậy, hãy đảm bảo rằng bạn chỉ sử dụng passkey trên các thiết bị cá nhân của mình để đảm bảo tính bảo mật của tài khoản Google.

Trong trường hợp bạn nghi ngờ rằng ai đó có thể mở khóa thiết bị và truy cập vào tài khoản Google của bạn trên thiết bị mà bạn đã mất, bạn có thể ngay lập tức hủy bỏ passkey trong cài đặt tài khoản. Nếu thiết bị của bạn hỗ trợ tính năng xóa từ xa, hãy sử dụng nó để đảm bảo an toàn. Bên cạnh đó, việc thêm số điện thoại và email vào cài đặt tài khoản sẽ giúp tăng khả năng khôi phục tài khoản trong trường hợp có ai đó truy cập trái phép.

Cách hoạt động của passkey

Bản chất, passkey là một private key đã được mã hóa và lưu trữ trên các thiết bị của người dùng (private key chỉ được lưu trữ và tồn tại trên thiết bị mà nó được tạo ra). Khi tạo passkey, có nghĩa là bạn đang tạo một cặp public key – private key, và public key sẽ được tải lên Google. Dữ liệu được chia sẻ với Google chỉ gồm public key và chữ ký, không chứa thông tin sinh trắc học của bạn. Khi bạn muốn đăng nhập vào tài khoản của mình, Google sẽ tiến hành đối chiếu cặp private key đã được lưu vào thiết bị của bạn với public key đã tải lên trước đó để xác minh danh tính. Quá trình này đảm bảo rằng chỉ có người sở hữu public key và private key tương ứng mới có thể đăng nhập thành công vào tài khoản.

Vì mỗi passkey chỉ có thể được sử dụng cho một tài khoản duy nhất, không có rủi ro tái sử dụng chúng qua các dịch vụ khác. Điều này có nghĩa là tài khoản Google của bạn được bảo vệ khỏi việc vi phạm dữ liệu trên các tài khoản khác của bạn và ngược lại.

Passkey được xây dựng trên các giao thức và tiêu chuẩn mà Google đã thiết lập trong Liên minh xác thực trực tuyến thế giới (FIDO Alliance) và nhóm làm việc WebAuth của W3C. Điều này đồng nghĩa rằng passkey có thể hoạt động trên tất cả các nền tảng và trình duyệt mà đáp ứng các tiêu chuẩn này. Do đó, bạn có thể lưu trữ passkey cho tài khoản Google trên bất kỳ thiết bị hoặc dịch vụ tương thích nào.

Các tiêu chuẩn và giao thức tương tự cũng được áp dụng cho các Security key, là giải pháp mạnh mẽ nhất của Google dành cho các tài khoản có mức độ rủi ro cao. Passkey kế thừa nhiều tính năng bảo mật mạnh mẽ từ Security key, nhưng đồng thời mang lại sự tiện lợi phù hợp cho tất cả mọi người.

Passkey là bước tiến quan trọng của Google

Sự ra mắt hôm nay là một bước tiến quan trọng trong nỗ lực chung của ngành công nghiệp, mà Google đã ấp ủ từ hơn 10 năm trước. Google cam kết passkey sẽ là xu hướng đăng nhập an toàn trong tương lai, dành cho tất cả mọi người. Hãng cũng hy vọng rằng các nhà phát triển web và ứng dụng khác sẽ áp dụng passkey và sử dụng triển khai chúng như một mô hình.

Với bước tiến áp dụng passkey vào mở khóa quá trình đăng nhập tài khoản Google, Google đã tiến thêm một bước quan trọng trong việc bảo vệ thông tin cá nhân và an ninh mạng cho người dùng.

Google Account là tài khoản cá nhân hoặc doanh nghiệp dùng để truy cập và quản lý dịch vụ Google, trong khi GCP là nền tảng điện toán đám mây của Google cho phép xây dựng, triển khai và quản lý ứng dụng và dịch vụ. Google Account được sử dụng để đăng nhập và quản lý quyền truy cập vào GCP.

CMC Telecom – Premier Partner của Google tại Việt Nam

Với tin tức hữu ích về passkey, CMC Telecom hy vọng sẽ giúp người dùng Google thêm vững tâm hơn khi sử dụng các dịch vụ – giải pháp của Google. Hiện nay, tại Việt Nam, CMC Telecom hiện là Premier Partner của Google và vừa đạt năng lực Specialization của Work Transformation – SMB. Với năng lực này, CMC Telecom được Google công nhận năng lực tư vấn, xây dựng giải pháp và triển khai cho khách hàng khi chuyển đổi số với hệ sinh thái Google Workspace trên nền tảng Google Cloud Platform.

Source: https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html