Đăng nhập không mật khẩu: Tiện lợi tăng, rủi ro cũng tăng

Việc đăng nhập vào các dịch vụ trực tuyến đang thay đổi nhanh chóng. Thay vì nhập mật khẩu, nhiều nền tảng cho phép người dùng xác thực bằng vân tay, khuôn mặt hoặc passkey trên thiết bị cá nhân. Cách làm này giúp việc truy cập tài khoản nhanh và thuận tiện hơn, nhưng cũng khiến rủi ro bảo mật tăng lên.

Khi mật khẩu dần biến mất 

Với mật khẩu truyền thống, người dùng thường phải ghi nhớ nhiều mật khẩu khác nhau cho email, mạng xã hội, ngân hàng hay các dịch vụ trực tuyến. Khi số lượng tài khoản tăng lên, việc quản lý mật khẩu trở nên khó khăn, dẫn đến tình trạng đặt mật khẩu đơn giản, dùng lại cùng một mật khẩu cho nhiều dịch vụ hoặc ghi chú mật khẩu ở những nơi kém an toàn.

Sự phổ biến của đăng nhập không mật khẩu được thúc đẩy bởi nhiều công ty công nghệ lớn như Apple, Google và Microsoft thông qua các tiêu chuẩn xác thực của FIDO Alliance. Thay vì nhập mật khẩu, hệ thống sử dụng khóa mã hóa và xác thực sinh trắc học để xác minh người dùng.

Tại Việt Nam, xu hướng này càng được đẩy nhanh trong lĩnh vực tài chính. Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam yêu cầu nhiều giao dịch ngân hàng trực tuyến phải xác thực sinh trắc học, khiến các ứng dụng ngân hàng tích hợp mạnh hơn công nghệ nhận diện khuôn mặt hoặc vân tay.

Nhờ sự tiện lợi và tốc độ xác thực nhanh, nhiều nền tảng trực tuyến cũng bắt đầu triển khai các phương thức đăng nhập không mật khẩu như passkey, giúp người dùng truy cập tài khoản chỉ bằng một lần chạm hoặc nhận diện khuôn mặt.

Phương thức mới, rủi ro mới

Việc loại bỏ mật khẩu không đồng nghĩa rủi ro bảo mật biến mất. Theo báo cáo Data Breach Investigations Report của Verizon, hơn 80% các vụ tấn công mạng vẫn liên quan đến đánh cắp thông tin đăng nhập.

Một trong những rủi ro lớn nhất nằm ở dữ liệu sinh trắc học. Khác với mật khẩu có thể thay đổi, dấu vân tay hay khuôn mặt là đặc điểm gắn liền với cơ thể con người. Nếu dữ liệu này bị rò rỉ, người dùng gần như không thể "đặt lại" như khi đổi mật khẩu.

Ngoài ra khi thiết bị cá nhân trở thành chìa khóa đăng nhập, việc mất điện thoại có thể gây hậu quả nghiêm trọng. Nếu thiết bị bị đánh cắp hoặc bị truy cập trái phép, kẻ xấu có thể tìm cách sử dụng nó để truy cập nhiều tài khoản cùng lúc.

Một số vụ lừa đảo gần đây cũng cho thấy tội phạm mạng đang chuyển hướng sang hình thức tấn công mới. Chẳng hạn, hacker có thể dụ người dùng cài phần mềm độc hại để chiếm quyền điều khiển thiết bị hoặc dùng công nghệ deepfake nhằm đánh lừa hệ thống nhận diện khuôn mặt đời cũ.

Theo các chuyên gia của Kaspersky, trong kỷ nguyên không mật khẩu, mục tiêu của hacker không còn là đánh cắp mật khẩu mà là chiếm quyền kiểm soát thiết bị hoặc danh tính số của người dùng.

Làm gì để an toàn hơn?

Trước những rủi ro mới, các chuyên gia khuyến nghị người dùng nên kích hoạt thêm các lớp bảo mật như xác thực hai yếu tố hoặc đăng ký thiết bị dự phòng để tránh mất quyền truy cập nếu thiết bị chính bị thất lạc.

Bên cạnh đó, việc cập nhật hệ điều hành và ứng dụng thường xuyên cũng rất quan trọng để vá các lỗ hổng bảo mật. Người dùng cần cảnh giác với các email, tin nhắn hoặc trang web yêu cầu xác thực tài khoản bất thường.

Ngoài ra sử dụng các thiết bị có phần cứng bảo mật chuyên dụng cũng giúp giảm nguy cơ bị đánh cắp dữ liệu sinh trắc học và khóa xác thực, góp phần bảo vệ tài khoản trong kỷ nguyên đăng nhập không mật khẩu.