Phương pháp xác thực không dùng mật khẩu vẫn cần mật khẩu dự phòng
Với xác thực không dùng mật khẩu, người dùng sẽ được cung cấp phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu, qua hình thức dựa trên email, những mật khẩu dùng một lần trong một khoảng thời gian được gửi qua tin nhắn SMS (OTP), sinh trắc học hoặc các phương pháp xác thực dựa trên mã thông báo của phần cứng (token). Tất cả các công cụ không dùng mật khẩu này đơn giản, dễ sử dụng và hấp dẫn người dùng. Tuy nhiên, khi nghiên cứu thì thấy rằng, với một số loại hình hoặc tình huống thì vẫn cần có sự kết hợp mật khẩu trong quá trình xác thực.
Cách các mật khẩu được sử dụng kết hợp
Với các giải pháp xác thực không cần mật khẩu mới này, các mật khẩu thường được sử dụng trong tình huống dự phòng hoặc mất an toàn khi hệ thống từ chối quyền truy nhập của người dùng hợp lệ. Ví dụ, người dùng sẽ gặp sự cố về việc xác minh danh tính qua xác thực sinh trắc học khi đang đeo khẩu trang, tính năng quét khuôn mặt sẽ không hoạt động, hệ thống sẽ mặc định nhắc người dùng cần nhập mật khẩu.
Điều này cũng được thực hiện tương tự đối với việc đọc dấu vân tay. Do đó, ngay cả khi một tổ chức đã áp dụng hình thức xác thực không mật khẩu cho mọi ứng dụng và dịch vụ thì những tài khoản này vẫn cần sử dụng thêm mật khẩu để xác thực để dự phòng. Điều này có nghĩa là các tổ chức vẫn không thể hoàn toàn loại bỏ mật khẩu để thay thế cho phương pháp xác thực không dùng mật khẩu.
Tuy nhiên, vẫn có một số hệ thống đang cố gắng loại bỏ sự phụ thuộc vào những mật khẩu dự phòng này, bằng việc sử dụng sinh trắc học trong thiết bị cục bộ và mã PIN để mở khóa các khóa mã hóa không đối xứng, sau đó sử dụng để xác thực với máy chủ.
Windows Hello của Microsoft là một ví dụ điển hình. Trong những tình huống thích hợp, về mặt lý thuyết, các giải pháp mới này có thể sử dụng để loại bỏ các mật khẩu khỏi dịch vụ thư mục. Tuy nhiên, trong thực tế, chưa có giải pháp tối ưu nào để truy nhập tài khoản của người dùng từ các thiết bị không phải của Microsoft. Ví dụ như truy nhập trình duyệt email Exchange của công ty từ thiết bị di dộng. Thông thường, các trường hợp này vẫn phải duy trì thêm việc dùng mật khẩu cho người dùng.
Một lĩnh vực khác mà thông tin đăng nhập vẫn yêu cầu là hệ thống xác thực trên phần phụ trợ. Trong các tổ chức lớn, hầu như bắt buộc phải có các hệ thống hoặc ứng dụng yêu cầu mật khẩu để xác thực. Dù với bất cứ lý do gì, quản trị viên CNTT là người hiểu rõ về thông tin đăng nhập cho tất cả các loại hệ thống không hỗ trợ đăng nhập một lần không cần mật khẩu. Một số hệ thống này là kế thừa và không có khả năng cập nhật để hỗ trợ cho việc đăng nhập một lần không cần mật khẩu của công ty. Trong trường hợp này, việc loại bỏ hoặc thay thế chúng có thể không phải là một lựa chọn tốt.
Các tổ chức phải đánh giá cẩn thận những hệ thống không dùng mật khẩu khi họ cố gắng cải thiện bảo mật và hiểu rằng mật khẩu thông thường vẫn là một yếu tố xác thực. Một số thách thức bổ sung cần xem xét với các giải pháp xác thực vô hình này bao gồm:
Hệ lụy về chi phí
Nhiều công nghệ mới này tuy có tính sáng tạo, nhưng đòi hỏi người dùng phải sử dụng điện thoại thông minh hoặc máy tính xách tay. Ví dụ, nếu các tổ chức muốn sử dụng phương pháp xác thực sinh trắc học thì người dùng cần một thiết bị có khả năng cập nhật những tính năng đó. Chi phí để thực hiện việc này trong các tổ chức là tương đối lớn. Tương tự như vậy, các mã token yêu cầu một khoản đầu tư khá lớn, cùng với đó những mã này thường dễ bị mất nên chi phí là mang tính định kỳ. Đây là một thách thức đối với cả nhân viên và những tài khoản của người dùng.
Một số thách thức khi triển khai
Một trong những thách thức là việc tiến hành triển khai một hệ thống không dùng mật khẩu để khắc phục sự không tương thích với các hệ thống cũ. Việc chuyển đổi tất cả các hệ thống này cho các tổ chức với rất nhiều người dùng, nhiều ứng dụng, các cơ sở hạ tầng kết hợp và đăng nhập phức tạp đòi hỏi mất nhiều công sức và tiền bạc. Các tổ chức không nên thực hiện dự án này một cách qua loa. Ngược lại, giải pháp dùng mật khẩu lại tương thích phổ biến và hoạt động trên tất cả các thiết bị, phiên bản và các hệ điều hành.
Gia tăng rủi ro từ các thiết bị bị đánh cắp
Có một số xác thực không dùng mật khẩu đòi hỏi người dùng phải dựa vào thiết bị. Nếu thiết bị bị mất hoặc bị đánh cắp thì kẻ tấn công có thể có quyền truy nhập vào nhiều tài nguyên của công ty thông qua xác thực không dùng mật khẩu bằng cách giả mạo sinh trắc học.
Vấn đề về tin tặc
Tin tặc luôn cố gắng tìm ra lỗ hổng trong các công cụ xác thực mới xuất hiện. Từ việc giả mạo đến việc đánh tráo sim để lừa đảo, tin tặc sẽ cố gắng tìm ra sơ hở sớm nhất thay cho mật khẩu nhằm xâm nhập vào hệ thống thiết bị người dùng.
Khi những giải pháp này trở nên phổ biến, các tin tặc sẽ tiếp tục khai thác mọi lỗ hổng. Điều này chỉ làm tăng thêm khối lượng công việc của các nhóm bảo mật vốn đã quá tải. Đặc biệt, khi cơ sở dữ liệu sinh trắc học bị rò rỉ và bị tấn công, người dùng sẽ không thể thay đổi khuôn mặt hoặc các dấu vân tay giống như mật khẩu.
Các giải pháp chỉ sử dụng OTP
Có một số sản phẩm được giới thiệu là không dùng mật khẩu, chỉ sử dụng email hoặc OTP dựa trên SMS. Nếu như vậy, những kẻ tấn công có thể xâm phạm những tài khoản email và đánh tráo SIM. Dựa vào các cơ chế này khi phương pháp xác thực không dùng mật khẩu áp dụng cho mọi thứ thì các ứng dụng bảo mật cấp thấp hơn có thể sẽ gặp thêm nhiều rắc rối.
Với những thách thức này, chiến lược tốt hơn cho các tổ chức là áp dụng phương pháp xác thực kết hợp trong đó việc xác thực không dùng mật khẩu được giới thiệu một cách cẩn trọng để tạo sự đơn giản cho người dùng và tăng tính bảo mật trong khi vẫn tiếp tục theo đuổi các công nghệ. Thực tế là tăng cường các mật khẩu để làm nền tảng cho những giải pháp không dùng mật khẩu trong tương lai.
Cần nhớ rằng, vấn đề với các mật khẩu là do các tổ chức áp dụng chính sách mật khẩu yếu kém cùng với thái độ của người dùng chứ không phải do vấn đề về mật khẩu. Do đó, cách tiếp cận đa lớp vẫn là phương thức tốt nhất cho các tổ chức muốn có một quy trình mạnh mẽ, an toàn và không phức tạp.
Sự đổi mới của việc không dùng mật khẩu sẽ tiếp tục được đẩy mạnh trong sử dụng. Các tổ chức nên tìm kiếm những tùy chọn khác nhau phù hợp với tổ chức của mình. Tuy nhiên, cần chú ý rằng, mật khẩu vẫn là một phần quan trọng của quá trình xác thực kết hợp trong tương lai gần và vẫn phải đảm bảo sự phù hợp.
Trần Thanh Tùng
(Theo helpnetsecurity)