Làm thế nào để chuyển đổi hoàn toàn sang không mật khẩu

Triển khai passkey đại diện cho một bước nhảy vọt to lớn trong bảo mật xác thực, nhưng đó chưa phải là toàn bộ hành trình. Nếu bạn đã triển khai passkey, có lẽ bạn đang ăn mừng các chỉ số bảo mật được cải thiện, nhưng làm thế nào để chúng ta thực sự chuyển đổi từ việc có passkey sang đạt được xác thực hoàn toàn không mật khẩu?

Passkey mang lại những lợi thế bảo mật quan trọng thông qua thiết kế kháng phishing sử dụng mật mã khóa công khai gắn với các tên miền cụ thể, khiến kẻ tấn công không thể lừa người dùng xác thực trên các trang web giả mạo. Chúng loại bỏ việc tái sử dụng thông tin đăng nhập vì mỗi passkey là duy nhất cho một dịch vụ cụ thể, nghĩa là việc xâm phạm một dịch vụ không ảnh hưởng đến các dịch vụ khác. Hơn nữa, chúng cung cấp khả năng miễn nhiễm với các cuộc tấn công brute-force bằng cách thay thế các bí mật cần ghi nhớ bằng các khóa mật mã không thể đoán hoặc bẻ khóa.

Tuy nhiên, những lợi thế mạnh mẽ này sẽ tan biến ngay khi người dùng có thể bỏ qua xác thực bằng passkey và đăng nhập bằng mật khẩu. Điều này đặt ra một câu hỏi quan trọng: Tại sao chỉ passkey là chưa đủ để bảo mật hoàn toàn? Câu trả lời nằm ở việc hiểu rằng chừng nào cánh cửa mật khẩu vẫn còn mở, kẻ tấn công sẽ cố gắng đi qua nó. Một câu hỏi còn quan trọng hơn là, điều gì khiến việc khôi phục tài khoản trở thành lỗ hổng tiềm ẩn có thể làm suy yếu toàn bộ việc triển khai passkey của bạn? Các vụ vi phạm đình đám gần đây đã cho thấy kẻ tấn công ngày càng nhắm vào các quy trình khôi phục thay vì xác thực chính.

Bài viết này sẽ hướng dẫn bạn qua toàn bộ hành trình từ việc triển khai passkey đến đạt được bảo mật không mật khẩu thực sự, giải quyết từng câu hỏi quan trọng này bằng các giải pháp thực tế và ví dụ từ thế giới thực.

Xác thực không mật khẩu thực sự có nghĩa là loại bỏ hoàn toàn mật khẩu khỏi kiến trúc bảo mật của bạn. Trong một hệ thống không mật khẩu, người dùng không thể đặt, đặt lại hoặc sử dụng mật khẩu ở bất kỳ điểm nào trong hành trình xác thực của họ. Thay vào đó, việc xác thực hoàn toàn dựa vào các phương pháp mật mã như passkey.

Nhiều tổ chức tuyên bố là "không mật khẩu" trong khi vẫn duy trì mật khẩu ngầm như một phương án dự phòng. Đây không phải là không mật khẩu thực sự, mà chỉ là tùy chọn sử dụng mật khẩu. Sự khác biệt này rất quan trọng vì chừng nào mật khẩu còn tồn tại ở bất kỳ đâu trong hệ thống của bạn, bao gồm cả quy trình khôi phục, chúng vẫn là một lỗ hổng có thể bị khai thác mà kẻ tấn công sẽ nhắm đến.

Bảo mật không mật khẩu thực sự đòi hỏi cả việc loại bỏ mật khẩu khỏi xác thực chính VÀ đảm bảo các quy trình khôi phục cũng có khả năng kháng phishing.

Duy trì mật khẩu làm phương án dự phòng sẽ bảo tồn mọi véc-tơ tấn công mà passkey được thiết kế để loại bỏ. Kẻ tấn công chỉ cần chuyển hướng các chiến dịch phishing của chúng để nhắm vào việc nhập mật khẩu, trong khi các cuộc tấn công nhồi thông tin đăng nhập và tấn công phun mật khẩu tiếp tục sử dụng thông tin đăng nhập bị đánh cắp từ các vụ vi phạm khác. Kỹ thuật xã hội vẫn hiệu quả vì người dùng vẫn có thể bị lừa tiết lộ mật khẩu cho các nhân viên hỗ trợ giả mạo.

Chừng nào mật khẩu còn tồn tại, chúng vẫn là mắt xích yếu nhất, một điểm vào duy nhất có thể hoàn toàn phá vỡ lớp bảo mật kháng phishing của passkey.

Chỉ nhìn vào trải nghiệm đăng nhập cũng không đủ. Một véc-tơ tấn công quan trọng nhưng thường bị bỏ qua là quy trình khôi phục tài khoản. Ngay cả những tổ chức đã triển khai passkey vẫn có thể dễ bị tấn công nếu quy trình khôi phục của họ dựa vào các phương pháp dễ bị lừa đảo như OTP qua SMS hoặc liên kết magic qua email.

Hãy xem xét vụ vi phạm đình đám của MGM Resorts vào năm 2023, nơi kẻ tấn công không nhắm vào hệ thống xác thực chính mà khai thác quy trình khôi phục tài khoản thông qua kỹ thuật xã hội, bỏ qua tất cả các biện pháp bảo mật chính. Tương tự, vụ vi phạm hệ thống hỗ trợ của Okta đã chứng minh cách các quy trình khôi phục có thể trở thành mắt xích yếu nhất, cho phép kẻ tấn công đặt lại thông tin đăng nhập và giành quyền truy cập trái phép vào môi trường của khách hàng.

Những sự cố này nhấn mạnh một sự thật quan trọng: triển khai passkey mà không bảo mật quy trình khôi phục cũng giống như lắp một cánh cửa thép nhưng lại để cửa sổ mở toang.

Đạt được xác thực không mật khẩu thực sự không phải là một bước duy nhất mà là một hành trình chiến lược đòi hỏi lập kế hoạch cẩn thận, triển khai dần dần và tối ưu hóa liên tục:

Giai đoạn đầu tiên tập trung vào việc giới thiệu passkey như một phương thức xác thực bổ sung trong khi vẫn duy trì các tùy chọn hiện có làm phương án dự phòng. Giai đoạn xây dựng nền tảng này cho phép người dùng có thời gian để hiểu và tin tưởng vào công nghệ mới trong khi vẫn giữ các phương pháp quen thuộc để giảm bớt sự phiền hà.

Các bước triển khai chính:

• Tích hợp xác thực bằng passkey vào quy trình xác thực hiện có của bạn
• Cho phép tạo passkey cho người dùng mới và hiện tại
• Duy trì mật khẩu và các phương thức xác thực khác làm phương án thay thế
• Theo dõi tỷ lệ tạo passkey và các mẫu sử dụng

Các chỉ số thành công:

• Tỷ lệ người dùng đã tạo ít nhất một passkey trên 50%
• Tỷ lệ tạo passkey thành công trên 95%
• Mức sử dụng passkey ban đầu để xác thực đạt 20-30%

Khi passkey đã sẵn sàng, trọng tâm chuyển sang thúc đẩy việc áp dụng và biến passkey thành phương thức xác thực ưa thích. Giai đoạn này biến passkey từ một lựa chọn thay thế thành lựa chọn xác thực chính thông qua sự tương tác chiến lược với người dùng và tối ưu hóa.

Các bước triển khai chính:

• Đặt xác thực bằng passkey làm tùy chọn mặc định trong quy trình đăng nhập
• Triển khai các lời nhắc thông minh khuyến khích tạo passkey sau khi đăng nhập bằng mật khẩu thành công
• Giáo dục người dùng về các lợi ích bảo mật và tiện lợi thông qua tin nhắn trong ứng dụng
• Cung cấp các ưu đãi để áp dụng passkey (thanh toán nhanh hơn, các tính năng độc quyền)
• Thử nghiệm A/B các phương pháp nhắn tin và giao diện người dùng khác nhau để tối đa hóa chuyển đổi
• Triển khai các chính sách truy cập có điều kiện yêu cầu passkey cho các hoạt động nhạy cảm

Các chỉ số thành công:

• Hơn 60% người dùng hoạt động có ít nhất một passkey
• Hơn 80% lượt đăng nhập sử dụng passkey đối với các tài khoản đã kích hoạt passkey
• Tỷ lệ tạo passkey thất bại dưới 2%

Đây là nơi diễn ra sự chuyển đổi bảo mật thực sự: loại bỏ hoàn toàn mật khẩu đối với những người dùng thường xuyên sử dụng passkey. Giai đoạn này loại bỏ véc-tơ tấn công chính bằng cách vô hiệu hóa mật khẩu cho những người dùng đã chứng minh việc áp dụng passkey thành công.

Các bước triển khai chính:

• Phân tích các mẫu xác thực của người dùng bằng hệ thống giám sát thông minh
• Xác định những người dùng chỉ sử dụng passkey với nhiều thiết bị hỗ trợ passkey
• Đề nghị vô hiệu hóa mật khẩu với thông điệp rõ ràng về lợi ích bảo mật
• Xác minh tính sẵn có của passkey dự phòng (được đồng bộ hóa trên đám mây hoặc nhiều thiết bị)

Các chỉ số thành công:

• Hơn 30% người dùng đủ điều kiện tự nguyện loại bỏ mật khẩu
• Không có sự gia tăng nào về tỷ lệ khóa tài khoản
• Điểm hài lòng của người dùng được duy trì hoặc cải thiện

Giai đoạn cuối cùng giải quyết lỗ hổng cuối cùng: biến việc khôi phục tài khoản thành một quy trình kháng phishing. Giai đoạn này đảm bảo rằng các quy trình khôi phục có mức độ bảo mật tương đương với xác thực chính, ngăn chặn các cuộc tấn công qua cửa hậu.

Các bước triển khai chính:

• Triển khai xác thực đa yếu tố với ít nhất một yếu tố kháng phishing
• Các yếu tố kháng phishing có sẵn:
  • Passkey dự phòng: Passkey khôi phục được lưu trữ trên các thiết bị phụ hoặc dịch vụ đám mây cung cấp bằng chứng nhận dạng mật mã (tùy chọn phổ biến nhất)
  • API Thông tin xác thực kỹ thuật số (Digital Credentials API): Tiêu chuẩn W3C cho các xác nhận danh tính được xác minh bằng mật mã từ các nhà cung cấp đáng tin cậy (công nghệ mới nổi, chưa phổ biến rộng rãi)
  • Khóa bảo mật phần cứng: Các token FIDO2 vật lý được đăng ký làm yếu tố khôi phục không thể bị lừa đảo hoặc sao chép (yêu cầu người dùng mua và bảo quản thiết bị vật lý)
  • Xác minh giấy tờ tùy thân với tính năng phát hiện sự sống (Liveness Detection): Quét giấy tờ tùy thân do chính phủ cấp kết hợp với các hành động sinh trắc học thời gian thực để chứng minh sự hiện diện thực tế

Lưu ý về các tùy chọn khôi phục: Mặc dù API Thông tin xác thực kỹ thuật số và Khóa bảo mật phần cứng cung cấp bảo mật mạnh mẽ, chúng vẫn chưa được áp dụng rộng rãi, cái trước vẫn là công nghệ mới nổi và cái sau yêu cầu người dùng mua thiết bị vật lý.

Khi không có passkey dự phòng, xác minh giấy tờ tùy thân với tính năng phát hiện sự sống trở thành một phương án thay thế khả thi. Mặc dù có những cách giải quyết tiềm năng để vượt qua kiểm tra sự sống mà không cần sở hữu thực tế giấy tờ tùy thân, các phương pháp này vẫn cung cấp bảo mật mạnh hơn đáng kể so với OTP truyền thống, vốn có thể dễ dàng bị chặn thông qua lừa đảo, hoán đổi SIM hoặc các cuộc tấn công xen giữa (man-in-the-middle).

Các chỉ số thành công:

• 100% quy trình khôi phục bao gồm các yếu tố kháng phishing
• Không có vụ chiếm đoạt tài khoản thành công nào thông qua các quy trình khôi phục
• Tỷ lệ hoàn thành khôi phục được duy trì trên 90%

Phong trào không mật khẩu đang có đà phát triển trong ngành công nghệ, với các công ty hàng đầu đang dần từ bỏ mật khẩu.

Một số công ty đã đạt được việc loại bỏ hoàn toàn mật khẩu cho các hoạt động nội bộ của họ. Okta, Yubico và Cloudflare đã đạt đến mức sử dụng mật khẩu bằng không trong nội bộ một cách hiệu quả và quy trình đăng nhập của họ sẽ không chấp nhận mật khẩu.

Các gã khổng lồ công nghệ Google, Apple, Microsoft và X đang tích cực loại bỏ dần mật khẩu nhưng chưa loại bỏ chúng hoàn toàn. Cách tiếp cận của họ cân bằng giữa việc cải thiện bảo mật và sự lựa chọn của người dùng trong giai đoạn chuyển đổi.

Google đã có một lập trường quyết liệt bằng cách bật tùy chọn "Bỏ qua mật khẩu khi có thể" làm mặc định cho tất cả các tài khoản, biến passkey thành phương thức xác thực ưa thích trong khi vẫn cho phép người dùng từ chối nếu cần. Cách tiếp cận cho phép từ chối này tạo ra động lực mạnh mẽ hướng tới không mật khẩu trong khi vẫn duy trì sự linh hoạt cho những người dùng chưa sẵn sàng chuyển đổi.

Microsoft đi xa hơn một bước bằng cách cho phép người dùng loại bỏ hoàn toàn mật khẩu khỏi tài khoản của họ ngay hôm nay, với kế hoạch "cuối cùng sẽ loại bỏ hoàn toàn hỗ trợ mật khẩu" trong tương lai. Lộ trình rõ ràng này báo hiệu cho người dùng rằng mật khẩu sắp bị loại bỏ, khuyến khích việc áp dụng sớm các phương pháp không mật khẩu.

Apple đã tích hợp passkey trong toàn bộ hệ sinh thái của mình và tích cực thúc đẩy việc sử dụng chúng, mặc dù mật khẩu Apple ID vẫn có sẵn làm phương án dự phòng. Cách tiếp cận của họ tận dụng sự đồng bộ hóa liền mạch trên các thiết bị Apple để làm cho việc áp dụng passkey trở nên dễ dàng nhất có thể.

Các công ty này không ép buộc thay đổi ngay lập tức nhưng đang gửi đi một thông điệp rõ ràng: mật khẩu sẽ biến mất khi việc áp dụng đạt đến số lượng người dùng đủ lớn. Các chiến lược của họ bao gồm việc đặt passkey làm mặc định, giáo dục người dùng về lợi ích và giảm dần chức năng của mật khẩu.

Quyết định loại bỏ mật khẩu không nên được vội vàng hoặc áp dụng cho tất cả mọi người. Thay vào đó, hãy áp dụng một cách tiếp cận theo từng bước, dựa trên dữ liệu xem xét hành vi của người dùng, khả năng của thiết bị và hồ sơ rủi ro.

Các lĩnh vực có rủi ro cao đang phải đối mặt với các cuộc tấn công lừa đảo nghiêm trọng ngày nay nên bắt đầu quá trình chuyển đổi không mật khẩu ngay lập tức, nhưng vẫn tuân theo một kế hoạch triển khai chiến lược, dần dần:

• Ngân hàng & Tổ chức tài chính: Mục tiêu hàng đầu của hành vi trộm cắp thông tin đăng nhập. Đối với các ngân hàng châu Âu, passkey cũng phù hợp với các yêu cầu PSD2 Strong Customer Authentication (SCA), cung cấp xác thực đa yếu tố (MFA) kháng phishing đáp ứng tuân thủ quy định đồng thời nâng cao trải nghiệm người dùng
• Nhà cung cấp thanh toán & Fintech: Quyền truy cập trực tiếp vào tiền của khách hàng khiến họ trở nên hấp dẫn đối với tội phạm mạng có tổ chức
• Sàn giao dịch tiền điện tử: Giao dịch không thể đảo ngược có nghĩa là thông tin đăng nhập bị đánh cắp dẫn đến tổn thất vĩnh viễn
• Chăm sóc sức khỏe & Bảo hiểm: Đối mặt với cả yêu cầu tuân thủ và rủi ro an toàn cho bệnh nhân từ hành vi trộm cắp danh tính y tế
• Chính phủ & Cơ sở hạ tầng quan trọng: Bị nhắm mục tiêu bởi các tác nhân nhà nước quốc gia với các chiến dịch lừa đảo có chủ đích (spear-phishing) tinh vi

Đối với các tổ chức này, hành động ngay lập tức là rất quan trọng, nhưng thành công vẫn đòi hỏi một cách tiếp cận triển khai có phương pháp, dần dần. Hãy bắt đầu ngay hôm nay, nhưng triển khai một cách chiến lược để đảm bảo tỷ lệ áp dụng cao và tránh việc người dùng bị khóa tài khoản.

Bắt đầu với một nhóm nhỏ hơn: Bắt đầu quá trình chuyển đổi không mật khẩu của bạn với những người dùng thể hiện việc sử dụng passkey nhất quán. Những người tiên phong này sẽ giúp bạn xác định các vấn đề tiềm ẩn trước khi triển khai rộng rãi hơn.

Phân tích các mẫu hành vi của người dùng:

• Tần suất đăng nhập và các phương thức được sử dụng
• Loại thiết bị và khả năng tương thích với passkey
• Các lần thử xác thực không thành công
• Việc sử dụng quy trình khôi phục
• Các mẫu xác thực trên nhiều thiết bị

Người dùng đủ điều kiện để vô hiệu hóa mật khẩu dựa trên các mẫu này:

• Thường xuyên xác thực qua passkey - cho thấy họ đã quen với công nghệ này
• Sử dụng passkey trên nhiều thiết bị - cho thấy họ có các phương thức truy cập dự phòng
• Chưa sử dụng mật khẩu hoặc quy trình khôi phục trong 30-60 ngày qua - chứng tỏ họ không phụ thuộc vào xác thực dựa trên mật khẩu

Corbado cung cấp một nền tảng toàn diện để hướng dẫn các tổ chức qua cả bốn giai đoạn của hành trình không mật khẩu được mô tả ở trên. Từ việc triển khai passkey ban đầu đến việc loại bỏ hoàn toàn mật khẩu, giải pháp của Corbado xử lý sự phức tạp về kỹ thuật đồng thời cung cấp các công cụ cần thiết để người dùng áp dụng thành công.

Hỗ trợ Giai đoạn 1 & 2: Corbado cung cấp tích hợp passkey liền mạch với các hệ thống xác thực hiện có, các lời nhắc thông minh giúp tối đa hóa tỷ lệ áp dụng và các phân tích chi tiết để theo dõi việc tạo và sử dụng passkey. Tính năng Passkey Intelligence của nền tảng tự động tối ưu hóa trải nghiệm người dùng dựa trên khả năng của thiết bị và hành vi người dùng, đảm bảo quá trình tiếp nhận suôn sẻ.

Triển khai Giai đoạn 3 & 4: Đối với các tổ chức sẵn sàng loại bỏ hoàn toàn mật khẩu, Corbado cho phép vô hiệu hóa mật khẩu dần dần dựa trên sự sẵn sàng của người dùng trong khi vẫn duy trì các quy trình khôi phục an toàn, kháng phishing.

Bằng cách xử lý khả năng tương thích đa nền tảng, các cơ chế dự phòng và tối ưu hóa trải nghiệm người dùng, Corbado đẩy nhanh quá trình chuyển đổi không mật khẩu từ vài năm xuống còn vài tháng, cho phép các tổ chức tập trung vào hoạt động kinh doanh cốt lõi của mình trong khi đạt được xác thực kháng phishing.

Hành trình đến với xác thực không mật khẩu thực sự trả lời hai câu hỏi quan trọng mà chúng ta đã đặt ra ở đầu:

Tại sao chỉ passkey là chưa đủ để bảo mật hoàn toàn? Bởi vì bảo mật chỉ mạnh bằng mắt xích yếu nhất của nó. Chừng nào mật khẩu còn tồn tại, ngay cả khi là phương án dự phòng, kẻ tấn công sẽ chỉ đơn giản chuyển hướng để nhắm vào chúng thông qua lừa đảo, nhồi thông tin đăng nhập hoặc các cuộc tấn công hạ cấp. Mọi mật khẩu trong hệ thống của bạn đều làm suy yếu lợi ích kháng phishing của passkey.

Điều gì khiến việc khôi phục tài khoản trở thành lỗ hổng tiềm ẩn? Quy trình khôi phục thường là cửa hậu bị lãng quên. Như các vụ vi phạm của MGM Resorts và Okta đã chứng minh, kẻ tấn công ngày càng bỏ qua các triển khai passkey mạnh mẽ bằng cách khai thác các phương thức khôi phục yếu hơn như OTP qua SMS hoặc liên kết magic qua email. Điều đó giống như lắp một cánh cửa thép nhưng lại để cửa sổ mở toang.

Bảo mật không mật khẩu thực sự đòi hỏi phải hoàn thành toàn bộ hành trình: triển khai passkey, thúc đẩy việc áp dụng, loại bỏ hoàn toàn mật khẩu và bảo mật các quy trình khôi phục bằng các phương pháp kháng phishing. Chỉ bằng cách đóng tất cả các cánh cửa mật khẩu, bao gồm cả những cánh cửa ẩn trong quy trình khôi phục, các tổ chức mới có thể đạt được xác thực thực sự an toàn.