Passkey có thể bị hack không?
Vincent
Created: June 17, 2025
Updated: July 12, 2025
See the original faq version in English here.
Passkey có thể bị hack không?#
Passkey, về mặt thiết kế, an toàn hơn đáng kể so với mật khẩu truyền thống và khó bị hack hơn nhiều do bản chất mật mã của chúng. Tuy nhiên, giống như bất kỳ công nghệ nào, chúng không hoàn toàn miễn nhiễm với một số lỗ hổng nhất định.
- Passkey an toàn hơn mật khẩu nhờ vào nền tảng mật mã của chúng.
- Passkey loại bỏ các rủi ro liên quan đến các cuộc tấn công lừa đảo (phishing), man-in-the-middle, brute-force, replay, và nhồi thông tin xác thực (credential stuffing).
Hiểu về Bảo mật Passkey#
Passkey được xây dựng dựa trên tiêu chuẩn WebAuthn và sử dụng mật mã khóa công khai để xác thực người dùng mà không cần dựa vào mật khẩu truyền thống. Điều này làm cho chúng vốn đã an toàn hơn trước các mối đe dọa phổ biến như tấn công lừa đảo (phishing), nhồi thông tin xác thực (credential stuffing), và tấn công brute force. Đây là lý do tại sao passkey được coi là an toàn:
-
Hạ tầng khóa công khai: Passkey sử dụng một cặp khóa công khai-riêng tư, trong đó khóa riêng tư không bao giờ rời khỏi thiết bị của người dùng, khiến cho kẻ tấn công gần như không thể chặn được.
-
Loại bỏ mật khẩu: Vì passkey không dựa vào các bí mật được chia sẻ (như mật khẩu), chúng loại bỏ rủi ro tái sử dụng thông tin xác thực, một lỗ hổng phổ biến trong các hệ thống dựa trên mật khẩu.
-
Bảo vệ chống lừa đảo (Phishing): Các cuộc tấn công lừa đảo (phishing) không hiệu quả đối với passkey vì một passkey luôn được liên kết với nguồn gốc (ID bên phụ thuộc) mà nó được tạo ra.
-
Không có tấn công nhồi thông tin xác thực (Credential Stuffing): Passkey là duy nhất cho mỗi dịch vụ và chỉ có khóa công khai được lưu trữ phía máy chủ. Điều đó có nghĩa là, trong trường hợp một bên phụ thuộc bị xâm phạm, nó không ảnh hưởng đến các bên phụ thuộc khác.
-
Không có tấn công Brute-Force: Passkey dựa trên mật mã bất đối xứng và không thể bị đoán mò, khiến chúng miễn nhiễm với các cuộc tấn công brute-force.
-
Không có tấn công Man-in-the-Middle: Các cuộc tấn công man-in-the-middle không khả thi với passkey vì khóa riêng tư được sử dụng để xác thực không bao giờ rời khỏi thiết bị của người dùng, đảm bảo rằng không có thông tin nhạy cảm nào được truyền đi mà có thể bị chặn hoặc thay đổi.
-
KHÔNG có tấn công Replay: Các cuộc tấn công replay không thể thực hiện được với passkey vì mỗi phiên xác thực tạo ra một thử thách mật mã duy nhất, dùng một lần, không thể được kẻ tấn công tái sử dụng hoặc sao chép
Tuy nhiên, mặc dù passkey cung cấp bảo mật vượt trội, chúng không hoàn toàn miễn nhiễm với việc bị hack:
-
Tấn công chuỗi cung ứng: Một thiết bị bị xâm phạm ở cấp độ nhà sản xuất có thể bị can thiệp để làm rò rỉ các khóa mật mã.
-
Kỹ thuật xã hội (Social Engineering): Mặc dù lừa đảo (phishing) kém hiệu quả hơn, kẻ tấn công vẫn có thể sử dụng các kỹ thuật xã hội để lừa người dùng tạo passkey cho các trang web độc hại
-
Đánh cắp phiên (Session Theft): Passkey giúp phần xác thực trở nên an toàn và đơn giản cho người dùng. Tuy nhiên, tùy thuộc vào cách triển khai của bên phụ thuộc, phiên đăng nhập vẫn có thể bị đánh cắp và sử dụng cho các mục đích xấu.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
