Google gần đây đã công bố một tính năng mới có tên là Passkeys (Khóa truy cập) dành cho tài khoản Google cá nhân, tính năng này sẽ giúp việc đăng nhập vào tài khoản dễ dàng và an toàn hơn so với mật khẩu. Trớ trêu thay, tính năng mới nhằm thay thế mật khẩu đã được phát hành vào Ngày World Password.
Tại sao chúng ta cần phải thay thế mật khẩu?
Chắc chắn, mật khẩu là một cách tuyệt vời để bảo mật tài khoản khi chúng được giới thiệu lần đầu, nhưng chúng không còn đủ an toàn nữa. Chúng không thuận tiện khi sử dụng và dễ bị tấn công lừa đảo và rò rỉ dữ liệu. Và họ đặt rất nhiều trách nhiệm lên vai người dùng, thành thật mà nói, hầu hết mọi người đều thất bại.
Ngay cả khi bạn không phải là một trong số những người này và tạo mật khẩu mạnh là một trong những siêu năng lực, bạn sẽ ngạc nhiên khi biết có bao nhiêu người dùng thường không thể tạo mật khẩu mạnh. Những mật khẩu như 123456 hay mật khẩu vẫn là những mật khẩu phổ biến nhất trên toàn thế giới.
Và sau đó, có những người cuối cùng tạo ra một mật khẩu mạnh nhưng sau đó nghĩ rằng công việc của họ đã hoàn thành và sử dụng lại mật khẩu trên nhiều trang web. Ngay cả khi bạn thuộc tuýp người hiếm hoi sử dụng mật khẩu mạnh và không bao giờ sử dụng lại chúng, thì họ vẫn dễ bị tấn công lừa đảo, rò rỉ dữ liệu và các cuộc tấn công “hoán đổi SIM” khét tiếng thậm chí khiến xác thực 2SV (2FA/ MFA) trở nên vô dụng.
Google Passkey là một giải pháp thay thế tốt hơn vì chúng vượt qua những vấn đề mà mật khẩu gặp phải.
Google Passkey là gì?
Passkey là một loại xác thực không cần mật khẩu mới sử dụng dữ liệu sinh trắc học, chẳng hạn như dấu vân tay, quét khuôn mặt hoặc khóa màn hình thiết bị, chẳng hạn như mã PIN, để xác minh danh tính. Điều này có nghĩa là bạn không cần phải nhớ bất kỳ mật khẩu nào và bạn ít có khả năng trở thành nạn nhân của các cuộc tấn công lừa đảo vì bạn không thể vô tình cung cấp mật khẩu của mình cho một thực thể có hại.
Chúng cũng an toàn và tiện lợi hơn mật khẩu. Vì chúng được lưu trữ trên thiết bị nên chúng không dễ bị rò rỉ dữ liệu. Chúng cũng dễ sử dụng hơn mật khẩu vì bạn có thể đăng nhập bằng một lần nhấn hoặc quét thay vì phải nhập mật khẩu dài mỗi lần.
Passkey cũng là duy nhất cho trang web hoặc ứng dụng mà bạn đang đăng nhập nên không có nguy cơ sử dụng lại chúng.
Đối với những người dùng kỹ thuật muốn xem lén, đây là một lời giải thích nhỏ:
Mật khẩu dựa trên tiêu chuẩn WebAuthentication (hoặc “WebAuthn”), sử dụng mật mã khóa công khai. Mật mã khóa công khai sử dụng hai khóa – khóa chung, được lưu trữ trên máy chủ và hiển thị cho mọi người, và khóa riêng, là khóa bí mật mà không ai biết để mã hóa dữ liệu. Khóa riêng tư được lưu trữ trên thiết bị và trong hầu hết các trường hợp, không bao giờ rời khỏi nó. Trong mọi trường hợp, nó không bao giờ được chia sẻ với máy chủ.
Google Passkey hoạt động như thế nào?
Khi bạn tạo Passkey cho tài khoản Google của mình, một khóa riêng tư sẽ được tạo và được lưu trữ trên thiết bị. Khóa công khai tương ứng cũng được tạo và tải lên máy chủ của Google.
Khi bạn muốn đăng nhập vào tài khoản Google của mình, thiết bị phải ký một thử thách duy nhất bằng khóa riêng tư sau khi được bạn chấp thuận. Sau đó, Google sẽ xác minh chữ ký bằng cách sử dụng khóa chung được lưu trữ trên máy chủ của họ và nếu chúng khớp nhau, bạn sẽ được đăng nhập. Cả thông tin được chia sẻ với Google, tức là chữ ký và khóa chung, sẽ không chứa bất kỳ thông tin cá nhân nào về sinh trắc học.
Thiết bị bạn đang sử dụng cho Passkey cũng sẽ đảm bảo rằng chữ ký chỉ được chia sẻ với các trang web và ứng dụng của Google chứ không phải với các trang web lừa đảo có hại. Vì vậy, bạn không cần phải thận trọng khi sử dụng Passkey như với các hình thức xác thực khác.
Google đã phát triển Passkey với những người chơi khác trong FIDO; điều này làm cho Passkey tương thích với nhiều thiết bị và hệ điều hành.
Google Passkeys cũng vậy, hỗ trợ nhiều thiết bị, hệ điều hành và trình duyệt khác nhau. Nếu bạn đã đăng ký Chương trình Bảo vệ Nâng cao, Passkey cũng có thể được sử dụng thay cho khóa bảo mật. Bao gồm các:
- Laptop Windows hoặc máy tính để bàn chạy Windows 10 trở lên
- Thiết bị Mac chạy ít nhất macOS Ventura
- iPhone chạy ít nhất iOS 16
- Thiết bị Android chạy Android 9 trở lên
- Khóa bảo mật phần cứng (USB) hỗ trợ giao thức FIDO2
Bạn cũng sẽ cần một trong hai trình duyệt này trên thiết bị của mình để sử dụng Passkey:
- Trình duyệt Chrome 109 trở lên
- Trình duyệt Safari 16 trở lên
- Trình duyệt Edge 109 trở lên
Thiết bị cũng phải được bật các tính năng sau để có thể sử dụng Passkey:
- Khóa màn hình
- Bluetooth (nếu bạn muốn sử dụng mã xác nhận trên điện thoại để đăng nhập vào tài khoản Google của mình trên một máy tính khác).
Passkeyhiện chỉ khả dụng cho tài khoản Google cá nhân chứ không phải tài khoản trường học hoặc cơ quan.
Passkey cũng có thể có sẵn trên các thiết bị khác. Ví dụ: nếu bạn tạo mã xác nhận Passkey trên iPhone của mình, mã này sẽ được đồng bộ hóa với Chuỗi khóa iCloud và do đó, mã này sẽ khả dụng trên máy Mac bằng cùng một ID Apple. Tương tự, nếu bạn đang sử dụng Phần mềm quản lý mật khẩu, chẳng hạn như Phần mềm quản lý mật khẩu của Google, để đồng bộ hóa mã xác nhận Passkey của mình, mã này cũng có thể khả dụng trên các thiết bị khác. Phần mềm quản lý mật khẩu sử dụng mã hóa đầu cuối trên mã khóa trước khi đồng bộ hóa chúng để bạn có thể yên tâm rằng chúng vẫn an toàn.
Cách tạo Passkeys (Khóa truy cập) cho tài khoản Google
Bạn có thể sử dụng bất kỳ thiết bị được hỗ trợ nào để tạo Passkey. Vì lợi ích của hướng dẫn này, chúng tôi sẽ giới thiệu quy trình sử dụng iPhone trên trình duyệt Safari nhưng quy trình này cũng sẽ giống như vậy trên các thiết bị khác.Điều duy nhất bạn nên nhớ là bạn phải sở hữu thiết bị. Passkey có sẵn trên thiết bị ngay cả sau khi bạn đăng xuất khỏi Tài khoản Google của mình. Vì vậy, nếu người khác có quyền truy cập vào thiết bị, nghĩa là họ có thể mở khóa thiết bị, thì họ có thể đăng nhập vào tài khoản Google bằng Passkey bạn đã tạo.
Để tạo Passkey, hãy truy cập g.co/passkeys . Bạn sẽ phải xác minh rằng chính bạn là người đang cố tạo mã xác nhận Passkey bằng cách đăng nhập vào tài khoản của mình.
Tiếp theo, nhấn vào tùy chọn ‘Tạo khóa truy cập’.
Một cửa sổ bật lên sẽ xuất hiện; chạm vào ‘Tiếp tục’.
Một cửa sổ bật lên xác nhận khác sẽ xuất hiện từ chuỗi khóa iCloud (nếu bạn đang sử dụng thiết bị Apple) hỏi xem bạn có muốn lưu mã xác nhận cho tài khoản Google của mình hay không. Nhấn ‘Tiếp tục’ một lần nữa. Sau đó, xác minh danh tính bằng dấu vân tay, FaceID hoặc khóa màn hình.
Và thế là xong. Passkey sẽ được tạo. Nhấn ‘Xong’ để đóng cửa sổ bật lên.
Sử dụng Passkey để đăng nhập
Giờ đây, vào lần tới khi bạn muốn đăng nhập vào Google hoặc bất kỳ dịch vụ nào được liên kết, bạn có thể đăng nhập bằng Passkey của mình.
Ví dụ: giả sử bạn đang đăng nhập vào google.com . Nhấn ‘Đăng nhập’ và nhập chi tiết tài khoản.
Sau đó, trên màn hình “Sử dụng Khóa truy cập”, hãy nhấn vào “Tiếp tục”.
Cửa sổ bật lên bảo mật từ móc khóa iCloud sẽ xuất hiện; nhấn ‘Tiếp tục’ một lần nữa. Sau đó, xác nhận danh tính bằng sinh trắc học hoặc mật mã thiết bị.
Sử dụng Passkey để đăng nhập trên máy tính khác
Nếu bạn muốn đăng nhập vào tài khoản Google của mình trên một máy tính khác, bạn có thể thực hiện bằng cách sử dụng Mã khóa mà bạn vừa tạo trên điện thoại di động của mình. Điện thoại phải ở gần máy tính vì một tin nhắn Bluetooth ẩn danh nhỏ được sử dụng để kiểm tra xem các thiết bị có ở gần nhau không.
Một lần nữa hãy lấy ví dụ về google.com . Nhấp vào nút ‘Đăng nhập’ và nhập chi tiết tài khoản. Sau đó, nhấp vào ‘Tiếp tục’ trên màn hình ‘Sử dụng mã xác nhận..’.
Tiếp theo, chọn thiết bị có mã khóa. Ở đây, chúng tôi đã chọn ‘Sử dụng điện thoại hoặc máy tính bảng’.
Một mã QR sẽ xuất hiện trên màn hình. Mở máy ảnh điện thoại và quét nó. Nhấn vào tùy chọn ‘Đăng nhập bằng mã xác nhận’. Sau đó, xác nhận danh tính bằng sinh trắc học.
Nếu đây là thiết bị bạn sở hữu, bạn có thể tạo mã xác nhận mới trên thiết bị đó để quá trình đăng nhập diễn ra nhanh hơn. Truy cập g.co/passkeys trên trình duyệt máy tính và lặp lại các bước tương tự như đã nêu ở trên. Tài khoản cũng sẽ hiển thị các Passkey mà bạn đã có trên các thiết bị khác.
Passkey là hướng bảo mật mới mà chúng tôi đang hướng tới. Tạo Passkey cho tài khoản Google và tự bảo vệ mình khỏi tất cả các loại mối đe dọa gây hại cho mật khẩu.