“Vừng ơi mở ra”

Giới công nghệ vì thế đã tích cực tìm kiếm các hình thức thay thế mật khẩu, nhưng dường như password kiểu truyền thống khó bị đánh bại, dù ngày càng kém an ninh mà lại còn gây phiền toái cho người dùng.

Khi mật khẩu là ác mộng

Ngày nay, khó có ai chỉ phải nhớ một hay hai mật khẩu. Từ thư điện tử, tài khoản mạng xã hội, đến số PIN thẻ ngân hàng hay két sắt ở nhà riêng, tất cả đều cần mật khẩu.

Một nghiên cứu trên 2.000 người của Hãng bảo mật Intel Security năm 2016 chỉ ra một người trung bình có 27 tài khoản cần phải đăng nhập khác nhau, và 37% thừa nhận cứ một tuần thì lại “quên pass” ít nhất một lần.

Điều đáng lo ngại là chúng ta thường chọn một mật khẩu duy nhất cho nhiều tài khoản để dễ nhớ, song đây lại là lựa chọn sai lầm nhất về mặt bảo mật: chỉ cần kẻ xấu “chôm” được mật khẩu của một tài khoản, chẳng hạn email, là có thể tiếp cận các thông tin quan trọng khác (như tài khoản ngân hàng).

Điều này càng đáng lo hơn khi người dùng cũng có xu hướng đặt mật khẩu siêu cơ bản kiểu “123456” hay các thông tin dễ đoán (ngày sinh, số điện thoại).

Theo thời gian, giải pháp bảo mật bằng password cũng đã cải tiến như yêu cầu người dùng đổi mật khẩu thường xuyên hay đặt ra quy định để mật khẩu khó đoán hơn (có chữ hoa, chữ thường, ký tự đặc biệt, gồm cả chữ lẫn số). Song những nội quy này hóa ra lại khiến password dễ đoán hơn.

Lý do là vì không thể nghĩ ra được mật khẩu mới sau mỗi 15 ngày hay một tháng như yêu cầu, người dùng có xu hướng thêm một con số vào mật khẩu trước cho dễ nhớ (ví dụ trước đây là hello thì giờ là hello2).

Tin tặc hoàn toàn có thể đoán được thói quen này và chiếm đoạt mật khẩu dễ dàng. Cũng vậy, nếu đặt mật khẩu đủ “mạnh” theo khuyến cáo kiểu “p@ssWord!23” thay vì password123 thì bản thân người dùng cũng không nhớ nổi, phải ghi vào giấy hay điện thoại, và rõ ràng như vậy cũng là tạo cơ hội cho mật khẩu bị đánh cắp bất kỳ lúc nào.

Câu hỏi đặt ra là cái gì có thể thay thế hình thức bảo mật “cổ xưa” và quá kém an toàn này?

Ngay từ câu chuyện Ali Baba đã lộ rõ nhược điểm lớn nhất của bảo mật bằng mật khẩu truyền thống: hệ thống “chốt chặn” chỉ kiểm mã nhập vào là đúng hay sai, chứ không quan tâm ai là người nhập.

Chính điểm yếu này đã khiến Ali Baba dễ dàng thâm nhập vào hang cướp khi chỉ cần đọc đúng câu “Vừng ơi mở ra” mà không cần phải vượt qua bài kiểm tra xác thực nào khác.

Password đơn giản dễ đoán

Mở khóa bằng nhịp tim

Một trong các giải pháp khả dĩ cho vấn đề trên là xây dựng hệ thống bảo mật không kiểm tra mật khẩu đúng hay sai, mà xác thực xem người muốn đăng nhập có đúng là người đó không.

Hình thức này thường thấy trong các phim điệp viên: nhân vật vượt kiểm tra bảo mật bằng cách quét mống mắt - tức phần màu đen xung quanh con ngươi của người dùng, hay nhận diện gương mặt.

Công nghệ nhận diện bằng sinh trắc học (biometric), tức dựa vào các đặc điểm của chính người dùng để xác nhận chứ không phải là chuỗi mật mã thông thường, đã biến điều viễn tưởng này thành sự thật và ngày càng được ứng dụng rộng rãi.

Ngoài mở khóa bằng vân tay đã quá quen thuộc, nhận diện gương mặt đang là “ngôi sao mới” của công nghệ sinh trắc học.

Từ năm ngoái, MasterCard đã thử nghiệm dịch vụ xác nhận thanh toán qua thẻ tín dụng bằng nhận diện gương mặt. Thay vì phải nhập mã bảo mật để xác nhận, chủ thẻ chỉ việc bật camera lên và nhìn vào đó để hệ thống nhận diện.

Các smartphone đời mới như Samsung Galaxy S8 cũng đã trang bị tính năng này, cho phép camera trước của điện thoại quét gương mặt người dùng, nếu đúng là “chủ nhân” thì sẽ mở khóa màn hình. Giới công nghệ đang đồn rằng iPhone 8 sắp ra mắt cũng sẽ có tính năng trên.

Có thể nhận ra mấu chốt của một mật khẩu an toàn hơn là phải dựa vào các đặc điểm cơ thể độc nhất của mỗi người, không ai giống ai.

Ngoài vân tay hay gương mặt, nhiều đặc điểm không tưởng khác đang được các nhà nghiên cứu dòm ngó. Chẳng hạn, Bionym, công ty sản xuất thiết bị theo dõi nhịp tim đeo tay Nymi Band, có ý tưởng dùng chính nhịp tim của người dùng để làm mật khẩu.

“Bạn cần phải chạm vào Nymi Band vài giây để nó đo nhịp tim và xác nhận rằng chính bạn là chủ nhân của nó, sau đó mới cho phép bạn kết nối với các hệ thống và dịch vụ khác” - Andrew D’Souza, chủ tịch Bionym, giải thích với trang WIRED.

Kỳ lạ hơn, năm 2015 Samsung cũng đăng ký bằng sáng chế công nghệ kiểm tra cấu trúc tĩnh mạch nhìn qua mu bàn tay của người dùng để xác thực.

Khi cần xác nhận yêu cầu thanh toán hay đăng nhập tài khoản nào đó, người dùng chỉ việc dùng camera trên đồng hồ thông minh quét và kiểm tra mu bàn tay còn lại để xác minh có “chính chủ” hay không.

Trước đó, mẫu điện thoại “chết yểu” Samsung Galaxy Note 7 cũng trang bị tính năng mở khóa bằng quét mống mắt, trong khi một nhóm các nhà khoa học thuộc Đại học Baptist (Hong Kong) lại tạo ra phần mềm kiểm tra chuyển động môi của người dùng khi phát âm một từ nào đó để xác thực. Nhà mạng Anh TalkTalk lại cho phép người dùng đăng nhập vào tài khoản thông qua giọng nói.

không chú thích

Mỗi chúng ta sẽ là password

Nhưng gương mặt vẫn có thể bị làm giả. Một số thí nghiệm đã chứng minh có thể dùng ảnh chụp và “phù phép” một chút để đánh lừa camera của Galaxy S8. Google hiểu được nhược điểm này nên muốn làm hơn thế: trong tương lai, cách ta đi đứng sẽ là password.

Tháng 5-2016, Google giới thiệu hệ thống Trust API, sử dụng nhiều thông tin khác nhau như gương mặt, cách gõ chữ, dáng đi và vị trí người dùng để tính “điểm tin cậy” nhằm xác minh “ta có phải là ta” hay không.

Google cho biết Trust API sẽ chạy dưới dạng nền trên thiết bị cài Android để luôn luôn cập nhật thông tin chính xác về người dùng.

Bằng cách đó, dù người khác có tiếp cận được điện thoại của ta cũng không mở khóa được vì các thông số không đáp ứng để đạt đủ điểm tin cậy.

“Ai cũng có điện thoại, và điện thoại nào thì cũng có nhiều cảm biến. Vậy tại sao không để chúng xác nhận giùm ta là chính ta, để ta không cần phải nhớ mật khẩu?” - Dan Kaufman, giám đốc sản phẩm công nghệ cao của Google, giải thích.

Cách làm của Trust API được gọi là active authentication (xác thực chủ động, thay cho mật khẩu cố định). Trong bài viết “Liệu xác thực chủ động có thay thế được mật khẩu truyền thống” ngày 8-7, Đài CBS News cho biết một số nhà nghiên cứu cũng đang chọn lối tiếp cận như Google.

Chẳng hạn, giáo sư Vishal Patel thuộc Đại học Rutgers (Mỹ) muốn smartphone ghi nhận cả thói quen cuộn màn hình của người dùng hay khoảng thời gian giữa hai lần gõ phím, cách dùng từ, thói quen chấm câu để đảm bảo người đang thao tác là hàng xịn chứ không phải mạo danh.

Vì sao password cũ vẫn “thống trị”?

Dù những phương án thay thế password nói trên đều có vẻ rất an toàn, thực tế là hình thức truyền thống vẫn đang giữ vị trí chủ đạo.

Ngày 9-7, Paul Wagenseil, biên tập viên cấp cao của trang blog công nghệ Tom’s Guide, “đăng đàn” với bài viết “Password chưa chết - chỉ là quý vị đang xài sai cách mà thôi”, biện luận rằng những nhận định kiểu “mật khẩu đã lỗi thời” hay “công nghệ mới sẽ thay thế mật khẩu” đều là trật lất!

Wagenseil lý giải rằng với password là dãy chữ số “máy móc sẽ không bao giờ đọc sai”, trong khi các hình thức như nhận diện khuôn mặt hay vân tay “luôn phải chấp nhập tỉ lệ sai sót nhất định”.

Chưa kể nếu chọn chính gương mặt hay giọng nói của ta làm mật khẩu, công nghệ nhận diện sẽ giải quyết thế nào khi theo thời gian, những “mật khẩu” này sẽ khác đi?

Một lý do khác: trong khi hình thức mật khẩu truyền thống cũ có thể được ứng dụng gần như dễ dàng trên mọi loại thiết bị hay máy móc, thì những công nghệ thời thượng như quét vân tay hay mống mắt chỉ có ở thiết bị “xịn” và đắt tiền.

Chỉ đến khi công nghệ này rẻ đi thì mới có thể hi vọng tăng tính phổ biến của nó.

Và làm sao để chia sẻ password nếu mật khẩu là dấu vân tay? Chuyện gì sẽ xảy ra nếu đầu lĩnh của 40 tên cướp, người có gương mặt hay vân tay dùng làm mật khẩu, đi vắng hoặc chết đi? Chuyện đổi mật khẩu cũng là một thử thách lớn.

“Nếu bạn đoán được mật khẩu (thông thường) của tôi, tôi chỉ việc đổi chúng - Joseph Atick, một trong những người tiên phong sáng tạo ra công nghệ nhận diện gương mặt, nói với CBS News - Nhưng tôi đâu thể thay đổi gương mặt hay vân tay của mình?”.

Atick cho rằng công nghệ xác thực mới chưa phổ biến vì chưa có quy định về bảo mật thông tin sinh trắc học của người dùng. “Cần có cơ chế bảo đảm rằng mọi thông tin đó chỉ nằm trên các thiết bị chứ không được dùng vào mục đích khác” - ông giải thích.

Kết thúc bài viết “bênh vực” cho mật khẩu truyền thống của mình, Wagenseil cho rằng người dùng nên áp dụng hình thức bảo mật hai lớp (nhập thêm mã bảo mật gửi đến điện thoại sau khi gõ password) hay dùng các phần mềm quản lý password (tự đặt, nhớ và điền mật khẩu cho mọi trang web theo ý người dùng, người dùng chỉ cần nhớ một mật khẩu duy nhất để đăng nhập vào phần mềm). ■