Mật khẩu rất quan trọng đối với bảo mật internet của bạn. Nhưng với rất nhiều dịch vụ, cả trực tuyến và ngoại tuyến, việc theo dõi mật khẩu của bạn rất khó khăn. Các hệ thống đăng nhập không mật khẩu đang bắt đầu triển khai, loại bỏ yêu cầu nhập mật khẩu mỗi khi bạn đăng nhập vào một dịch vụ.
Nhưng nếu bạn không sử dụng mật khẩu, làm thế nào để bạn bảo mật tài khoản của mình
Mật khẩu là gì?
Đăng nhập không mật khẩu là hệ thống xác thực sử dụng các lựa chọn thay thế cho mật khẩu cho phép truy cập vào tài khoản của bạn. Chẳng hạn, thay vì mật khẩu, bạn nhận được thông báo email hoạt động như một mã thông báo đăng nhập. Ngoài ra, bạn có thể nhận được một cửa sổ bật lên trên điện thoại thông minh cho phép bạn kiểm soát quyền truy cập vào tài khoản.
Trong đó, đăng nhập không mật khẩu thường sử dụng một hình thức xác thực có sẵn để đảm bảo danh tính của bạn.
Bạn có thể đã gặp phải thông tin đăng nhập không mật khẩu bằng tài khoản Gmail của mình. Thay vì phải nhập mật khẩu mỗi lần bạn đăng nhập, Google có thể gửi lời nhắc trực tiếp đến điện thoại của bạn. Lời nhắc hiển thị thời gian và địa điểm của lần thử đăng nhập, với tùy chọn phê duyệt hoặc từ chối đăng nhập.
Làm thế nào để một mật khẩu đăng nhập hoạt động?
Khi bạn đăng nhập vào một trang web, bạn phải cung cấp mật khẩu để mở khóa tài khoản của mình. Mật khẩu chỉ được biết đến với bạn và trang web, giữ an toàn cho tài khoản của bạn. Bạn tin tưởng trang web sẽ giữ mật khẩu của bạn an toàn, lưu trữ an toàn và bản thân trang web không bị tổn thương.
Ngoài ra, bạn chắc chắn đã sử dụng mật khẩu mạnh, duy nhất cho mỗi trang web và dịch vụ, vì đó là cách thực hành an toàn nhất.
Tuy nhiên, đó là cái sau đã trở nên khó khăn. Tạo một mật khẩu sử dụng một lần mạnh mẽ cho mỗi trang web đã thấy người dùng tạo mật khẩu dễ nhớ nhưng khủng khiếp. Và ngay cả khi bạn tạo một mật khẩu an toàn, việc lướt qua số lượng vi phạm dữ liệu mỗi tháng có thể làm suy yếu nỗ lực của bạn.
Với xác thực không mật khẩu, bạn không cần phải tin tưởng trang web bằng mật khẩu. Thay vì nhập mật khẩu mỗi lần, đăng nhập không mật khẩu sử dụng một vài phương thức xác thực khác nhau.
Xác thực mật khẩu dựa trên email
Hệ thống đăng nhập không mật khẩu phổ biến nhất hiện nay là qua email. Nhiều người dùng sẽ thấy đăng nhập không cần mật khẩu dựa trên email, hệ thống quen thuộc nhất, hoạt động tương tự như đặt lại mật khẩu.
Khi bạn cố gắng đăng nhập, bạn cung cấp một địa chỉ email. Dịch vụ gửi email bảo mật đến địa chỉ được liên kết với tài khoản và email chứa liên kết ma thuật sử dụng một lần an toàn để vào tài khoản dịch vụ của bạn. Liên kết ma thuật bao gồm mã thông báo đăng nhập duy nhất mà dịch vụ xác minh, hoán đổi nó để lấy mã thông báo xác thực trong thời gian dài.
Có các biến thể khác trên hệ thống email. Chẳng hạn, trong trường hợp tài khoản hiện có, dịch vụ có thể gửi cho người dùng mã khóa DKIM sử dụng một lần gắn với chi tiết tài khoản của họ. Người dùng nhận được mã DKIM và nhập nó vào trang web. Trang web xác minh mã dựa trên các chi tiết người dùng hiện có và hoàn tất quy trình đăng nhập.
Đăng nhập mật khẩu dựa trên SMS
Trong trường hợp này, người dùng nhập số điện thoại hợp lệ. Dịch vụ gửi mã sử dụng một lần đến số điện thoại. Người dùng sau đó có thể đăng nhập vào dịch vụ. Ngoài ra, một số dịch vụ cung cấp cho người dùng robo gọi điện thoại robo cho người dùng, trong đó dịch vụ chuyển văn bản thành giọng nói sẽ đọc mã trực tiếp.
Bảo mật SMS đang được xem xét kỹ lưỡng, tuy nhiên. Đại đa số chúng ta không có gì phải lo lắng. Nhưng một số cá nhân có giá trị cao (đặc biệt là những người có khối lượng tiền điện tử lớn) đã bị tấn công bằng tin nhắn SMS.
Đăng nhập mật khẩu dựa trên sinh trắc học
Một số phương thức đăng nhập không mật khẩu sử dụng dịch vụ quét sinh trắc học để xác thực danh tính của bạn. Dịch vụ xác thực sinh trắc học được giới thiệu trên nhiều thiết bị hơn bao giờ hết. (Bạn có nên chuyển sang dịch vụ sinh trắc học cho điện thoại thông minh của mình không?)
Ý tưởng là khi bạn muốn truy cập một trang web, một lời nhắc sẽ xuất hiện trên điện thoại thông minh của bạn. Bạn mở khóa điện thoại thông minh bằng hệ thống sinh trắc học ưa thích và mở khóa đóng vai trò xác minh danh tính của bạn.
Tuy nhiên, ngoài Face ID của Apple (đối với các thiết bị bao gồm và được sản xuất sau iPhone X, iPad Pro thế hệ thứ ba và iPod Touch thế hệ thứ bảy), quét sinh trắc học trên thiết bị di động không hoàn toàn an toàn.
Tại thời điểm hiện tại, một hệ thống đăng nhập không có mật khẩu sinh trắc học có lẽ không phải là lựa chọn tốt nhất. Tuy nhiên, trong tương lai, nó có thể trở thành lựa chọn tốt nhất.
Khóa vật lý không đăng nhập
Khóa bảo mật vật lý cung cấp một tùy chọn xác thực đăng nhập không mật khẩu. Khóa bảo mật vật lý là khóa bảo mật USB đặc biệt. Khi bạn muốn truy cập tài khoản của mình, bạn cắm khóa bảo mật vào máy tính của mình. Dịch vụ trực tuyến xác thực tài khoản của bạn thông qua khóa bảo mật, loại bỏ sự cần thiết của mật khẩu.
Các ví dụ chính về khóa bảo mật vật lý bao gồm loạt Titan của Google và loạt Yubikey của Yubico.
Đăng nhập không mật khẩu giống như xác thực hai yếu tố?
Có và không.
Có, đăng nhập không mật khẩu tương tự như xác thực hai yếu tố (2FA) ở chỗ bạn truy cập vào tài khoản của mình bằng phương thức xác thực thay thế. 2FA hoạt động bằng cách bảo mật tài khoản của bạn bằng hai yếu tố riêng biệt, thường là mật khẩu và thiết bị riêng biệt.
Không, nó không giống nhau bởi vì mặc dù bạn đang sử dụng một thiết bị riêng để xác thực tài khoản của mình, nhưng đó vẫn chỉ là một yếu tố duy nhất.
Đăng nhập không cần mật khẩu có an toàn hơn không?
Bất cứ điều gì ngăn người dùng tạo mật khẩu khủng là tốt, phải không? Đăng nhập không mật khẩu loại bỏ một điểm thất bại khác từ người dùng cuối. Tại thời điểm hiện tại, đăng nhập không mật khẩu không phổ biến. Một số dịch vụ chính đang sử dụng chúng, chẳng hạn như Gmail (như đã đề cập ở trên) và Slack Magic Links.
Điểm tích cực nhất đối với chủ sở hữu trang web và người kiểm duyệt là thiếu đột ngột việc phải xử lý mật khẩu người dùng. Mật khẩu không được mã hóa được lưu trữ trong một tệp tin văn bản rõ ràng là những cơn ác mộng; nó là thứ của những giấc mơ cho một hacker. Người dùng hiếm khi truy cập vào một dịch vụ cũng sẽ không phải thông qua cài đặt lại mật khẩu của bạn.
Đăng nhập không mật khẩu cũng có thể giúp người dùng đăng nhập vào dịch vụ một cách nhanh chóng. Ngược lại, nếu bạn thường xuyên đăng xuất khỏi dịch vụ, việc phải ủy quyền lại qua email hoặc SMS có thể trở nên khó chịu, tùy thuộc vào độ dài thời gian.
Ngay bây giờ, hãy sử dụng Trình quản lý mật khẩu
Đăng nhập không mật khẩu sẽ mất thời gian để trở thành chủ đạo, mặc dù. Hầu hết các trình duyệt chính (tất cả trừ Safari) đều hỗ trợ đăng nhập không mật khẩu bằng cách này hay cách khác. Vào tháng 2 năm 2019, Google cũng đã thông báo rằng các thiết bị chạy Android 7 (đó là Android Nougat) trở lên cũng sẽ nhận được hỗ trợ không cần mật khẩu.
Điều đó có nghĩa là hỗ trợ không mật khẩu cho gần 50 phần trăm của tất cả các thiết bị Android. Và các tiêu chuẩn đăng nhập không mật khẩu như FIDO2 và WebAuthn sẽ tiếp tục nhận được các bản cập nhật, tiếp tục bảo mật phương thức xác thực.