Vào ngày 5 tháng 5 – Ngày Mật khẩu Thế giới – chúng ta có thể tiến thêm một bước nữa để mật khẩu trở thành dĩ vãng.
Trong một nỗ lực chung, những gã khổng lồ công nghệ táoGoogle và Microsoft công bố sáng thứ năm Họ đã cam kết xây dựng hỗ trợ đăng nhập không cần mật khẩu trên tất cả các nền tảng di động, máy tính để bàn và trình duyệt mà họ kiểm soát trong năm tới. Hiệu quả, điều đó có nghĩa là nó Xác thực không cần mật khẩu Nó sẽ tiếp cận tất cả các nền tảng phần cứng lớn trong một tương lai không xa: Nền tảng di động Android và iOS; Trình duyệt Chrome, Edge và Safari; Môi trường máy tính để bàn Windows và macOS.
Kurt Knight, Giám đốc cấp cao về tiếp thị sản phẩm nền tảng của Apple cho biết: “Giống như việc chúng tôi thiết kế các sản phẩm của mình trở nên trực quan và có khả năng, chúng tôi cũng thiết kế chúng trở nên riêng tư và an toàn”. “Làm việc với ngành để tạo ra các phương thức đăng nhập mới, an toàn hơn nhằm cung cấp khả năng bảo vệ tốt hơn và loại bỏ các lỗ hổng mật khẩu là trọng tâm trong cam kết của chúng tôi trong việc xây dựng các sản phẩm cung cấp bảo mật tối đa và trải nghiệm người dùng minh bạch – tất cả đều với mục tiêu giữ“ thông tin cá nhân của người dùng an toàn.”
Quá trình đăng nhập không cần mật khẩu sẽ cho phép người dùng chọn điện thoại của họ làm thiết bị xác thực chính cho các ứng dụng, trang web và các dịch vụ kỹ thuật số khác, Google giải thích trong Bài viết trên blog Đã đăng Thứ Năm. Mở khóa điện thoại với bất kỳ thứ gì được đặt làm mặc định – nhập mã PIN, vẽ hình hoặc sử dụng mở khóa bằng vân tay – sẽ đủ để đăng nhập vào các dịch vụ web mà không cần phải nhập mật khẩu, điều này có thể thực hiện được thông qua việc sử dụng mã thông báo duy nhất. được gọi là mật khẩu được chia sẻ giữa điện thoại và trang web.
Bằng cách thực hiện đăng nhập có điều kiện trên một thiết bị vật lý, ý tưởng là người dùng sẽ đồng thời được hưởng lợi từ sự đơn giản và bảo mật. Nếu không có mật khẩu, sẽ không có nghĩa vụ phải nhớ chi tiết đăng nhập của bạn qua Dịch vụ hoặc gây nguy hiểm cho bảo mật của bạn bằng cách sử dụng lại cùng một mật khẩu ở nhiều nơi. Tương tự như vậy, một hệ thống không có mật khẩu sẽ gây khó khăn hơn cho tin tặc trong việc xâm nhập từ xa các chi tiết đăng nhập vì đăng nhập yêu cầu quyền truy cập vào một thiết bị vật lý; Về lý thuyết, các cuộc tấn công lừa đảo trong đó người dùng được chuyển hướng đến một trang web giả mạo để lấy mật khẩu sẽ khó hơn nhiều.
Vasu Jakal, Phó Chủ tịch Bảo mật và Tuân thủ, Danh tính và Quyền riêng tư của Microsoft, nhấn mạnh mức độ tương thích giữa các nền tảng. “Bằng cách sử dụng mã khóa trên thiết bị di động của mình, bạn có thể đăng nhập vào một ứng dụng hoặc dịch vụ trên hầu hết mọi thiết bị, bất kể thiết bị đang chạy nền tảng hoặc trình duyệt nào,” Jackal cho biết trong một tuyên bố gửi qua email. Ví dụ: người dùng có thể đăng nhập vào trình duyệt Google Chrome chạy trên Microsoft Windows — bằng mã khóa trên thiết bị Apple.
Chức năng đa nền tảng được thực hiện bởi một tệp Một tiêu chuẩn được gọi là FIDO, sử dụng các nguyên tắc mật mã khóa công khai để cho phép xác thực không cần mật khẩu và xác thực đa yếu tố trong nhiều ngữ cảnh. Điện thoại của người dùng có thể lưu trữ một mã khóa tuân thủ FIDO duy nhất và sẽ chỉ chia sẻ nó với một trang web xác thực khi điện thoại được mở khóa. Theo bài đăng của Google, mật khẩu cũng có thể được đồng bộ hóa dễ dàng với một thiết bị mới từ bản sao lưu đám mây trong trường hợp điện thoại bị mất.
Mặc dù nhiều ứng dụng đã phổ biến Hỗ trợ xác thực FIDO bao gồmđăng nhập ban đầu yêu cầu mật khẩu trước khi FIDO được định cấu hình – có nghĩa là người dùng vẫn dễ bị tấn công lừa đảo khi thấy mật khẩu bị chặn hoặc bị đánh cắp trên đường đi.
Nhưng các biện pháp mới sẽ loại bỏ yêu cầu mật khẩu ban đầu, Sampath Srinivas, giám đốc quản lý sản phẩm của Google về xác thực an toàn và chủ tịch của Liên minh FIDO, cho biết trong một tuyên bố qua email gửi tới mép.
Srinivas cho biết: “Hỗ trợ FIDO mở rộng này được công bố hôm nay sẽ cho phép các trang web triển khai bản dùng thử toàn diện không có mật khẩu với bảo mật chống lừa đảo”. “Điều này bao gồm cả tần suất đăng nhập và đăng nhập trang web đầu tiên. Khi hỗ trợ mật khẩu có sẵn trong toàn ngành vào năm 2022 và 2023, cuối cùng chúng tôi sẽ có một nền tảng trực tuyến cho một tương lai thực sự không có mật khẩu.”
Cho đến nay, Apple, Google và Microsoft cho biết họ hy vọng khả năng đăng nhập mới sẽ có sẵn trên các nền tảng vào năm tới, mặc dù chưa có lộ trình cụ thể nào được công bố. Mặc du Mưu đồ để giết mật khẩu Nhiều năm trước, và có những dấu hiệu cho thấy rằng, khoảng thời gian này, cuối cùng anh ta có thể đã làm việc.