Trang chủ Kiến thức cơ bản

Passwordless authentication – Các phương pháp xác thực không cần mật khẩu nâng cao bảo mật doanh nghiệp

Tìm hiểu về xác thực không dùng mật khẩu

Xác thực không dùng mật khẩu là một phương pháp xác minh mà không yêu cầu người dùng phải nhập thủ công một chuỗi ký tự cụ thể nào. Các phương thức xác thực không mật khẩu bao gồm sinh trắc học, mã token bảo mật hay thông qua một ứng dụng, dịch vụ hoặc thiết bị khác đã xác thực người dùng.

Xác thực không sử dụng mật khẩu thường được sử dụng trên các thiết bị di động như điện thoại thông minh, máy tính bảng hoặc máy tính xách tay và các ứng dụng như Slack hoặc WhatsApp. Những lợi ích của việc sử dụng xác thực không mật khẩu bao gồm:

- Cải thiện trải nghiệm người dùng (UX).

- Thời gian đăng nhập nhanh hơn vào các ứng dụng hoặc thiết bị.

- Ít bảo trì mật khẩu cần thiết cho nhân viên CNTT.

- Giảm khả năng tấn công lừa đảo, sử dụng lại mật khẩu hoặc rò rỉ mật khẩu.

Các loại xác thực không dùng mật khẩu

Với xác thực không sử dụng mật khẩu, người dùng được cung cấp một hoặc nhiều phương thức đăng nhập vào ứng dụng hoặc thiết bị mà không cần nhập mật khẩu. Các loại xác thực không mật khẩu phổ biến bao gồm xác thực dưới dạng email, dưới dạng SMS, xác thực đa yếu tố, sinh trắc học.

Xác thực qua SMS 

Xác thực qua SMS  thường được thực hiện khi người dùng nhập số điện thoại của họ, sau đó mã một lần được sẽ được gửi đến số điện thoại. Người dùng sẽ nhập mã vào dịch vụ, trong đó dịch vụ sẽ xác minh mã và số điện thoại và thông qua đăng nhập. Tuy nhiên, xác thực mật khẩu SMS có thể kém an toàn hơn các phương thức xác thực không mật khẩu khác vì xác thực SMS đã ghi lại nhiều cuộc tấn công trong quá khứ. Xác thực không dùng mật khẩu SMS và email cũng có thể đăng nhập vào dịch vụ thông qua 1 thiết bị thứ hai bằng xác nhận đẩy, trong đó, xác thực sử dụng thiết bị được kết nối đầu tiên làm kênh liên lạc.

Passwordless authentication – Các phương pháp xác thực không cần mật khẩu nâng cao bảo mật doanh nghiệp - Ảnh 1.

Sinh trắc học

Sinh trắc học là một hình thức xác thực không mật khẩu phổ biến khác. Sinh trắc học tập trung vào các công nghệ như máy quét vân tay hoặc quét khuôn mặt. Hình thức xác thực này khá phổ biến trên các thiết bị di động như điện thoại thông minh. Các thiết bị Android thường sử dụng máy quét vân tay (thường nằm ở nút nguồn, mặt sau của thiết bị hoặc thậm chí dưới màn hình phía trước), trong khi các thiết bị của Apple (trước đây thường sử dụng định dạng xác thực này) hiện sử dụng xác thực khuôn mặt.

Sinh trắc học mang lại trải nghiệm người dùng tối ưu hơn, cho phép người dùng xác thực nhanh hơn và thuận tiện hơn nhiều. Tuy nhiên, nhiều hệ thống sinh trắc học ngày nay có vấn đề với độ chính xác nhận dạng và chi phí khá đắt. Sinh trắc học cũng có thể bị giả mạo bởi ảnh có độ phân giải cực cao..

Xác thực đa yếu tố

Xác thực đa yếu tố sử dụng bất kỳ (thường là) ba yếu tố xác thực để đăng nhập người dùng như câu hỏi bảo mật, mã PIN và thông tin liên hệ. Những yếu tố được sử dụng để xác thực sẽ phụ thuộc vào thiết bị/dịch vụ đăng nhập.

Mã token

Các token phần mềm và phần cứng đảm bảo mức độ bảo mật cao vì chúng tương ứng với một yếu tố phụ sẵn có nhất định trong quá trình xác thực. Token không kết nối với Internet mà thay vào đó tạo mật khẩu một lần dựa trên "seed record" đồng bộ hóa với máy chủ trung tâm. Rất nhiều các token kiểu mới, thậm chí còn không yêu cầu người dùng phải nhập thủ công bất kỳ mật khẩu nào khi sử dụng công nghệ NFC (near-field communication).

Passwordless authentication – Các phương pháp xác thực không cần mật khẩu nâng cao bảo mật doanh nghiệp - Ảnh 2.

Bên cạnh những lợi ích rõ ràng, phương pháp này cũng có hạn chế riêng. Trước hết, chi phí triển khai khá đắt, vì mỗi nhân viên cần có một token của riêng họ. Hơn nữa, luôn luôn mang theo token là yêu cầu bắt buộc để nhân viên có thể xác thực trong hệ thống doanh nghiệp.

Các ứng dụng hỗ trợ push notifications

Khi người dùng truy vấn máy chủ, họ ngay lập tức nhận được một tin nhắn có chứa câu hỏi xác minh danh tính hoặc đơn giản là thông tin để đăng nhập thành công. Lợi ích chính của phương pháp này là thân thiện với người dùng vì không cần sử dụng mật khẩu một lần hoặc lúc nào cũng phải mang theo thiết bị máy móc. Phương pháp này chỉ yêu cầu người dùng phản hồi push notifications được gửi trực tiếp đến thiết bị di động của họ.

Mobile tokens

Phương thức này giống với token phần cứng do quá trình triển khai tương đồng. Tuy nhiên, thay vì sử dụng một thiết bị bổ sung, phương pháp này sử dụng điện thoại thông minh để tạo mật khẩu một lần. Quy trình tính toán này bao gồm các tham số như đồng hồ trên điện thoại thông minh và thuật toán được tích hợp trong một ứng dụng nhất định chạy trên thiết bị.

Kỹ thuật này cũng có nhược điểm của nó. Việc mật khẩu một lần cư trú trên một thiết bị được kết nối với Internet khiến chúng có khả năng dễ bị đánh cắp bởi các cybercrooks.

Trong một tương lai rất gần, mật khẩu sẽ sớm chìm vào quên lãng. Những gã khổng lồ công nghệ vẫn đang không ngừng tạo ra các phương thức xác thực thay thế mới và người dùng đang tìm kiếm một lựa chọn đáng tin cậy hơn. Cân nhắc những ưu và nhược điểm của tất cả các kỹ thuật thay thế, công ty và người dùng có thể đưa ra quyết định sáng suốt về một phương pháp phù hợp nhất. Có lẽ một cơ chế xác thực hoàn hảo sẽ được phát minh trong tương lai, nhưng trong khi đó, sự lựa chọn của chúng ta vẫn bị giới hạn trong các phương pháp được nêu trên đây.

Theo BizFly tổng họp

>> Có thể bạn quan tâm: Single sign-on (SSO) - Đăng nhập một lần và những điều bạn chưa biết

BizFly Cloud là hệ sinh thái điện toán đám mây được vận hành bởi VCCorp - Công ty dẫn đầu trong lĩnh vực truyền thông và internet tại Việt Nam. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm lâu năm làm việc trên các công nghệ khác nhau như cloud, mobile, web..., chúng tôi có đủ khả năng để hỗ trợ đưa ra những lời khuyên hữu ích và công nghệ toàn diện giúp doanh nghiệp chuyển đổi số thành công. Dành cho độc giả quan tâm tới các dịch vụ đám mây do BizFly Cloud cung cấp có thể truy cập tại đây.