Proton , nhà sản xuất hệ thống email nổi tiếng với khả năng bảo mật mạnh mẽ, đã bổ sung tính năng hỗ trợ mật mã cho trình quản lý mật khẩu của mình đồng thời tấn công “Big Tech” vì đã nhốt mật mã của người dùng đằng sau “những khu vườn có tường bao quanh”.
“Mặc dù mật mã được Liên minh FIDO và World Wide Web Consortium phát triển để thay thế mật khẩu và nhằm cung cấp 'đăng nhập nhanh hơn, dễ dàng hơn và an toàn hơn vào các trang web và ứng dụng trên thiết bị của người dùng', nhưng việc triển khai chúng vẫn chưa thành công. đã sống theo những lý tưởng cao cả này,” Sơn Nguyễn, người sáng lập SimpleLogin và nhà phát triển Proton Pass, viết trên blog hôm thứ Hai.
Ông tiếp tục: “Thay vào đó, những tổ chức đầu tiên cung cấp mật mã, Apple và Google, ưu tiên sử dụng công nghệ này để nhốt mọi người vào khu vườn có tường bao quanh của họ thay vì cung cấp giải pháp an toàn cho mọi người”. “Phương pháp tiếp cận khép kín này làm giảm giá trị của mật khẩu đối với mọi người và khiến chúng ít có khả năng được áp dụng rộng rãi hơn, điều này rất quan trọng nếu chúng muốn thay thế mật khẩu.”
Roger Grimes, một nhà truyền giáo quốc phòng tại KnowBe4 , một nhà cung cấp dịch vụ đào tạo nâng cao nhận thức về an ninh ở Clearwater, Fla., đồng ý với Nguyễn. Ông nói với TechNewsWorld: “Tiêu chuẩn mật khẩu FIDO ban đầu và hiện tại cũng như cách các nhà cung cấp lớn, chẳng hạn như Microsoft, Google và Apple triển khai nó, tạo ra những khu vườn có tường bao quanh”.
Ông nói: “FIDO đã biết vấn đề này và hiện đang nghiên cứu một phiên bản cập nhật của mật mã để loại bỏ hạn chế này.
Ông nói thêm: “Proton không phải là công ty đầu tiên giải quyết vấn đề khóa nền tảng bằng mật khẩu. “Ví dụ: trình quản lý mật khẩu 1Password cho phép bạn sử dụng mật mã trên nhiều nền tảng.”
Hãy Làm Theo Các Bước Nhé
Không khóa nhà cung cấp
Tuy nhiên, Liên minh FIDO không đồng tình với khẳng định của Proton. Giám đốc điều hành kiêm Giám đốc điều hành Andrew Shikiar cho biết: “Mã khóa không bao giờ được tạo ra chỉ để trở thành lĩnh vực của Big Tech”.
Ông nói với TechNewsWorld: “Chúng tôi luôn dự tính về một hệ sinh thái mở xung quanh vấn đề này, đó là lý do tại sao bạn thấy các công ty như 1Password, Dashlane và các nhà quản lý thông tin xác thực khác tham gia vào Liên minh FIDO”.
“Không có sự ràng buộc của nhà cung cấp,” ông nói. “Trên thực tế, tất cả các công ty này đang tích cực làm việc trong Liên minh FIDO để xem xét một giao thức mới cho phép khả năng di chuyển thông tin xác thực. Tất cả họ đều đang nỗ lực cho phép bạn di chuyển mật mã từ đám mây này sang đám mây khác.”
James E. Lee, giám đốc điều hành của Trung tâm tài nguyên chống trộm danh tính , một tổ chức phi lợi nhuận ở San Diego chuyên giảm thiểu rủi ro và giảm thiểu tác động, cho biết thêm: “Mã khóa được thiết kế để triển khai với tất cả các loại nền tảng, ứng dụng và hệ điều hành”. về sự xâm phạm danh tính và tội phạm.
“Đó chính xác là những gì chúng ta đang thấy bây giờ,” anh nói với TechNewsWorld. “Làm khác đi thậm chí sẽ làm trì hoãn hơn nữa việc áp dụng quy trình an toàn hơn theo cấp số nhân.”
Trải nghiệm người dùng rắc rối
Nguyên khẳng định rằng sau khi thấy Big Tech triển khai mật khẩu, một số nhà quản lý mật khẩu cũng vội vàng phát hành mật mã , dẫn đến trải nghiệm người dùng khó khăn.
Ông viết: “Một số trình quản lý mật khẩu chỉ hỗ trợ mật mã thông qua tiện ích mở rộng web của họ, gây khó khăn cho bất kỳ ai cố gắng đăng nhập vào cùng một ứng dụng bằng mật mã trên điện thoại di động của họ”. “Hầu hết các trình quản lý mật khẩu hỗ trợ mật mã chỉ cung cấp gói trả phí, có nghĩa là Trình quản lý mật khẩu của Google và Chuỗi khóa Apple là những nhà cung cấp mật mã miễn phí khả thi duy nhất cho đến khi Proton Pass thêm chúng.”
Anna Pobletts, người đứng đầu bộ phận không mật khẩu tại 1Password, cho biết thêm: “Big Tech là một trong những công ty đầu tiên bắt đầu xây dựng các giải pháp cho một thế giới không mật khẩu, nhưng cách tiếp cận khu vườn có tường bao quanh sẽ hạn chế khả năng áp dụng mật khẩu của người tiêu dùng”.
Cô nói với TechNewsWorld: “Tại 1Password, chúng tôi đã thực hiện một cách tiếp cận có khả năng tương tác để người dùng có thể điều hướng quá trình chuyển đổi từ mật khẩu sang không mật khẩu và đảm bảo họ có lựa chọn về cách quản lý danh tính trực tuyến của mình trên các nền tảng và thiết bị - cả ở nơi làm việc.” và ở nhà."
Giải pháp chống lừa đảo
Darren Guccione, Giám đốc điều hành của Keeper Security , một công ty quản lý mật khẩu và lưu trữ trực tuyến ở Chicago, lưu ý rằng các hệ thống dựa trên mật khẩu truyền thống đang gặp khó khăn bởi các lỗ hổng cố hữu, bao gồm khả năng dễ bị tấn công vũ phu , lừa đảo và điểm yếu của yếu tố con người.
Ông nói với TechNewsWorld: “Các phương pháp xác thực không cần mật khẩu tận dụng sinh trắc học, xác thực đa yếu tố và công nghệ tiên tiến mang lại khả năng bảo vệ mạnh mẽ trước những mối đe dọa này”.
Ông giải thích, trái ngược với mật khẩu thường bao gồm sự kết hợp của các ký tự, số và ký hiệu, mật khẩu dựa trên các nguyên tắc của mật mã khóa công khai. Họ sử dụng một cặp khóa mật mã: khóa riêng được lưu trữ an toàn trên thiết bị của người dùng và khóa chung được đăng ký với nhà cung cấp dịch vụ.
Ông tiếp tục: Đằng sau hậu trường, mật mã sử dụng cơ chế phản hồi thử thách.
Khi người dùng cố gắng truy cập vào tài khoản của họ, nhà cung cấp dịch vụ sẽ gửi một thử thách tới thiết bị của người dùng. Sau đó, thiết bị ký thử thách bằng khóa riêng và truyền phản hồi đã ký trở lại máy chủ để xác thực.
Vì khóa riêng không bao giờ rời khỏi thiết bị của người dùng và không được truyền qua mạng nên mật mã cung cấp mức độ bảo mật cao hơn so với mật khẩu truyền thống và có khả năng chống lừa đảo.
Guccione cho biết: “Mật mã được giới hạn ở thiết bị mà chúng được tạo trên đó trừ khi bạn tạo và lưu mật khẩu trong trình quản lý mật khẩu”. “Việc lưu trữ mật mã trong trình quản lý mật khẩu an toàn sẽ cung cấp quyền truy cập vào mật khẩu của bạn, bất kể bạn đang sử dụng thiết bị nào hoặc bạn đăng nhập từ đâu, cho phép bạn sử dụng chúng trên các trình duyệt và hệ điều hành khác nhau.”
Pobletts cho biết thêm: “Mật mã loại bỏ hoàn toàn một số cuộc tấn công kỹ thuật xã hội phổ biến nhất, chẳng hạn như lừa đảo hoặc nhồi thông tin xác thực, vì chúng loại bỏ phần thưởng mà tin tặc đang theo đuổi – thông tin đăng nhập”.
Không thay thế mật khẩu
Guccione lưu ý rằng tương lai của mật mã có vẻ đầy hứa hẹn nhưng phải thận trọng và được đánh dấu bằng sự tiến bộ dần dần. Ông nói: “Sự hỗ trợ mạnh mẽ từ các công ty công nghệ hàng đầu như Microsoft, Apple, Google và Amazon là một bước đi đúng hướng”. “Những nỗ lực tiêu chuẩn hóa có thể đóng một vai trò then chốt trong việc vượt qua các thách thức về khả năng tương tác và thúc đẩy việc áp dụng rộng rãi hơn”.
“Tuy nhiên,” ông nói thêm, “điều quan trọng là phải thừa nhận rằng mật mã sẽ không thay thế mật khẩu trong tương lai gần, nếu có.”
Ông tiếp tục: “Trong số hàng tỷ trang web đang tồn tại, chỉ một phần trăm hiện cung cấp hỗ trợ cho mật khẩu. “Việc áp dụng cực kỳ hạn chế này có thể là do nhiều yếu tố khác nhau, bao gồm mức độ hỗ trợ từ các nền tảng cơ bản, nhu cầu điều chỉnh trang web và yêu cầu về cấu hình do người dùng bắt đầu.”
Để trở thành một giải pháp bảo mật tài khoản thực sự, mật mã phải trở nên phổ biến, Nguyễn nói thêm.
Ông viết: “Giống như nhiều tính năng trực tuyến, mật mã được hưởng lợi từ hiệu ứng mạng”. “Càng nhiều trang web và dịch vụ sử dụng mật mã thì chúng càng là giải pháp tốt hơn và dễ dàng hơn cho người dùng (với lợi ích bổ sung là giúp dữ liệu của mọi người an toàn hơn). Thật không may, Big Tech đã coi mật khẩu như một cơ hội để thúc đẩy lợi ích thương mại của họ hơn là một công cụ cung cấp bảo mật toàn cầu”.