Bài học rút ra chính
- iCloud Passkey loại bỏ mật khẩu và giúp đăng nhập an toàn hơn.
- WebAuthn là một tiêu chuẩn trình duyệt để xác thực không cần mật khẩu.
- Cả WebAuthn và iCloud Passkey đều sử dụng mật mã khóa công khai để làm chứng thư.
Với iCloud Passkey, Apple sắp biến mật khẩu trở nên lỗi thời. Cuối cùng.
Mật khẩu là một vấn đề lớn. Mật khẩu yếu hoặc bị đánh cắp là nguyên nhân của hơn 80% các vụ vi phạm hack và mọi người rất tệ trong việc quản lý mật khẩu. Chúng tôi hoặc quên chúng, sử dụng tên của những con chó hoặc con của chúng tôi, hoặc sử dụng cùng một mật khẩu cho mọi thứ. Các trình quản lý mật khẩu như NordPass hoặc iCloud Keychain có thể trợ giúp, nhưng về cơ bản mật khẩu vẫn không an toàn. Các khóa mật khẩu trong Chuỗi khóa iCloud và WebAuthn tiêu chuẩn mới, muốn sửa lỗi này, nhưng chúng có thể thực sự thay thế mật khẩu không?
"Nếu Apple đưa điều này thành tiêu chuẩn trên các thiết bị của mình, hàng triệu người sẽ quen với nó và những gã khổng lồ công nghệ khác như Google sẽ làm theo", Christen Costa, Giám đốc điều hành của Gadget Review, nói với Lifewire qua email.
Phím công cộng
Vấn đề với mật khẩu là nó cần được giữ bí mật, nhưng nó cũng cần được chia sẻ. iCloud Passkey sử dụng một thứ gọi là Mật mã khóa công khai. Điều này bao gồm hai chìa khóa. Khóa công khai chỉ có thể khóa mọi thứ, vì vậy có thể chia sẻ một cách an toàn; khóa riêng tư có thể vừa khóa vừa mở khóa dữ liệu và không bao giờ rời khỏi thiết bị của bạn.
Khi bạn đăng ký một trang web hoặc dịch vụ bằng iCloud Passkeys hoặc WebAuthn, một cặp khóa mới sẽ được tạo và khóa công khai được chia sẻ với dịch vụ, thay thế cho mật khẩu. Điểm bắt buộc là bạn sẽ cần sử dụng một trong các thiết bị của riêng mình để đăng nhập, nhưng trên thực tế, điều đó hiếm khi xảy ra và lợi ích bảo mật là rất lớn. Và nếu bạn đã sử dụng trình quản lý mật khẩu và xác thực hai yếu tố, thì bạn đã sử dụng thiết bị chạy ứng dụng trình quản lý mật khẩu của mình.
Tuy nhiên, một vấn đề khác là nếu kẻ tấn công nắm giữ thiết bị của bạn và có thể quản lý để truy cập vào nó, thì tất cả các cược sẽ bị tắt. Tuy nhiên, các thiết bị iOS và Mac hiện đại rất khó bẻ khóa và việc đánh cắp điện thoại sẽ tốn nhiều công sức hơn so với gửi email lừa đảo.
Mật mã trong Chuỗi khóa iCloud thật dễ dàng
Sử dụng Passkey trong iCloud Keychain rất đơn giản. Khi bạn đăng ký tài khoản người dùng mới trên một trang web, bạn nhập địa chỉ email và iPhone của bạn sẽ yêu cầu bạn xác nhận bạn đang tạo tài khoản. Đó là nó. Mật khẩu mới được lưu trữ trong chuỗi khóa của bạn và phần công khai được trang web lưu trữ.
Sự khác biệt lớn là khóa công khai được thiết kế để công khai. Nó không cần phải được ẩn hoặc giữ bí mật. Nếu trang web bị tấn công, việc đánh cắp tất cả các khóa công khai này là vô nghĩa, vì chúng sẽ không làm gì cả. Những vi phạm mật khẩu lớn mà bạn đọc vài tuần một lần? Chúng sẽ là dĩ vãng.
"Nếu chúng tôi kiểm tra cách mật khẩu hoạt động ngày hôm nay, trước tiên bạn nhập mật khẩu của mình, sau đó mật khẩu thường bị xáo trộn thông qua một cái gì đó như băm cộng với muối và kết quả băm muối được gửi đến máy chủ", Garrett Davidson của Apple cho biết trong một WWDC phiên có tên "Vượt qua mật khẩu". "Giờ đây, cả bạn và máy chủ đều có bản sao của bí mật, mặc dù bản sao của máy chủ đã bị xáo trộn và cả hai bạn đều có trách nhiệm như nhau trong việc bảo vệ bí mật đó."
Còn về Trình quản lý mật khẩu của bạn?
Công nghệ này có vẻ như đánh vần sự diệt vong đối với các ứng dụng quản lý mật khẩu, nhưng nó tạo ra một chút khác biệt. Hầu hết người dùng đã dựa vào trình quản lý mật khẩu iCloud tích hợp sẵn.
Người dùng thành thạo, kiểu người thích các tính năng bổ sung và đang tách mật khẩu khỏi ID Apple của họ, sẽ tiếp tục sử dụng các ứng dụng độc lập.
Nếu Apple đưa điều này thành tiêu chuẩn trên các thiết bị của mình, hàng triệu người sẽ quen với nó và những gã khổng lồ công nghệ khác như Google sẽ làm theo.
"Không ai muốn có thêm đối thủ cạnh tranh, nhưng các giải pháp tích hợp như vậy không phải là trọng tâm chính của trình duyệt", chuyên gia bảo mật Chad Hammond của Nordpass cho biết. "Do đó, chúng không giải quyết được các vấn đề toàn cầu giống như các trình quản lý mật khẩu. Chức năng chính của trình duyệt là cấp cho người dùng quyền truy cập thông tin và trình quản lý mật khẩu chỉ là một trong nhiều tính năng mà trình quản lý mật khẩu cung cấp., đó là tính năng chính."
Mặt khác, phạm vi tiếp cận của Apple có thể đưa công nghệ xác thực mới này đến tay nhiều người, đó là một chiến thắng cho tất cả mọi người. Thanh toán không tiếp xúc đã tồn tại trước Apple Pay, nhưng chỉ phát triển ở Mỹ sau khi Apple thêm nó vào iPhone. Mật khẩu sẽ không sớm biến mất, nhưng cuối cùng chúng tôi có một giải pháp thay thế vốn dĩ rất an toàn, dễ sử dụng và không cho phép bạn sử dụng tên con chó của mình. Một lần nữa.