Passkey là gì? Vì sao Google sắp áp dụng với Gmail

 Google sắp loại bỏ phương thức xác thực Gmail thông qua tin nhắn SMS vì lo ngại vấn đề bảo mật. Đây là một thay đổi lớn, đánh dấu bước chuyển mình trong cách Google tiếp cận vấn đề bảo mật tài khoản người dùng.

 Trong vài tháng tới, Google sẽ thay đổi cách xác minh qua điện thoại. Thay vì nhận tin nhắn SMS và nhập 6 chữ số xác thực, người dùng sẽ thấy mã QR và cần dùng camera điện thoại của họ để quét mã. Phương thức truy cập này được thiết lập thông qua Passkey đã được Google giới thiệu trước đây. Vậy passkey là gì? Cách hoạt động như thế nào?

Passkey là gì?

 Với thông điệp “Password-less future” (Tương lai không mật khẩu), những gã khổng lồ công nghệ: Google, Microsoft và Apple đã bắt tay tạo ra một hệ thống đăng nhập không cần mật khẩu – Được gọi là passkey.

 Đây là một cách xác thực mới dựa trên tiêu chuẩn xác thực không cần mật khẩu (Passwordless authentication) của Liên minh FIDO.

 Thay vì nhập mật khẩu để đăng nhập, người dùng có thể sử dụng mã PIN, mã QR, quét vân tay hoặc Face ID trên các thiết bị riêng biệt.

Cách thức hoạt động của passkey

 Passkey hoạt động bằng cách tạo khóa bí mật giữa thiết bị của người dùng và ứng dụng/trang web mà họ muốn đăng nhập. Khóa này được tạo ra một cách an toàn, được lưu trữ độc lập trên thiết bị của bạn. Khi đăng nhập, chúng ta chỉ cần xác thực bằng cách sử dụng phương thức sinh trắc học, mã PIN, mã QR hoặc nhấn xác nhận trên thiết bị đã đăng ký.

 Passkey được phát triển dựa trên tiêu chuẩn WebAuthentication (WebAuthn), sử dụng cặp khóa “Public key – Private key” để bảo vệ quá trình xác thực.

 Trên các thiết bị di động, nếu bạn thiết lập Touch ID hoặc Face ID, cặp khóa này cho phép đăng nhập vào app/website (mỗi app/website có một cặp khóa độc nhất) bằng sinh trắc học. Đối với các thiết bị Apple, passkey được sao lưu đồng bộ bằng iCloud Keychain và được bảo mật nghiêm ngặt nhiều lớp mà ngay cả Apple cũng không được biết. Passkey còn hỗ trợ đăng nhập trên thiết bị khác bằng cách quét mã QR.

Passkey hiện khả dụng trên các thiết bị:

• Thiết bị iPhone sử dụng hệ điều hành iOS 16 trở lên.

• Máy tính Macbook có hệ điều hành MacOS Ventura trở lên.

• Thiết bị Android có điều hành từ Android 9 trở lên.

• Máy tính hỗ trợ Windows 10 trở lên.

Passkey hiện khả dụng trên các trình duyệt:

• Chrome 109 trở lên

• Safari 16 trở lên

• Edge 109 trở lên

 Google cũng khẳng định sẽ triển khai rộng rãi và cập nhật danh sách các thiết bị/trình duyệt có khả năng tương thích với passkey trong thời gian tới.

Khóa bảo mật hỗ trợ passkey:

• Mỗi khóa bảo mật Titan có thể lưu trữ hơn 250 passkey.

• Mỗi khóa bảo mật YubiKey có thể lưu trữ tối đa 100 passkey.

• Khóa xác thực VinCSS FIDO2 Fingerprint và VinCSS FIDO2 Touch 1.

Ưu điểm của passkey so với mật khẩu truyền thống

• An toàn hơn: Passkey sử dụng các tiêu chuẩn xác thực không cần mật khẩu, vốn được coi là an toàn hơn so với mật khẩu truyền thống.

• Dễ sử dụng hơn: Passkey chỉ yêu cầu người dùng xác thực bằng cách sử dụng phương thức xác thực sinh trắc học, đơn giản hơn so với việc phải nhớ và nhập mật khẩu phức tạp.

• Tương thích hơn: Passkey là một tiêu chuẩn mở, do đó nó có thể được sử dụng bởi các ứng dụng và trang web khác nhau.

 Công nghệ Passkey được cho là tương lai của hệ thống bảo mật, được phát triển như một phần của liên minh FIDO. Có thể nói, đây là một bước tiến quan trọng trong việc nâng cấp bảo mật cho người dùng Internet.

• Tài liệu kỹ thuật về Passkey (Bản Tiếng Anh)

• Tài liệu kỹ thuật về Passkey (Bản Tiếng Việt)