Tại sao nên dùng passkey thay cho mật khẩu?

Nhiều người đã không dùng mật khẩu trong vài tháng qua để đăng nhập vào tài khoản Google và Microsoft. Thay vào đó, khi cần đăng nhập, họ dùng địa chỉ email và nhập mã PIN của máy tính Windows khi được yêu cầu. Khi nhập đúng mã PIN, bạn có thể đăng nhập mà không cần nhập mật khẩu dài dòng.

Đăng nhập không cần mật khẩu chính là tính năng mà passkey cung cấp, nhưng bảo mật tốt hơn mật khẩu thông thường vốn dễ bị đánh cắp hoặc lừa đảo, và rất khó nhớ cũng như sử dụng. Nhiều người đã thay thế mật khẩu bằng passkey và rất vui vì đã thực hiện thay đổi này.

Passkey là gì? Nó tốt hơn mật khẩu như thế nào?

Passkey về cơ bản là một mật khẩu kỹ thuật số sử dụng mật mã public key thay vì một chuỗi ký tự được ghi nhớ. Khi bạn tạo passkey cho một trang web, thiết bị của bạn sẽ tạo ra hai key được liên kết toán học. Public key sẽ được chuyển đến dịch vụ bạn đang đăng ký, trong khi private key được lưu trữ trong phần cứng bảo mật của thiết bị, chẳng hạn như chip TPM của Windows Hello hoặc vùng bảo mật trên điện thoại.

Điều kỳ diệu của passkey là chúng không thể bị đánh lừa, vì chúng chỉ hoạt động trên các trang web được liên kết. Ngay cả khi bạn vô tình truy cập vào một trang web lừa đảo trông giống hệt Gmail, thiết bị của bạn sẽ không giải phóng private key vì nó biết đây không phải là trang web thực sự accounts.google.com. Việc đăng nhập sẽ thất bại mà không có mật khẩu hoặc thông tin đăng nhập để lừa đảo.

Passkey khắc phục hai vấn đề so với phương pháp thủ công. Thứ nhất, chúng xác minh rằng bạn đang ở trên trang web chính hãng bằng cách kiểm tra domain trước khi giải phóng key, do đó các nỗ lực lừa đảo sẽ thất bại. Thứ hai, chúng không tiết lộ mật khẩu có thể sử dụng lại mà chỉ cung cấp chữ ký mã hóa một lần để chứng minh đó thực sự là bạn.

Cách tạo và lưu trữ passkey

Thiết lập trên các nền tảng khác nhau

Để passkey hoạt động trên máy tính Windows, bạn cần bật Windows Hello. Nếu bạn đã sử dụng mã PIN hoặc thiết bị quét vân tay để mở khóa thiết bị, có thể bạn đã bật tính năng này. Nếu chưa, hãy vào Settings > Accounts > Sign-in options và thiết lập khuôn mặt, vân tay hoặc mã PIN. Khi một trang web đề nghị tạo mật khẩu, Windows Hello sẽ tự động xử lý việc lưu trữ.

Đối với các thiết bị Android chạy phiên bản 9 trở lên, mật khẩu được lưu vào Google Password Manager theo mặc định. Chúng sẽ đồng bộ trên tất cả các thiết bị Android đã đăng nhập vào cùng một tài khoản Google. Android 14 hỗ trợ các trình quản lý mật khẩu của bên thứ ba để lưu trữ mật khẩu, vì vậy đây là một lựa chọn khác nếu bạn thích những công cụ bảo mật chuyên dụng.

Apple đã đơn giản hóa việc này hơn một chút. Trên các thiết bị iOS và macOS, mật khẩu được lưu trữ trong iCloud Keychain và đồng bộ trên tất cả các thiết bị Apple của bạn. Bạn cần bật xác thực hai yếu tố cho Apple ID của mình, sau đó mật khẩu sẽ hoạt động liền mạch từ iPhone sang máy Mac.

Nếu bạn muốn hỗ trợ đa nền tảng, các trình quản lý mật khẩu như 1Password, Bitwarden hoặc Dashlane hiện đã hỗ trợ passkey. Đây là một cách tuyệt vời để quản lý tất cả passkey bất kể bạn đang sử dụng thiết bị nào.

Nhiều người thích giải pháp gốc nền tảng hơn, vì họ chủ yếu sử dụng Windows và Android. Tuy nhiên, trình quản lý mật khẩu sẽ hợp lý nếu bạn thường xuyên sử dụng nhiều thiết bị trên Windows, Mac, iPhone và Android.

Tạo passkey

Nhiều trang web hỗ trợ passkey sẽ tự động nhắc bạn tạo một cái ngay sau khi bạn đăng nhập bằng mật khẩu.

Nếu không nhận được lời nhắc tự động, bạn có thể tạo passkey thủ công trên các trang web có hỗ trợ. Truy cập cài đặt tài khoản của trang web, sau đó tìm phần bảo mật để xem các tùy chọn passkey. Ví dụ, để thiết lập passkey cho tài khoản Google của bạn, hãy truy cập g.co/passkeys, nhấp vào Create a passkey, sau đó hoàn tất các bước.

Bạn có thể sử dụng passkey ngay bây giờ ở đâu?

Tài khoản Google, Microsoft và Apple đã hỗ trợ passkey

Hầu hết các trang web lớn, bao gồm Google, Microsoft, Apple, Amazon, Adobe và Meta (Facebook và Instagram), đều hỗ trợ passkey. Nhiều người đã thiết lập chúng cho Google Workspace, tài khoản Microsoft và thậm chí cả PayPal của mình. Mỗi khi cần đăng nhập, hãy chọn passkey và sau đó xác thực bằng mã PIN.

Trải nghiệm có đôi chút khác biệt giữa các dịch vụ. Một số, chẳng hạn như Google, cho phép bạn chuyển sang mã khóa cho các lần đăng nhập hàng ngày và thậm chí xóa mật khẩu nếu bạn muốn. Những dịch vụ khác vẫn yêu cầu bạn giữ mật khẩu làm phương án dự phòng. Hiện tại, tất cả các nền tảng lớn vẫn cho phép bạn đặt mật khẩu khi tạo tài khoản mới, nhưng một khi mã khóa được bật, bạn hiếm khi cần phải nhập mật khẩu.

Passkey sẽ tồn tại lâu dài

Đăng nhập không cần mật khẩu là xu hướng tương lai

Mặc dù ngày càng nhiều trang web áp dụng passkey, nhưng quá trình này diễn ra tương đối chậm. Nhưng nếu có, việc đăng nhập sẽ rất dễ dàng. Tất nhiên, bạn vẫn cần mật khẩu để tạo tài khoản mới, và mật khẩu vẫn là phương thức dự phòng khi đăng nhập từ các thiết bị không được hỗ trợ hoặc nếu có sự cố với passkey.

Điều này cũng có nghĩa là mật khẩu sẽ không sớm biến mất. Chúng sẽ tồn tại nhờ khả năng tương thích, khả năng phục hồi và tất cả các dịch vụ chưa bắt kịp. Tuy nhiên, đối với việc đăng nhập hàng ngày, sự tiện lợi khi không phải nhập mật khẩu và khả năng bảo vệ khỏi các cuộc tấn công lừa đảo khiến việc chuyển đổi này trở nên đáng giá.