Cách sử dụng khóa bảo mật Yubikey thay cho việc nhập mật khẩu

Việc nhập và nhớ mật khẩu rất phiền phức. Ngay cả khi tạo một mật khẩu mạnh, bạn vẫn có thể sử dụng lại nó cho tất cả các tài khoản quan trọng của mình. Tệ hơn nữa, mật khẩu có thể bị đánh cắp thông qua các trang web lừa đảo hoặc vi phạm dữ liệu.

Mặc dù trình quản lý mật khẩu có thể giúp ích, nhưng mọi người muốn một thứ gì đó an toàn hơn. Vì vậy, nhiều người đã chuyển sang sử dụng passkey, một giải pháp thay thế mật khẩu chống lừa đảo sử dụng khóa mã hóa thay vì chuỗi ký tự cần ghi nhớ. Tất cả những gì bạn cần là mã PIN thiết bị để đăng nhập - thiết bị sẽ xử lý mọi thứ khác. Vấn đề đã được giải quyết, phải không?

Tuy nhiên, sau khi sử dụng passkey dựa trên thiết bị trên laptop Windows và điện thoại Android, những hạn chế đã trở nên rõ ràng. Trớ trêu thay, giải pháp lại là quay trở về với khóa bảo mật phần cứng - công nghệ tiên phong trong xác thực không cần mật khẩu từ rất lâu trước khi Apple, Google và Microsoft tham gia. Vì vậy, nhiều người đã mạnh dạn đầu tư vào một thiết bị YubiKey Security Key NFC giá cả phải chăng, và kể từ đó, họ không còn phải nhập mật khẩu nữa.

YubiKey hoạt động như thế nào?

Passkey được lưu trữ trên chính khóa, không phải trên thiết bị

YubiKey là thiết bị xác thực phần cứng được chứng nhận FIDO2. Không giống như mật mã dựa trên thiết bị nằm trong chip TPM Windows hoặc vùng bảo mật của iPhone, YubiKey lưu trữ passkey trực tiếp trên chính khóa vật lý. Khi bạn tạo mật mã cho một trang web, khóa mật mã đó sẽ được lưu vào bộ nhớ bảo mật của YubiKey, chứ không phải trên máy tính của bạn.

YubiKey Security Key NFC chạy phiên bản phần mềm 5.7.4, có thể lưu trữ tối đa 100 passkey. Điều đó nghe có vẻ hạn chế, nhưng hầu hết mọi người không cần nhiều hơn thế cho các tài khoản thiết yếu của họ như email, ngân hàng và công cụ làm việc.

Khi bạn đăng nhập, trang web sẽ giao tiếp với YubiKey thông qua giao thức FIDO2. Khóa này xác minh tính hợp lệ của trang web, xác nhận danh tính của bạn bằng mã PIN do chính bạn thiết lập (hoặc chạm vào điện thoại hỗ trợ NFC), sau đó cung cấp chữ ký mã hóa cần thiết để bạn đăng nhập. Máy tính của bạn chỉ là người đưa tin trong cuộc trao đổi này.

Điều này khiến YubiKey trở thành hình thức lưu trữ khóa bảo mật an toàn nhất vì khóa riêng tư không bao giờ rời khỏi thiết bị. Ngay cả khi máy tính của bạn bị nhiễm phần mềm độc hại, kẻ tấn công cũng không thể trích xuất khóa bảo mật của bạn vì chúng hoàn toàn không được lưu trữ trên máy tính.

Thiết lập YubiKey

Bắt đầu chỉ mất vài phút

Thiết lập YubiKey rất dễ dàng. Hãy bắt đầu với tài khoản Google của bạn vì nó hỗ trợ khóa bảo mật tuyệt vời. Hãy vào cài đặt bảo mật tài khoản Google, bật xác minh hai bước nếu bạn chưa bật, sau đó chọn tùy chọn thêm khóa bảo mật.

Khi được nhắc, hãy nhấp vào Use another device, sau đó cắm YubiKey vào. Google sẽ tự động phát hiện và hướng dẫn bạn thực hiện quy trình đăng ký. Khóa có một điểm tiếp xúc kim loại nhỏ mà bạn có thể chạm vào khi được nhắc, xác nhận bạn đang ở đó và không phải là kẻ tấn công từ xa.

Sau khi đăng ký YubiKey, bạn cần tạo mã dự phòng cho tài khoản Google của mình và lưu chúng ở nơi an toàn. Điều này rất quan trọng vì nếu làm mất khóa, bạn sẽ cần mã dự phòng để khôi phục tài khoản. Ngoài ra, nếu có thể, hãy tạo một YubiKey dự phòng và lưu trữ ở nơi an toàn tại nhà.

Bạn có thể đăng ký đăng nhập dựa trên YubiKey trên bất kỳ dịch vụ nào hỗ trợ mật khẩu hoặc khóa bảo mật. Ngoài Google, các gã khổng lồ công nghệ như Apple, Microsoft, Amazon, Meta, LinkedIn, Adobe, GitHub, PayPal và Cloudflare đều hỗ trợ đăng nhập không cần mật khẩu. Bạn có thể xem danh sách đầy đủ các dịch vụ được hỗ trợ trong thư mục FIDO cho mật khẩu.

Để quản lý mật khẩu, bạn có thể sử dụng ứng dụng YubiKey Authenticator trên PC và điện thoại thông minh. Sau khi cài đặt, hãy xác thực ứng dụng bằng mã PIN hoặc qua NFC để thay đổi cài đặt và xem các mật khẩu đã lưu.

Ứng dụng xác thực hiển thị tất cả các khóa mật khẩu được lưu trữ trên YubiKey và cho phép bạn sử dụng chúng làm mã mật khẩu một lần. Bạn có thể thêm nhiều dịch vụ bằng cách quét mã QR, biến YubiKey thành một thiết bị xác thực vật lý thay thế các ứng dụng như Google Authenticator.

Một điều cần nhớ là thiết lập mã PIN cho YubiKey. Điều này bổ sung thêm một lớp bảo mật, bởi vì ngay cả khi ai đó đánh cắp khóa của bạn, họ cũng không thể sử dụng nó nếu không biết mã PIN. Ứng dụng YubiKey Authenticator sẽ hướng dẫn bạn thực hiện việc này trong quá trình thiết lập ban đầu.

Đăng nhập không cần mật khẩu là tương lai, và khóa bảo mật phần cứng giúp cải thiện điều này

Đối với bất kỳ ai cảm thấy khó chịu với mật khẩu hoặc lo lắng về bảo mật, một khóa bảo mật phần cứng như YubiKey là một lựa chọn đáng cân nhắc. Nó có giá khoảng 25-50 USD, tùy thuộc vào model, nhưng chỉ cần mua một lần (đi kèm với vỏ chống va đập và chuẩn IP68) hoạt động trên tất cả các thiết bị và tài khoản của bạn.

Với YubiKey, bạn không bị giới hạn trong bất kỳ hệ sinh thái nào, và các tài khoản nhạy cảm nhất của bạn vẫn được bảo vệ ngay cả khi thiết bị bị xâm phạm. Mặc dù một lỗ hổng bảo mật liên quan đến tấn công kênh phụ đã được phát hiện vào năm 2024, nhưng nó không ảnh hưởng đến các thiết bị YubiKey chạy firmware phiên bản 5.7 trở lên. Vì vậy, bất cứ thứ gì bạn mua hiện nay đều an toàn tuyệt đối.