Đăng nhập không cần mật khẩu là gì? Có thực sự an toàn không?

Mật khẩu rất quan trọng đối với việc bảo mật Internet. Nhưng với rất nhiều dịch vụ, cả trực tuyến và ngoại tuyến, việc theo dõi mật khẩu rất khó khăn. Hệ thống đăng nhập không cần mật khẩu đang bắt đầu xuất hiện, loại bỏ yêu cầu nhập mật khẩu mỗi khi người dùng đăng nhập vào một dịch vụ.

Nhưng nếu không sử dụng mật khẩu, làm thế nào bạn bảo mật tài khoản của mình? Đăng nhập không cần mật khẩu là gì và chúng có an toàn không? Hãy cùng Quantrimang.com tìm hiểu qua bài viết sau đây nhé!

Đăng nhập không cần mật khẩu là gì?

Đăng nhập không cần mật khẩu là hệ thống xác thực sử dụng các lựa chọn thay thế cho mật khẩu, sau đó cho phép truy cập vào tài khoản. Chẳng hạn, thay vì mật khẩu, bạn nhận được thông báo email, hoạt động như một mã thông báo đăng nhập. Ngoài ra, bạn có thể nhận được một cửa sổ pop-up trên điện thoại thông minh, cho phép kiểm soát quyền truy cập vào tài khoản.

Trong đó, đăng nhập không cần mật khẩu thường sử dụng một hình thức xác thực có sẵn để đảm bảo danh tính của người dùng.

Bạn có thể đã biết đến tính năng đăng nhập không cần mật khẩu bằng tài khoản Gmail của mình. Thay vì phải nhập mật khẩu mỗi lần đăng nhập, Google có thể gửi lời nhắc trực tiếp đến điện thoại. Lời nhắc hiển thị thời gian và địa điểm của lần đăng nhập, với tùy chọn phê duyệt hoặc từ chối đăng nhập.

Hệ thống đăng nhập không cần mật khẩu hoạt động như thế nào?

Khi đăng nhập vào một trang web, bạn phải cung cấp mật khẩu để mở khóa tài khoản. Chỉ bạn và trang web biết mật khẩu là gì, do đó, tài khoản của bạn được đảm bảo an toàn. Bạn tin tưởng trang web sẽ lưu trữ an toàn mật khẩu và bản thân trang web cũng không dễ bị tấn công.

Ngoài ra, hãy chắc chắn bạn đã sử dụng mật khẩu mạnh cho mỗi trang web và dịch vụ, vì đó là biện pháp an toàn nhất.

Tuy nhiên, việc này không hề đơn giản. Tạo một mật khẩu mạnh mẽ chỉ sử dụng một lần cho mỗi trang web khiến nhiều người dùng “nản chí” nên họ thường đặt đại một mật khẩu dễ nhớ nào đó.

Với xác thực không cần mật khẩu, bạn không phải tin tưởng vào trang web chỉ bằng cách dựa vào mật khẩu. Thay vì nhập mật khẩu mỗi lần, đăng nhập không cần mật khẩu sử dụng một vài phương thức xác thực khác nhau.

Những phương thức xác thực không cần mật khẩu

Xác thực không cần mật khẩu dựa trên email

Hệ thống đăng nhập không cần mật khẩu phổ biến nhất hiện nay là qua email. Nhiều người dùng sẽ tìm thấy tính năng đăng nhập không cần mật khẩu dựa trên email (hệ thống quen thuộc nhất) hoạt động tương tự như khi reset lại mật khẩu.

Khi cố gắng đăng nhập, bạn phải cung cấp một địa chỉ email. Dịch vụ gửi email bảo mật đến địa chỉ được liên kết với tài khoản. Email chứa liên kết bảo mật sử dụng một lần để đăng nhập vào tài khoản dịch vụ. Liên kết này bao gồm mã thông báo đăng nhập duy nhất mà dịch vụ xác minh, hoán đổi nó thành mã thông báo xác thực trong thời gian dài.

Có các biến thể khác trên hệ thống email. Chẳng hạn, trong trường hợp tài khoản hiện có, dịch vụ có thể gửi cho người dùng mã khóa DKIM sử dụng một lần, gắn với chi tiết tài khoản của họ. Người dùng nhận được mã DKIM và nhập nó vào trang web. Trang web xác minh mã dựa trên các chi tiết người dùng hiện có và hoàn tất quy trình đăng nhập.

Đăng nhập không cần mật khẩu dựa trên SMS

Trong trường hợp này, người dùng nhập số điện thoại hợp lệ. Dịch vụ gửi mã sử dụng một lần đến số điện thoại đã nhập. Sau đó, người dùng có thể đăng nhập vào dịch vụ. Ngoài ra, một số dịch vụ còn cung cấp cho người dùng tính năng “robo-call”, trong đó dịch vụ chuyển văn bản thành giọng nói sẽ đọc mã trực tiếp cho người dùng.

Tuy nhiên, bảo mật SMS cần được xem xét kỹ lưỡng. Đại đa số chúng ta ít phải lo lắng về vấn đề này. Nhưng một số cá nhân, đặc biệt là những người có lượng tiền điện tử lớn, đã bị tấn công hoán đổi sim SMS.

Đăng nhập không cần mật khẩu dựa trên sinh trắc học

Một số phương thức đăng nhập không cần mật khẩu sử dụng dịch vụ quét sinh trắc học để xác thực danh tính của người dùng. Dịch vụ xác thực sinh trắc học đang được giới thiệu trên nhiều thiết bị hơn bao giờ hết.

Ý tưởng là khi bạn muốn truy cập một trang web, một lời nhắc sẽ xuất hiện trên điện thoại thông minh của bạn. Bạn mở khóa điện thoại thông minh bằng hệ thống sinh trắc học thường dùng và việc mở khóa đóng vai trò xác minh danh tính của bạn.

Tuy nhiên, ngoài Face ID của Apple (đối với các thiết bị iPhone X, iPad Pro thế hệ thứ 3 và iPod Touch thế hệ thứ 7, cũng như những dòng sản phẩm sau này), tính năng quét sinh trắc học trên thiết bị di động không hoàn toàn bảo mật.

Sử dụng một bức ảnh là có thể “đánh bại” phần cứng scan khuôn mặt của nhiều nhà sản xuất. Face ID của Apple khá hơn một chút: Cần một mô hình đầu người 3D, in màu mới có thể hạ gục nó. Trong những trường hợp khác, trình quét dấu vân tay cho phép nhận dạng dựa trên một phần dữ liệu vân tay để mở khóa thiết bị.

Tại thời điểm hiện tại, một hệ thống đăng nhập không có mật khẩu dựa trên sinh trắc học có lẽ không phải là lựa chọn tốt nhất. Tuy nhiên, trong tương lai, mọi việc có thể sẽ thay đổi.

Đăng nhập không cần mật khẩu dựa trên khóa vật lý

Khóa bảo mật vật lý cung cấp một tùy chọn xác thực đăng nhập không cần mật khẩu. Khóa bảo mật vật lý là một khóa bảo mật USB đặc biệt. Khi muốn truy cập vào tài khoản của mình, bạn phải cắm khóa bảo mật vào máy tính. Dịch vụ trực tuyến sẽ xác thực tài khoản thông qua khóa bảo mật, loại bỏ sự cần thiết của mật khẩu.

Các ví dụ điển hình của khóa bảo mật vật lý bao gồm sê-ri Titan của Google và sê-ri Yubikey của Yubico.

Đăng nhập không cần mật khẩu có giống như xác thực hai yếu tố không?

Hai quá trình này vừa giống nhau, vừa có sự khác biệt. Đăng nhập không cần mật khẩu tương tự như xác thực hai yếu tố (2FA) ở chỗ bạn truy cập vào tài khoản của mình bằng phương thức xác thực thay thế. 2FA hoạt động bằng cách bảo mật tài khoản người dùng bằng hai yếu tố riêng biệt, thường là mật khẩu và một thiết bị riêng biệt.

Chúng không giống nhau ở chỗ mặc dù bạn đang sử dụng một thiết bị riêng để xác thực tài khoản của mình khi sử dụng tính năng đăng nhập không cần mật khẩu và đó là yếu tố duy nhất.

Đăng nhập không cần mật khẩu có bảo mật không?

Bất cứ điều gì ngăn cản người dùng tạo ra những mật khẩu tồi đều tốt, đúng không? Đăng nhập không cần mật khẩu đã giúp loại bỏ một điểm yếu từ người dùng cuối. Tại thời điểm hiện tại, đăng nhập không cần mật khẩu chưa phổ biến lắm. Một số dịch vụ chính, chẳng hạn như Gmail (như đã đề cập ở trên) và Slack Magic Links, đang sử dụng chúng.

Điểm tích cực nhất đối với chủ sở hữu trang web và người kiểm duyệt là không cần phải xử lý mật khẩu người dùng nữa. Mật khẩu không được mã hóa được lưu trữ trong một file tin văn bản rõ ràng là những “cơn ác mộng” (điều mà bọn hacker chờ đợi). Những người dùng hiếm khi truy cập vào một dịch vụ cũng sẽ không phải reset lại mật khẩu nữa.

Đăng nhập không cần mật khẩu cũng có thể giúp người dùng đăng nhập vào dịch vụ một cách nhanh chóng. Ngược lại, nếu bạn thường xuyên đăng xuất khỏi dịch vụ, việc phải ủy quyền lại qua email hoặc SMS có thể trở nên phiền phức.

Ngay bây giờ, hãy sử dụng trình quản lý mật khẩu!

Đăng nhập không cần mật khẩu sẽ cần chút thời gian nữa để trở nên phổ biến hơn. Hầu hết các trình duyệt chính (trừ Safari) đều hỗ trợ đăng nhập không cần mật khẩu bằng cách này hay cách khác. Vào tháng 2 năm 2019, Google cũng đã thông báo rằng các thiết bị chạy Android 7 (Android Nougat) trở lên cũng sẽ nhận được hỗ trợ đăng nhập không cần mật khẩu.

Điều đó có nghĩa là hỗ trợ đăng nhập không cần mật khẩu đã xuất hiện trên gần 50% thiết bị Android. Và các tiêu chuẩn đăng nhập không cần mật khẩu như FIDO2 và WebAuthn sẽ tiếp tục nhận được các bản cập nhật, giúp ích cho việc bảo mật phương thức xác thực.

Tại thời điểm viết, bạn vẫn cần một mật khẩu. Do đó, hãy xem xét việc sử dụng một trình quản lý mật khẩu đáng tin cậy nhé!