This post is also available in: English

Vào tháng 3/2022, Yubico đã xuất bản một bài viết có tên “YubiKeys, passkey và tương lai của xác thực hiện đại” trên trang blog của hãng, xem xét sự phát triển của xác thực từ khi họ giới thiệu YubiKey vào năm 2008, khi lĩnh vực công nghệ đang hướng tới việc áp dụng và thích ứng với xác thực WebAuthn/FIDO.

Trong tháng trước, một số tin tức về “passkey – khóa mật khẩu” đã gây ra một số sự phấn khích, cũng như một số nhầm lẫn, về những gì Yubico – với tư cách là nhà cung cấp và dẫn dắt các tiêu chuẩn xác thực – đang làm, vượt ra ngoài lĩnh vực mật khẩu.

Yubico đã nhận được nhiều câu hỏi từ phía khách hàng và đối tác để làm rõ thêm về passkey. Các câu hỏi và giải đáp được cập nhật tại blog của Yubico và Webinar sắp tới của họ, tập trung vào passkey và xác thực hiện tại.

Dưới đây là phần hỏi đáp được đăng tải trên blog:

Q: Passkey là gì?

Passkey cũng giống như mật khẩu, nhưng tốt hơn mật khẩu vì chúng không được tạo ra một cách thiếu an toàn bởi con người. Passkey sử dụng mật mã khóa công khai để tạo ra những trải nghiệm an toàn hơn nhiều.

Tuy nhiên, passkey không phải là một khái niệm mới. Đó chỉ là tên gọi mới được dùng cho các thông tin đăng nhập WebAuthn/FIDO2 mang đến những trải nghiệm đầy đủ của việc không dùng mật khẩu. Các kiểu thông tin đăng nhập này còn được gọi là thông tin đăng nhập có thể khám phá hoặc thông tin đăng nhập thường trú.

Các chuyên gia tại Yubico thích thuật ngữ mới này và sử dụng nó vì nó khá đơn giản, giúp cho mọi người hiểu được đây là phương pháp thay thế cho mật khẩu. “Passkey” dễ hiểu hơn nhiều so với “thông tin đăng nhập WebAuthn/FIDO có thể khám phá”.

Lần đầu tiên thuật ngữ passkey được đề cập đến cộng đồng là vào năm ngoái bởi Apple tại một cuộc nói chuyện WWDC2021, nơi họ đã giới thiệu bản xem trước công nghệ “Passkeys trong iCloud Keychain” cho các nhà phát triển.

Passkey khi đó chỉ đề cập đến thông tin xác thực WebAuthn/FIDO chứ không phải nhiều khóa và giao thức khác, chẳng hạn như PIV, OTP hoặc Thẻ OpenPGP, có sẵn trong YubiKey 5 Series.

 Q: Tại sao thuật ngữ passkey gần đây xuất hiện nhiều trong các bản tin?

Các nhà cung cấp nền tảng như Apple, Google và Microsoft, đã bắt đầu chuyển sang hỗ trợ cho trải nghiệm hoàn toàn không cần mật khẩu bằng cách sử dụng trình xác thực bên ngoài như YubiKeys, và cũng sử dụng phần cứng tập trung vào bảo mật được tích hợp trong thiết bị của họ như TPM, kể từ đầu năm 2019.

Một số công việc tích hợp hỗ trợ vẫn đang diễn ra, nhưng các nền tảng dường như đang tiến gần hơn và đã có những tín hiệu công khai ý định hoàn toàn hỗ trợ, thêm một số tính năng và tiếp tục sự cam kết của họ đối với các cơ quan tiêu chuẩn như W3C và FIDO.

Chúng tôi hy vọng sẽ thấy nhiều hơn nữa về passkey trong các bản tin sau khi việc triển khai được thực hiện và phát triển trong một hoặc hai năm tới.

 Q: Những thay đổi bổ sung nào liên quan đến passkey đang được thảo luận?

Ở cấp độ cao nhất, sẽ có hai điều mới để tăng cường dịch vụ và sự chấp nhận của người tiêu dùng đối với WebAuthn / FIDO:

  1. Có thể sử dụng điện thoại Android và iOS có passkey, chủ yếu thông qua bluetooth và internet, để đăng nhập vào các thiết bị khác như máy tính xách tay. Điều này thật thú vị và luôn là một phần trong tầm nhìn của Yubico đối với các giao thức mà chúng tôi đã nỗ lực tạo ra và phát triển.
    Yubico đã giúp tạo ra phương tiện bluetooth FIDO ban đầu và thậm chí còn xây dựng một bản PoC bluetooth YubiKey. Điều đó đã giúp chúng tôi cùng nhau tìm hiểu cách một số triển khai và tính năng bluetooth không đáng tin cậy có thể tồn tại trên thị trường. Chức năng “điện thoại làm khóa bảo mật” mới này sử dụng những gì chúng tôi đã tìm hiểu được chung từ giao thức đó và sử dụng kết nối internet để chủ yếu tránh bluetooth ngoại trừ việc chứng minh sự gần gũi về mặt khoảng cách. (Nếu bạn cảm thấy tò mò, giao thức này được gọi là caBLEv2 và sắp được đổi tên thành phương tiện truyền tải “kết hợp”).
  2. Theo mặc định, thông tin đăng nhập FIDO trên các nền tảng sẽ được tự động sao chép sang các thiết bị khác đã đăng nhập vào trình quản lý mật khẩu của cùng nền tảng, giống như cách hoạt động của mật khẩu ngày nay. Điều này được thực hiện để giúp khôi phục dễ dàng sau khi mất thiết bị, nhưng đi kèm với sự cân bằng về bảo mật.

Cách thức hoạt động của những khái niệm mới này vẫn đang trong giai đoạn thử nghiệm và có thể thay đổi, nhưng bạn có thể mong đợi sẽ thấy nhiều hơn về chúng khi các triển khai gần hoàn thành. Bạn có thể đọc thêm trong bài đăng trên blog trước đây của chúng tôi về chủ đề này.

Chúng tôi đảm bảo sẽ tiếp tục xuất bản thông tin khi chúng xuất xưởng, và cũng sẽ cung cấp hướng dẫn chi tiết cho nhà phát triển để điều hướng các thay đổi về giao thức và mã cần thiết để tận dụng tối đa tính linh hoạt của những thay đổi này, trong khi triển khai bảo mật yêu cầu của các ứng dụng phụ thuộc vào chúng.

Q: Passkey khác YubiKey như thế nào?

Chúng giống nhau nhưng cũng khác nhau.

Chúng giống nhau vì YubiKeys đã có khả năng tạo các thông tin xác thực FIDO2 được kích hoạt không cần mật khẩu (mã khóa) kể từ khi YubiKey 5 Series ra mắt vào giữa năm 2018. Hiện tại, YubiKeys có thể lưu trữ tối đa 25 mã khóa (passkey). Chúng tôi đang đánh giá việc tăng khả năng này trong tương lai vì nhu cầu tăng trải nghiệm hoàn toàn không cần mật khẩu trên web.

Chúng khác nhau vì các passkey do Nền tảng tạo ra sẽ có thể sao chép theo mặc định bằng thông tin đăng nhập cho tài khoản đám mây cơ bản (có thể có thêm cụm mật khẩu đồng bộ hóa trình quản lý mật khẩu), trong khi các passkey trong YubiKey được liên kết với phần cứng vật lý của YubiKey nơi chúng không thể sao chép .

Q: Các thuật ngữ nào Yubico sử dụng để nói về passkey?

Chúng tôi thích thuật ngữ passkey và có kế hoạch sử dụng nó. Vì nhiều thứ đang được nói đến cùng một lúc, chúng tôi sẽ cố gắng sử dụng thuật ngữ một cách nhất quán để làm rõ sự khác biệt hoặc điểm tương đồng tùy theo tình huống. Đây vẫn là một công việc đang được tiến hành trong toàn ngành và chúng tôi sẽ thích nghi khi mọi thứ thay đổi.

Dưới đây là một vài ví dụ có thể hữu ích:

  1. Các passkey có thể sao chép thường được gọi là “đa thiết bị”, “có thể đồng bộ hóa”, “đã bật sao lưu” hoặc các thuật ngữ tương tự.
    Một số thuật ngữ này dễ bị nhầm lẫn với khái niệm WebAuthn/FIDO về “phần đính kèm” của thiết bị xác thực có thể có các giá trị “nền tảng” hoặc “đa nền tảng”.
    Chúng tôi thích sử dụng “có thể sao chép” (copyable) vì nó mô tả rõ ràng những gì có thể được thực hiện với thông tin xác thực, nhưng không ngụ ý bất kỳ điều tốt hay xấu nào và không sử dụng các thuật ngữ quá tải hoặc khó hiểu.
  1. Các passkey không thể sao chép đôi khi được gọi là “passkey cho một thiết bị”.
    Chúng tôi thích sử dụng “ràng buộc phần cứng” (hardware bound) vì nó mô tả vị trí của thông tin xác thực rõ ràng mà không ngụ ý rằng thông tin xác thực chỉ có thể được sử dụng với một thiết bị (trái ngược với từ một thiết bị).

 

Q: Sự cân bằng bảo mật giữa các passkey ràng buộc phần cứng (hardware bound) và có thể sao chép (copyable) là gì?

Hardware bound passkey, giống như passkey trên YubiKey, là tiêu chuẩn vàng cho bảo mật và xác thực hiện đại, chống lừa đảo. Rất dễ xây dựng hệ thống xung quanh: không có thiết bị, không có quyền truy cập. Tuy nhiên, đối với người tiêu dùng đăng ký thông tin xác thực cho nhiều trang web, việc quản lý nhiều trình xác thực có thể gây ra thách thức.

Copyable passkey có thể giúp khôi phục dễ dàng hơn trong trường hợp thiết bị bị mất, nếu người dùng có một thiết bị hoạt động và sử dụng dịch vụ đồng bộ hóa đám mây để khôi phục tài khoản của họ. Trong trường hợp không có thiết bị bị xâm phạm, sự hiện diện của thông tin xác thực được sao chép đó chứng tỏ rằng có quyền truy cập vào một thiết bị đã được đăng nhập vào tài khoản đám mây của người dùng. Đây có thể là một tín hiệu bổ sung hữu ích, nhưng không cung cấp mức độ bảo mật tương tự như hardware-bound passkey.

Chúng tôi sẽ mở rộng nhiều hơn về chủ đề này trong tương lai cho các đối tượng khác nhau khi triển khai passkey rộng rãi.

Q: Hướng dẫn chung của Yubico về passkey là gì?

  • Copyable passkey  cung cấp bảo mật gần giống như “Đăng nhập bằng Google/Apple”, cùng với mật khẩu đồng bộ hóa khóa bổ sung.
  • Ngày nay, các ngân hàng, doanh nghiệp và những người muốn hoặc cần bảo mật cao sẽ không chỉ dựa vào bảo mật của tài khoản đám mây dành cho người tiêu dùng, ngay cả khi thông tin đăng nhập FIDO/WebAuthn có thể sao chép được sử dụng để cung cấp sự tin tưởng đó thay vì các giao thức đăng nhập liên kết như SAML, OpenID Connect hoặc OAuth chẳng hạn như Đăng nhập bằng Google / Apple.
  • Vô số các trường hợp sử dụng bảo mật cao mà nhiều tổ chức phải đối mặt cần nhiều giao thức hơn là chỉ FIDO, và họ cần các đảm bảo bảo mật và chứng thực mật mã được cung cấp bởi các thông tin xác thực trên phần cứng.
  • Các dịch vụ nên tiếp tục yêu cầu và lưu trữ thông tin chứng thực để họ có thể đưa ra các quyết định rủi ro dựa trên loại thông tin xác thực được sử dụng. Hướng dẫn của chúng tôi về chứng thực được cung cấp chi tiết hơn trên trang dành cho nhà phát triển.
  • Chúng tôi hy vọng rằng sự thúc đẩy về passkey lấy người tiêu dùng làm trung tâm sẽ thu hút nhiều hơn nữa các dịch vụ hỗ trợ WebAuthn/FIDO.
  • Hy vọng việc sử dụng nhiều hơn WebAuthn/FIDO có nghĩa là cuối cùng sẽ có ít người sử dụng hơn và ít dịch vụ hơn sẽ phải đối phó với việc tạo và bảo mật các hệ thống dựa trên mật khẩu và tên người dùng tiềm ẩn nhiều rủi ro nguy hiểm.

Chúng tôi rất vui vì các tiêu chuẩn mà chúng tôi cùng tạo ra và nỗ lực cải thiện trong nhiều năm sẽ được áp dụng rộng rãi hơn nữa, và hy vọng rằng những chuyển động này sẽ tiếp tục giảm thiểu tác hại và thúc đẩy sứ mệnh của chúng tôi: giúp Internet an toàn hơn cho tất cả mọi người.

Nguồn: Christopher Harrell – Yubico blog