Các nhà nghiên cứu bảo mật đã chứng minh cách thức các hệ thống xác thực passkey có thể bị xâm phạm thông qua các phương pháp dựa trên phần mềm, gây ra cuộc tranh luận sôi nổi trong cộng đồng an ninh mạng về sự cân bằng giữa bảo mật và khả năng sử dụng trong các hệ thống xác thực hiện đại.
Nghiên cứu tập trung vào việc dịch ngược giao thức CTAP2 và triển khai WebAuthn để tạo ra các bộ xác thực dựa trên phần mềm có thể vượt qua một số biện pháp bảo mật. Mặc dù các kỹ thuật này yêu cầu chuyên môn kỹ thuật đáng kể và các điều kiện cụ thể như chế độ gỡ lỗi từ xa của Chrome , chúng làm nổi bật những điểm yếu tiềm ẩn trong cách các hệ thống passkey xác thực các yêu cầu xác thực.
Các thành phần kỹ thuật chính liên quan:
- CTAP2 ( Client to Authenticator Protocol 2 )
- WebAuthn ( Web Authentication API )
- Khung xác thực FIDO2
- Giao tiếp USB-HID ( Human Interface Device )
- Khóa bảo mật phần cứng và các module TPM
- Trình xác thực ảo của Chrome để thử nghiệm
Mối Quan Ngại Bảo Mật Cốt Lõi
Cuộc thử nghiệm cho thấy cách các kẻ tấn công độc hại có thể chiếm đoạt quá trình đăng ký passkey bằng cách thay thế các khóa mật mã của riêng chúng trong quá trình thiết lập tài khoản. Điều này sẽ cho phép kẻ tấn công sau đó xác thực với tư cách là nạn nhân bằng cách sử dụng thông tin đăng nhập mà chúng kiểm soát. Tuy nhiên, các chuyên gia bảo mật chỉ ra rằng cuộc tấn công này yêu cầu việc đăng ký ban đầu phải xảy ra trên một hệ thống bị xâm phạm, điều này làm hạn chế đáng kể tác động thực tế của nó.
Cuộc tấn công hoạt động bằng cách tạo ra các bộ xác thực FIDO2 dựa trên phần mềm có thể tạo ra các phản hồi xác thực hợp lệ mà không cần yêu cầu các khóa bảo mật phần cứng chuyên dụng hoặc các mô-đun nền tảng tin cậy ( TPMs ). Mặc dù bản thân các chữ ký mật mã là hợp pháp, mối quan ngại nằm ở khả năng tạo ra những chữ ký này bằng phần mềm thay vì phần cứng an toàn.
Yêu cầu tấn công:
- Trình duyệt Chrome với chế độ gỡ lỗi từ xa được bật
- Truy cập vào thiết bị của nạn nhân trong quá trình đăng ký passkey
- Chuyên môn kỹ thuật trong việc dịch ngược các giao thức
- Khả năng chạy phần mềm tùy chỉnh trên hệ thống mục tiêu
- Khả năng thực hiện MITM (tấn công trung gian) trong quá trình đăng ký
Phản Ứng Của Ngành Và Cuộc Tranh Luận Về Chứng Thực
Nghiên cứu đã làm bùng phát lại các cuộc thảo luận về yêu cầu chứng thực trong việc triển khai passkey. Chứng thực là một cơ chế cho phép các trang web xác minh rằng thông tin đăng nhập xác thực được tạo ra bởi phần cứng cụ thể, đáng tin cậy thay vì phần mềm. Hiện tại, hầu hết các trang web hướng đến người tiêu dùng không yêu cầu chứng thực, khiến chúng có thể dễ bị tổn thương trước các phương pháp xác thực dựa trên phần mềm.
Lợi ích rõ ràng là có: các khóa có nguồn gốc từ phần cứng không thể bị đánh cắp trong bất kỳ hoàn cảnh bình thường nào. Trong khi đó, các passkey được đồng bộ chỉ là các cặp đăng nhập/mật khẩu phức tạp, vì vậy chúng có thể bị kẻ tấn công lấy cắp.
Tuy nhiên, việc triển khai các yêu cầu chứng thực nghiêm ngặt có thể tạo ra những vấn đề đáng kể về khả năng sử dụng. Nó có thể khóa người dùng phụ thuộc vào trình quản lý mật khẩu hoặc dịch vụ đồng bộ hóa đa nền tảng, buộc họ phải mua các khóa bảo mật phần cứng chuyên dụng. Cách tiếp cận này cũng có thể tạo ra các tình huống bị khóa nhà cung cấp, nơi chỉ các thiết bị từ các nhà sản xuất được phê duyệt mới hoạt động với một số trang web nhất định.
Yếu Tố Apple Và Tác Động Hệ Sinh Thái
Cách tiếp cận của Apple đối với việc triển khai passkey đã trở thành điểm trung tâm trong cuộc tranh luận này. Không giống như các công ty công nghệ lớn khác, Apple đã chọn không triển khai chứng thực cho các passkey tiêu dùng, ưu tiên quyền riêng tư của người dùng và khả năng di động đa thiết bị hơn là xác minh phần cứng. Quyết định này đã buộc nhiều trang web phải chấp nhận thông tin đăng nhập không được chứng thực, vì việc loại trừ người dùng Apple sẽ không khả thi về mặt thương mại.
Những người chỉ trích cho rằng lập trường của Apple đã làm suy yếu tình trạng bảo mật tổng thể của các hệ thống passkey, trong khi những người ủng hộ khẳng định rằng nó đã ngăn chặn việc tạo ra một hệ sinh thái hạn chế nơi chỉ các nhà cung cấp được phê duyệt mới có thể cung cấp dịch vụ xác thực. Cuộc tranh luận phản ánh những căng thẳng rộng lớn hơn giữa bảo mật, quyền riêng tư và cạnh tranh thị trường trong các hệ thống xác thực kỹ thuật số.
Quan điểm của các công ty trong ngành về Xác thực:
- Apple: Đã loại bỏ xác thực cho passkey dành cho người tiêu dùng, chỉ hỗ trợ trong môi trường MDM
- Google/Microsoft: Nhìn chung hỗ trợ các khả năng xác thực
- Doanh nghiệp: Thường yêu cầu xác thực để tuân thủ quy định (FIPS, bảo mật doanh nghiệp)
- Trang web dành cho người tiêu dùng: Phần lớn không triển khai xác minh xác thực
- Trình quản lý mật khẩu: Hỗ trợ passkey nhưng sẽ bị khóa bởi xác thực nghiêm ngặt
 |
|---|
| Phân tích lưu lượng mạng phản ánh sự phức tạp của việc triển khai passkey và các lỗ hổng tiềm ẩn |
Tác Động Thực Tế Và Đánh Giá Rủi Ro
Bất chấp cuộc thử nghiệm kỹ thuật, các chuyên gia bảo mật nhấn mạnh rằng rủi ro thực tế đối với hầu hết người dùng vẫn còn thấp. Cuộc tấn công yêu cầu hoặc là truy cập vật lý vào thiết bị của nạn nhân trong quá trình đăng ký hoặc khả năng chạy phần mềm độc hại với các đặc quyền nâng cao. Đối với hầu hết các ứng dụng tiêu dùng, các lợi ích bảo mật hiện có của passkey—bao gồm khả năng chống lại các cuộc tấn công lừa đảo và tái sử dụng thông tin đăng nhập—vẫn vượt trội hơn những lỗ hổng lý thuyết này.
Các môi trường doanh nghiệp có thể có các tính toán rủi ro khác nhau, đặc biệt là đối với các ứng dụng bảo mật cao nơi chi phí của phần cứng và độ phức tạp bổ sung có thể được biện minh. Nhiều chính sách bảo mật doanh nghiệp đã yêu cầu xác thực dựa trên phần cứng với chứng thực phù hợp cho các hệ thống nhạy cảm.
Nghiên cứu này đóng vai trò như một lời nhắc nhở có giá trị rằng không có hệ thống xác thực nào là hoàn hảo, và việc triển khai bảo mật phải cân bằng nhiều ưu tiên cạnh tranh bao gồm khả năng sử dụng, quyền riêng tư và bảo vệ chống lại các mô hình mối đe dọa khác nhau. Khi việc áp dụng passkey tiếp tục phát triển, nghiên cứu bảo mật liên tục và thảo luận cộng đồng sẽ là điều cần thiết để xác định và giải quyết các lỗ hổng tiềm ẩn trong khi duy trì các lợi ích trải nghiệm người dùng khiến passkey trở thành những lựa chọn thay thế hấp dẫn cho mật khẩu truyền thống.
Tham khảo: REversing Windows, FPGAs, and Folding@Home