Passkeys đối mặt với sự chỉ trích ngày càng tăng về vấn đề bị nhà cung cấp khóa chặn và mối quan ngại về quyền kiểm soát của người dùng

Passkeys, công nghệ thay thế mật khẩu được hỗ trợ bởi các công ty công nghệ lớn, đang phải đối mặt với sự giám sát ngày càng tăng từ các nhà phát triển và chuyên gia bảo mật, những người cho rằng hệ thống này tạo ra những vấn đề mới trong khi giải quyết những vấn đề cũ. Công nghệ sử dụng khóa mật mã thay vì mật khẩu truyền thống đã gây ra những cuộc tranh luận sôi nổi về quyền tự do của người dùng, quyền kiểm soát của nhà cung cấp và những lợi ích bảo mật thực sự mà nó mang lại.

Vấn đề bị khóa chặn

Sự chỉ trích quan trọng nhất tập trung vào việc di chuyển passkeys giữa các trình quản lý mật khẩu khác nhau khó khăn như thế nào. Không giống như mật khẩu truyền thống có thể được sao chép và dán, passkeys được thiết kế để người dùng không thể hiểu rõ và không thể chuyển giao dễ dàng. Điều này tạo ra tình huống mà việc chuyển từ trình quản lý mật khẩu của Google sang Apple, hoặc sang một dịch vụ độc lập như Bitwarden, trở nên phức tạp một cách không cần thiết.

Mặc dù FIDO Alliance đã hứa hẹn một Giao thức Trao đổi Thông tin Đăng nhập để giải quyết vấn đề này, giải pháp vẫn chủ yếu mang tính lý thuyết vào năm 2025. Hiện tại, cách giải quyết duy nhất là các trang web cho phép nhiều passkeys cho mỗi tài khoản, nhưng nhiều dịch vụ không hỗ trợ tính năng này. Điều này buộc người dùng phải lựa chọn giữa sự tiện lợi và tính linh hoạt.

So sánh các tùy chọn lưu trữ Passkey

Màn kịch bảo mật hay Bảo vệ thực sự?

Những lợi ích bảo mật của passkeys cũng đang được tranh luận. Những người ủng hộ cho rằng passkeys cung cấp khả năng bảo vệ vượt trội chống lại các cuộc tấn công lừa đảo vì chúng được gắn với các tên miền cụ thể và không thể bị lừa để hoạt động trên các trang web giả mạo. Công nghệ này cũng loại bỏ rủi ro vi phạm cơ sở dữ liệu mật khẩu vì khóa riêng tư không bao giờ rời khỏi thiết bị của người dùng.

Tuy nhiên, những người chỉ trích chỉ ra rằng passkeys có thể được đặt lại bằng các phương pháp tương tự như mật khẩu truyền thống - thường thông qua xác minh email. Điều này có nghĩa là nếu ai đó có thể xâm nhập tài khoản email của bạn, họ vẫn có thể truy cập vào các tài khoản được bảo vệ bằng passkey của bạn. Quá trình đặt lại về cơ bản làm cho passkeys chỉ là mật khẩu yêu cầu trình quản lý mật khẩu, như một phân tích đã chỉ ra.

Những Hạn Chế Chính Của Passkey

• Khó Khăn Trong Chuyển Đổi: Không thể sao chép/dán passkey giữa các trình quản lý mật khẩu
• Quy Trình Đặt Lại: Cùng lỗ hổng bảo mật như mật khẩu truyền thống thông qua việc đặt lại email
• Phụ Thuộc Nhà Cung Cấp: Rủi ro bị khóa tài khoản nếu nhà cung cấp dịch vụ đám mây cấm người dùng
• Tùy Chọn Sao Lưu Hạn Chế: Không có phương pháp tiêu chuẩn nào để sao lưu thông tin xác thực an toàn
• Mối Quan Ngại Về Xác Thực: Tiềm năng chặn các triển khai mã nguồn mở
• Trải Nghiệm Người Dùng: Hành vi không nhất quán trên các trình duyệt và thiết bị khác nhau

Cuộc tranh luận về quyền kiểm soát

Một sự chia rẽ triết học sâu sắc hơn đã xuất hiện xung quanh quyền kiểm soát và tự do của người dùng. Passkeys được thiết kế với giả định rằng người dùng không thể được tin tưởng với thông tin đăng nhập bảo mật của chính họ. Công nghệ này cố ý ngăn người dùng xem hoặc quản lý thủ công các khóa riêng tư của họ, điều mà một số người coi là sự bảo vệ cần thiết chống lại các cuộc tấn công kỹ thuật xã hội.

Đây là DRM cho mật khẩu, ngăn chặn hiệu quả những kẻ tấn công độc hại xuất thông tin đăng nhập, về cơ bản là không có ngoại lệ.

Những người khác coi đây là một hạn chế không thể chấp nhận được đối với quyền của người dùng. Các trình quản lý mật khẩu mã nguồn mở như KeePassXC, cho phép người dùng xuất dữ liệu passkey của họ, đã phải đối mặt với các mối đe dọa bị chặn thông qua các cơ chế chứng thực có thể ngăn việc sử dụng chúng với một số dịch vụ nhất định.

Lưu trữ phần cứng so với Đám mây

Việc triển khai passkeys khác nhau đáng kể tùy thuộc vào phương pháp lưu trữ. Các khóa bảo mật phần cứng như YubiKeys cung cấp lợi ích bảo mật thực sự bằng cách lưu trữ thông tin đăng nhập trong các thiết bị chống giả mạo. Tuy nhiên, hầu hết người dùng dựa vào passkeys được đồng bộ hóa đám mây được lưu trữ trong các dịch vụ như iCloud Keychain hoặc Google Password Manager.

Cách tiếp cận dựa trên đám mây này đưa ra những rủi ro mới. Người dùng mất quyền truy cập vào tài khoản Google hoặc Apple của họ có thể thấy mình bị khóa khỏi hàng chục dịch vụ cùng một lúc. Sự tiện lợi của việc đồng bộ hóa trên các thiết bị đi kèm với chi phí tạo ra các điểm lỗi đơn mới.

Sự kháng cự của ngành và Thách thức áp dụng

Công nghệ này phải đối mặt với sự kháng cự từ cả người dùng kỹ thuật và người tiêu dùng hàng ngày. Nhiều nhà phát triển coi passkeys là chưa chín muồi, mô tả chúng như phần mềm alpha bằng cách nào đó đã được vận chuyển nhầm. Trải nghiệm người dùng vẫn không nhất quán trên các trình duyệt và thiết bị khác nhau, với tỷ lệ thành công cho xác thực passkey khác nhau đáng kể.

Các tổ chức tài chính và người dùng doanh nghiệp đã chậm hơn trong việc áp dụng công nghệ này, một phần do lo ngại về sự phụ thuộc vào nhà cung cấp và thiếu các thủ tục phục hồi rõ ràng. Sự phức tạp trong việc giải thích passkeys cho người dùng không am hiểu kỹ thuật cũng đã cản trở việc áp dụng rộng rãi.

Cuộc tranh luận về passkey phản ánh những căng thẳng rộng lớn hơn trong ngành công nghệ giữa bảo mật, sự tiện lợi và quyền tự chủ của người dùng. Mặc dù công nghệ này giải quyết các vấn đề thực sự với xác thực dựa trên mật khẩu truyền thống, việc triển khai hiện tại của nó lại đặt ra những mối quan ngại mới về quyền kiểm soát của công ty đối với danh tính kỹ thuật số. Khi công nghệ tiếp tục phát triển, việc tìm ra sự cân bằng phù hợp giữa bảo mật và tự do của người dùng vẫn là một thách thức đang diễn ra.

Tham khảo: Passkeys are just passwords that require a password manager