Cộng đồng công nghệ đang tích cực tranh luận về tương lai của passkey, đặc biệt xung quanh các hạn chế xuất khẩu ngăn người dùng chuyển thông tin xác thực giữa các trình quản lý mật khẩu. Trong khi passkey hứa hẹn bảo mật tốt hơn mật khẩu truyền thống, những lo ngại ngày càng tăng về việc bị khóa nhà cung cấp và quyền tự chủ của người dùng đang tạo ra ma sát trong bối cảnh xác thực.
Các hạn chế xuất khẩu tạo ra khó khăn trong việc di chuyển
Một trong những vấn đề gây tranh cãi nhất với các triển khai passkey hiện tại là việc không thể xuất khẩu khóa riêng tư giữa các trình quản lý mật khẩu khác nhau. Không giống như mật khẩu truyền thống có thể dễ dàng sao chép hoặc xuất khẩu, passkey được thiết kế để không thể xuất khẩu vì lý do bảo mật. Điều này tạo ra những thách thức đáng kể cho người dùng muốn chuyển đổi giữa các nhà cung cấp xác thực hoặc duy trì các phương thức truy cập dự phòng.
Tình huống trở nên đặc biệt có vấn đề khi người dùng phát hiện họ có hàng trăm tài khoản được liên kết với passkey từ một nhà cung cấp duy nhất. Các thành viên cộng đồng báo cáo có từ 60 đến 400 mục passkey khác nhau, khiến việc đăng ký lại thủ công trên các dịch vụ trở thành một nhiệm vụ quá sức nếu họ cần chuyển đổi trình quản lý mật khẩu.
Tình trạng hỗ trợ xuất Passkey hiện tại:
- Apple : Chức năng xuất đã được công bố cho iOS 26 và macOS 26 (có sẵn trong phiên bản beta công khai)
- Bitwarden : Hỗ trợ passkey từ tháng 5/2024, bao gồm cả ứng dụng di động
- KeePassXC : Hỗ trợ passkey với khả năng xuất dữ liệu
- 1Password : Đã công bố kế hoạch cho chức năng xuất/nhập
- Google : Không cung cấp dữ liệu xác thực cho passkey người dùng cá nhân, nhưng có sẵn cho doanh nghiệp thông qua MDM
Xác thực gia đình trở nên phức tạp hơn
Các bậc phụ huynh và quản trị viên gia đình đang thấy việc quản lý passkey ngày càng bực bội so với việc chia sẻ mật khẩu đơn giản. Các luồng xác thực mới yêu cầu phải xoay sở với nhiều ứng dụng và quy trình ủy quyền phức tạp khi cố gắng truy cập tài khoản trên thiết bị của trẻ em hoặc giúp đỡ các thành viên gia đình với tài khoản của họ.
Việc đăng nhập vào tài khoản của tôi trên thiết bị của con em tôi đã chuyển từ một quy trình đơn giản thành một trải nghiệm cực kỳ bực bội. Tôi thấy mình phải xoay sở với đủ loại ứng dụng và luồng khác nhau.
Sự phức tạp này mở rộng đến các tình huống khẩn cấp khi các thành viên gia đình cần truy cập vào tài khoản của người thân đã qua đời, tạo ra những thách thức mới mà không tồn tại với các hệ thống mật khẩu truyền thống.
Mối lo ngại về kiểm soát doanh nghiệp và xác thực
Tiêu chuẩn passkey bao gồm một hệ thống xác thực cho phép các trang web xác định loại trình xác thực mà người dùng đang sử dụng. Tính năng này đã được một số chính phủ sử dụng, chẳng hạn như Áo, để hạn chế truy cập vào các dịch vụ chính thức trừ khi người dùng mua các token phần cứng được đưa vào danh sách trắng cụ thể.
Các chuyên gia bảo mật thường ủng hộ passkey vì các đặc tính chống lừa đảo và bảo mật được cải thiện so với các kết hợp mật khẩu-cộng- TOTP . Tuy nhiên, tiềm năng lạm dụng xác thực bởi các tập đoàn hoặc chính phủ để tạo ra các kịch bản khóa nhà cung cấp vẫn là một mối quan tâm đáng kể đối với các nhà ủng hộ quyền riêng tư và những người đam mê mã nguồn mở.
So sánh bảo mật các phương thức xác thực:
- Mạnh nhất: Mật khẩu + Khóa bảo mật phần cứng ( WebAuthn )
- Mạnh: Passkey (chống lừa đảo)
- Trung bình: Mật khẩu + TOTP (dễ bị lừa đảo)
- Yếu: Mật khẩu + SMS/Email (dễ bị lừa đảo và tấn công SIM swapping)
- Yếu nhất: Chỉ sử dụng mật khẩu
Sự phụ thuộc vào nền tảng tạo ra rủi ro mới
Việc chuyển hướng sang passkey làm tăng sự phụ thuộc vào các nền tảng công nghệ lớn như Google , Apple và Microsoft . Người dùng mất quyền truy cập vào tài khoản chính của họ thông qua việc chấm dứt tự động hoặc các vấn đề khác giờ đây phải đối mặt với việc mất không chỉ dữ liệu của họ mà còn cả thông tin xác thực cho các trang web bên thứ ba.
Sự phụ thuộc này đặc biệt đáng lo ngại vì các nền tảng lớn được biết đến với việc chấm dứt tài khoản mà không có quy trình kháng cáo rõ ràng, khiến người dùng không có cách nào để khôi phục danh tính kỹ thuật số của họ trên web.
Con đường phía trước
Bất chấp những lo ngại này, công nghệ vẫn đang phát triển. Apple đã công bố chức năng xuất khẩu passkey trong các phiên bản iOS và macOS sắp tới, và các trình quản lý mật khẩu như Bitwarden và KeePassXC đang làm việc để hỗ trợ tính di động passkey tốt hơn. Tuy nhiên, căng thẳng cơ bản giữa bảo mật và quyền kiểm soát của người dùng tiếp tục thúc đẩy các cuộc thảo luận cộng đồng về tương lai của xác thực web.
Cuộc tranh luận làm nổi bật một câu hỏi rộng hơn về việc liệu các lợi ích bảo mật của passkey có biện minh cho việc mất quyền tự chủ của người dùng và tăng sự phụ thuộc vào nền tảng tiềm ẩn đi kèm với các triển khai hiện tại hay không.
Tham khảo: Passkeys and Modern Authentication