Khi passkey ngày càng trở nên phổ biến như tương lai của xác thực trực tuyến, cộng đồng công nghệ đang phải đối mặt với những lo ngại đáng kể có thể cản trở việc áp dụng rộng rãi. Trong khi các tổ chức như NCSC công nhận tiềm năng của passkey trong việc loại bỏ lỗ hổng lừa đảo và tái sử dụng mật khẩu, các cuộc thảo luận trong cộng đồng lại tiết lộ sự hoài nghi sâu sắc về quyền kiểm soát của nhà cung cấp, sự phụ thuộc vào thiết bị và quyền tự do của người dùng.
Cuộc Tranh Luận Về Sự Phụ Thuộc Nhà Cung Cấp Chi Phối Mối Quan Tâm Của Cộng Đồng
Một trong những chỉ trích được lên tiếng nhiều nhất tập trung vào khả năng passkey tạo ra sự phụ thuộc vĩnh viễn vào nhà cung cấp. Các thành viên cộng đồng bày tỏ lo ngại rằng các công ty công nghệ lớn đang sử dụng passkey để mở rộng quyền kiểm soát đối với việc xác thực người dùng, có khả năng tạo ra những khu vườn có tường bao vây hạn chế sự lựa chọn và tự do của người dùng. Cuộc thảo luận nêu bật cách các nền tảng khác nhau sử dụng các thuật ngữ và cách tiếp cận triển khai khác nhau, gây ra sự nhầm lẫn và củng cố ranh giới của hệ sinh thái.
Cuộc tranh cãi xung quanh các tính năng xác nhận thiết bị đặc biệt khiến các nhà ủng hộ mã nguồn mở lo ngại. Một số thành viên cộng đồng chỉ ra các sự việc khi các trình quản lý mật khẩu mã nguồn mở chịu áp lực về khả năng xuất passkey của họ ở định dạng văn bản thuần túy. Sự căng thẳng giữa bảo mật thông qua sự che giấu và quyền kiểm soát của người dùng đối với thông tin đăng nhập của chính họ đại diện cho một sự chia rẽ triết học cơ bản trong cuộc thảo luận về passkey.
Các trang web không có quyền quyết định mọi thứ được xử lý như thế nào trên thiết bị của người dùng, nhưng đó chính xác là điều mà passkey cho phép. Ranh giới kiểm soát của một trang web trước đây dừng lại ở giao diện giữa trang web và người dùng. Giờ đây, ranh giới đó sẽ mở rộng đến các thiết bị.
Các Tình Huống Mất Thiết Bị và Khôi Phục Tạo Ra Những Lo Ngại Thực Tế
Ngoài những lo ngại về mặt triết học, người dùng đang bày tỏ những lo lắng thực tế về những gì sẽ xảy ra khi thiết bị bị mất, hỏng hoặc đơn giản là không có sẵn. So sánh với việc mất dấu vân tay vang vọng xuyên suốt các cuộc thảo luận, làm nổi bật cách passkey chuyển đổi xác thực từ thứ bạn biết (mật khẩu) sang thứ bạn có (thiết bị). Sự thay đổi này tạo ra các chế độ lỗi mới mà nhiều người dùng thấy đáng lo ngại.
Cộng đồng lưu ý rằng trong khi các trình quản lý thông tin đăng nhập cung cấp các giải pháp đồng bộ hóa và sao lưu, những giải pháp này thường phụ thuộc vào việc người dùng cấu hình trước các tùy chọn khôi phục một cách chính xác. Một số người bình luận chia sẻ kinh nghiệm khi các thành viên trong gia đình gặp phải sự cố xác thực khi passkey được bật một cách bất ngờ hoặc khi các thiết bị dùng chung tạo ra xung đột. Những tình huống trong thế giới thực này nhấn mạnh những thách thức về khả năng sử dụng vẫn chưa được giải quyết.
Sự Thiếu Nhất Quán Trong Triển Khai và Trở Ngại Trải Nghiệm Người Dùng
Người dùng kỹ thuật báo cáo sự thất vọng với tình trạng triển khai passkey hiện tại trên các dịch vụ và nền tảng khác nhau. Cuộc thảo luận tiết lộ rằng các trang web hỗ trợ passkey rất khác nhau — một số cho phép passkey được đồng bộ hóa trong khi những trang khác chỉ hỗ trợ các phiên bản gắn với thiết bị. Sự không nhất quán này tạo ra nhầm lẫn và làm suy yếu sự tự tin của người dùng vào công nghệ.
Các thành viên cộng đồng cũng nêu bật thách thức trong việc chuyển passkey giữa các trình quản lý thông tin đăng nhập và nền tảng khác nhau. Bất chấp sự phát triển của các tiêu chuẩn, người dùng báo cáo khó khăn trong việc di chuyển passkey giữa các hệ sinh thái lớn, củng cố thêm những lo ngại về sự phụ thuộc vào nhà cung cấp. Việc thiếu các đường dẫn di chuyển rõ ràng, thân thiện với người dùng đại diện cho một rào cản đáng kể đối với việc áp dụng đối với những người dùng am hiểu kỹ thuật, những người coi trọng quyền kiểm soát các phương pháp xác thực của họ.
Thách thức trong triển khai Passkey hiện tại
- Thuật ngữ nền tảng: Các nhà cung cấp khác nhau sử dụng các thuật ngữ khác nhau cho cùng một quy trình passkey
- Không nhất quán trong đồng bộ: Một số dịch vụ hỗ trợ passkey được đồng bộ, một số khác chỉ hỗ trợ passkey gắn với thiết bị
- Hạn chế chuyển đổi: Khó khăn khi di chuyển passkey giữa các trình quản lý thông tin xác thực khác nhau
- Phức tạp trong khôi phục: Người dùng phải cấu hình trước các tùy chọn khôi phục cho trường hợp mất thiết bị
- Vấn đề thiết bị dùng chung: Các vấn đề với thiết bị gia đình và nhiều tài khoản người dùng
Sự Chia Rẽ Triết Học: Bảo Mật Đối Mặt Với Tự Do
Ở cốt lõi, cuộc tranh luận về passkey đại diện cho một sự căng thẳng cơ bản giữa bảo mật và quyền tự chủ của người dùng. Những người ủng hộ lập luận rằng những lợi ích bảo mật — loại bỏ lừa đảo, ngăn chặn việc tái sử dụng mật khẩu và đơn giản hóa xác thực — biện minh cho những sự đánh đổi. Họ chỉ ra các số liệu thống kê cho thấy việc đăng nhập bằng passkey chỉ mất vài giây so với các quy trình xác thực truyền thống kéo dài hàng phút.
Tuy nhiên, những người hoài nghi đặt câu hỏi liệu các lợi ích bảo mật tương tự có thể đạt được thông qua cơ sở hạ tầng trình quản lý mật khẩu được cải thiện và các tiêu chuẩn web tốt hơn hay không. Một số người bình luận cho rằng với mức đầu tư tương đương, các trình quản lý mật khẩu lẽ ra đã có thể được nâng cấp để cung cấp khả năng bảo vệ chống lừa đảo tương tự mà không phải hy sinh quyền kiểm soát của người dùng đối với quy trình quản lý thông tin đăng nhập và sao lưu.
Lợi ích bảo mật của Passkey so với mật khẩu truyền thống
- Khả năng chống lừa đảo: Passkey được liên kết với tên miền cụ thể và không thể sử dụng trên các trang web giả mạo
- Không tái sử dụng mật khẩu: Mỗi dịch vụ nhận được một passkey duy nhất, loại bỏ nguy cơ bị xâm phạm chéo giữa các dịch vụ
- Không có thông tin xác thực yếu: Passkey được tạo ra bằng mã hóa, loại bỏ các mật khẩu dễ đoán
- Xác thực nhanh hơn: Microsoft báo cáo thời gian đăng nhập 8 giây so với 60 giây khi dùng mật khẩu + 2FA
Hướng Tới Tương Lai: Con Đường Đến Sự Chấp Nhận Rộng Rãi Hơn
Cuộc thảo luận trong cộng đồng cho thấy việc áp dụng passkey sẽ đòi hỏi giải quyết cả những mối quan tâm về kỹ thuật lẫn triết học. Người dùng muốn có các phương pháp sao lưu và chuyển passkey tiêu chuẩn hóa, rõ ràng trên các nền tảng. Họ yêu cầu sự minh bạch về cách các tính năng xác nhận có thể được sử dụng để hạn chế các triển khai mã nguồn mở. Và họ tìm kiếm sự đảm bảo rằng passkey sẽ không trở thành một công cụ khác để khóa chặt nền tảng.
Như một người bình luận đã lưu ý, passkey sẽ không thực sự sẵn sàng cho đến khi những người bạn và gia đình không am hiểu kỹ thuật của tôi không còn gọi điện nhờ tôi giúp đỡ về chúng. Bài kiểm tra đơn giản này nắm bắt được thách thức về khả năng sử dụng vẫn còn tồn tại — công nghệ phải hoạt động liền mạch trên nhiều trường hợp sử dụng đa dạng, từ các thiết bị gia đình dùng chung đến các tài khoản chuyên nghiệp cá nhân, mà không tạo ra gánh nặng hỗ trợ mới.
Công việc đang được tiến hành bởi các cơ quan tiêu chuẩn và sự tham gia của NCSC với các vấn đề này cho thấy sự công nhận về những thách thức này. Tuy nhiên, cuộc trò chuyện trong cộng đồng cho thấy rõ ràng rằng chỉ các giải pháp kỹ thuật là không đủ — việc giải quyết các mối quan tâm về quyền tự do và kiểm soát của người dùng sẽ quan trọng không kém để passkey đạt được tiềm năng của chúng với tư cách là tương lai của xác thực.
Tham khảo: Passkeys: they're not perfect but they're getting better