NCSC chính thức khuyến nghị Passkey thay thế mật khẩu: Thời đại của password đã qua

Trung tâm An ninh Mạng Quốc gia Anh (NCSC) đã chính thức xác nhận Passkey là tiêu chuẩn xác thực mặc định, đánh dấu lần đầu tiên cơ quan này khuyên người dùng từ bỏ hoàn toàn mật khẩu.

Hướng dẫn chính thức mới được đưa ra khẳng định rằng mật khẩu không nên được sử dụng ở những nơi mà Passkey đã có sẵn, đảo ngược hàng thập kỷ lời khuyên an ninh mạng truyền thống. Một báo cáo kỹ thuật được công bố tại hội nghị CYBERUK thường niên của NCSC đã kết luận rằng Passkey "ít nhất an toàn như, và nói chung là an toàn hơn" sự kết hợp giữa mật khẩu và xác thực hai bước (2SV).

Thách thức triển khai đã được giải quyết

Cơ quan an ninh này đã cân nhắc động thái này vào năm ngoái nhưng đã hoãn lại cho đến khi các "thách thức triển khai" được ngành công nghiệp giải quyết. Những vấn đề này bao gồm việc đặt tên Passkey không nhất quán giữa các nền tảng, sự hỗ trợ thiết bị không đáng tin cậy và khả năng tương thích hạn chế với trình quản lý thông tin đăng nhập. Tuy nhiên, những khoảng trống này hiện đã được thu hẹp đủ để hành động.

Google, eBay và PayPal được NCSC nhắc đến là ba nền tảng lớn đã giúp người dùng dễ dàng áp dụng Passkey hơn, với khoảng 50% người dùng Google tại Anh đã đăng ký ít nhất một Passkey. Microsoft cũng đã đưa Passkey trở thành tiêu chuẩn mặc định từ gần một năm trước.

Lời khuyên khi chưa có Passkey

Tại những nơi Passkey chưa khả dụng, cơ quan tình báo tín hiệu này khuyên người tiêu dùng và doanh nghiệp nên tiếp tục sử dụng kết hợp mật khẩu + 2SV. Tuy nhiên, họ cần sử dụng trình quản lý mật khẩu để đảm bảo các mật khẩu đó luôn phức tạp và độc nhất cho từng dịch vụ.

Như những người làm công nghệ đều biết, việc giữ cho mật khẩu độc nhất có nghĩa là nếu chúng bị rò rỉ trong các vụ tấn công lấy cắp thông tin (infostealer), kẻ tấn công sẽ không thể dùng chúng để truy cập vào nhiều tài khoản khác. Việc sử dụng 2SV thêm một lớp bảo vệ khác trong trường hợp tội phạm mạng thu thập được đúng cặp tên người dùng và mật khẩu.

Tại sao Passkey lại tốt hơn?

Jonathon Ellison, Giám đốc Khả năng phục hồi Quốc gia của NCSC, cho biết:

"Những cơn đau đầu do việc phải nhớ mật khẩu gây ra cho chúng ta trong nhiều thập kỷ không còn cần là một phần của quá trình đăng nhập nữa khi người dùng chuyển sang Passkey – đây là một giải pháp thay thế thân thiện với người dùng mang lại khả năng phục hồi tổng thể mạnh mẽ hơn.

Khi chúng tôi nhằm mục đích tăng tốc các biện pháp phòng thủ mạng của Anh trên quy mô lớn, việc chuyển sang Passkey là điều tất cả chúng ta có thể làm để cải thiện bảo mật cho các dịch vụ kỹ thuật số hàng ngày và chuẩn bị cho các mối đe dọa mạng hiện đại cũng như trong tương lai."

Passkey hoạt động bằng cách tạo ra một cặp khóa mã hóa giữa thiết bị của người dùng và tài khoản được bảo vệ. Chúng không thể bị đoán hoặc bị lừa đảo (phishing), nhanh hơn mật khẩu tới 8 lần và loại bỏ sự mệt mỏi khi phải tạo và ghi nhớ thông tin đăng nhập.

Trong nhiều năm, Passkey được coi rộng rãi là "kẻ sát thủ" tương lai của mật khẩu. Việc thúc đẩy việc áp dụng Passkey là một bước tiếp theo mà NCSC thực hiện để nâng cao trạng thái an ninh của Anh.

Richard Horne, Giám đốc điều hành của cơ quan này, cho biết tuần này số lượng các cuộc tấn công mạng mang tầm quan trọng quốc gia nhằm vào Anh đang ở mức tương tự như tháng 10, thời điểm NCSC ghi nhận 4 cuộc tấn công mỗi tuần.

Căn cứ vào tình hình địa chính trị hiện tại và các mô hình AI ngày càng tinh vi đang đe dọa các nhà phòng thủ, ông Horne kêu gọi các tổ chức ưu tiên vệ sinh an ninh khi đất nước bước vào một giai đoạn "bất ổn đầy biến động".