Toàn bộ thông tin xác thực được gắn chặt với một thiết bị và một tài khoản nền tảng (Apple ID, Google Account,…). Không thể phủ nhận rằng với những người thường xuyên quên mật khẩu hoặc quản lý nhiều tài khoản, Passkey là một giải pháp hiệu quả. Nếu thiết bị thất lạc, bị đánh cắp hoặc bị xâm nhập, người dùng không chỉ mất một mật khẩu mà còn mất toàn bộ danh tính số.
Việc toàn bộ thông tin xác thực được gắn chặt với một thiết bị và một tài khoản nền tảng cũng gia tăng rủi ro mất toàn bộ thông tin nhạy cảm của người dùng (ảnh minh họa). Nguồn: Tom’s Guide.
Nếu người dùng có khả năng ghi nhớ tốt thì Passkey lại không thật sự cần thiết. Dù vậy, các phương pháp truyền thống này lại tiềm ẩn nguy cơ thất lạc, quên hoặc không đủ an toàn nếu không có lớp mã hóa và bảo vệ kỹ lưỡng. Cuối cùng, lựa chọn nào phù hợp còn tùy vào thói quen cá nhân và mức độ kiểm soát mà người dùng mong muốn.
Liệu Passkey là một lớp rào mới của “độc quyền hệ sinh thái”?
Dù Passkey được quảng bá là một chuẩn mở dựa trên FIDO2 và WebAuthn, việc triển khai Passkeys lại chủ yếu nằm trong tay các công ty công nghệ lớn: Apple, Google, Microsoft,… Mỗi nền tảng lại xây dựng cơ chế lưu trữ, đồng bộ và xác thực riêng biệt.
Việc triển khai Passkeys chủ yếu nằm trong tay các ông lớn công nghệ như: Apple, Google và Microsoft (ảnh minh họa). Nguồn: Tom’s Guide.
Apple
Ví dụ, Apple lưu trữ Passkeys trong iCloud Keychain, trình quản lý mật khẩu tích hợp sẵn trên các thiết bị Apple và gắn liền với tài khoản Apple ID. Điều này cho phép người dùng đăng nhập nhanh chóng trên iPhone, iPad hoặc Mac mà không cần nhập mật khẩu. Tuy nhiên, nếu bạn chuyển sang thiết bị Android hoặc hệ điều hành khác, việc mang theo Passkeys không đơn giản. Apple hiện không hỗ trợ công cụ xuất hoặc đồng bộ Passkey sang nền tảng bên ngoài. Nếu bạn không sao lưu hoặc chuyển thủ công trước khi rời hệ sinh thái Apple, bạn sẽ mất quyền truy cập vào các tài khoản đã sử dụng phương thức xác thực này.
Theo chia sẻ từ trang Wired, tình trạng thiếu khả năng chuyển đổi này khiến Passkeys, dù là một chuẩn mở vẫn bị giới hạn tính di động do các ràng buộc hệ sinh thái mà Apple áp đặt.
Apple lưu trữ Passkeys trong iCloud Keychain nhưng nếu bạn chuyển sang hệ điều hành khác, việc mang theo Passkeys không đơn giản (ảnh minh họa). Nguồn: Medium.
Trang Techradar cho biết Google sử dụng Google Password Manager để lưu trữ và đồng bộ hóa Passkey thông qua tài khoản Google, tích hợp sâu trong hệ điều hành Android và trình duyệt Chrome. Điều này cho phép người dùng đăng nhập nhanh chóng vào các dịch vụ bằng vân tay hoặc mã PIN. Tuy nhiên, nếu bạn chuyển sang sử dụng các thiết bị thuộc hệ sinh thái Apple thì bạn cần cài đặt ứng dụng Google Password Manager hoặc dùng trình duyệt Chrome để truy cập các Passkey đã lưu.
Quy trình chuyển đổi giữa các nền tảng vẫn chưa được Google đơn giản hóa hoàn toàn, khiến trải nghiệm bị gián đoạn với người không rành công nghệ. Muốn dùng trên iPhone, bạn phải cài thêm ứng dụng phụ và quy trình không thân thiện với người dùng không chuyên.
Google sử dụng Google Password Manager để lưu trữ và đồng bộ hóa Passkey thông qua tài khoản Google. Nguồn: PCMag Australia.
Microsoft
Đối với Microsoft, trang Lifewire chia sẻ rằng nhà sản xuất này triển khai Passkey thông qua Windows Hello và ứng dụng Microsoft Authenticator. Khi bạn sử dụng Passkey với tài khoản Microsoft, thông tin xác thực được liên kết chặt chẽ với thiết bị và tài khoản Windows của bạn. Trong thực tế, nếu bạn chuyển sang hệ điều hành khác như macOS hoặc Android mà không có các công cụ hỗ trợ tương ứng, việc sử dụng lại các Passkey cũ gần như là không thể. Người dùng buộc phải thiết lập lại hoặc sử dụng phương thức xác thực khác, làm gián đoạn trải nghiệm đăng nhập liên tục và gia tăng rào cản khi người dùng muốn rời bỏ hệ sinh thái Windows.
Microsoft cũng triển khai passkeys thông qua Windows Hello và ứng dụng Microsoft Authenticator. Nguồn: Tom’s Hardware.
“Độc quyền hệ sinh thái”?
Theo bài viết từ Lifewire, việc đồng bộ Passkeys đang trở thành công cụ để các hãng “khóa chặt” người dùng trong hệ sinh thái của mình thay vì thực sự tạo điều kiện cho tính di động của danh tính số. Trên diễn đàn Redit của tài khoản r/privacy, nhiều người dùng cũng lo ngại rằng Passkeys đang bị lợi dụng như một hình thức “vendor lock-in” khi quyền truy cập của người dùng gắn hoàn toàn với nhà cung cấp nền tảng.
Bên cạnh đó, nếu bạn làm mất điện thoại thiết bị chứa tất cả Passkey và không bật đồng bộ hóa hoặc sao lưu, bạn có thể không thể đăng nhập vào bất kỳ dịch vụ nào nữa. Tệ hơn, nếu dữ liệu thiết bị bị rò rỉ hoặc lộ khoá riêng tư (trong trường hợp jailbreak, root máy, hoặc lỗ hổng hệ điều hành), nguy cơ mất quyền kiểm soát tài khoản là điều hoàn toàn khả thi.
Việc đồng bộ Passkeys đang trở thành công cụ để các hãng “khóa chặt” người dùng trong hệ sinh thái của mình. Nguồn: Dark Reading.
Các chuyên gia từ Usenix Security 2024 cảnh báo rằng Passkeys chưa đạt đến mức người dùng có thể xuất nhập hoặc quản lý dễ dàng giữa các dịch vụ. Dù FIDO Alliance đang xây dựng một tiêu chuẩn mới mang tên Credential Exchange Protocol (CXP) để khắc phục tình trạng này nhưng giải pháp này vẫn chưa khả thi.
Tạm kết
Passkeys mang đến trải nghiệm đơn giản, bảo mật hiện đại và hiệu quả hơn so với việc nhập mật khẩu truyền thống. Với sự hỗ trợ mạnh mẽ từ Apple, Google, Microsoft, viễn cảnh người dùng đăng nhập tài khoản không cần mật khẩu đang dần trở thành hiện thực.
Passkeys mang đến trải nghiệm đơn giản nhưng cũng có khả năng vô hình khiến người dùng dễ bị “khóa chặt” vào một hệ sinh thái. Nguồn: iMore.
Tuy nhiên, bên cạnh tiện lợi là những lớp rào vô hình khiến người dùng dễ bị “khóa chặt” vào một hệ sinh thái mà họ không dễ thoát ra. Việc kiểm soát danh tính, dữ liệu xác thực và khả năng khôi phục tài khoản ngày càng trở nên mờ nhạt đối với người dùng phổ thông.
Vậy còn bạn, bạn chọn sự tiện lợi hay quyền kiểm soát? Passkeys có thể là bước tiến, nhưng cũng có thể là cái bẫy. Sự lựa chọn, như mọi khi, vẫn hoàn toàn phụ thuộc vào bạn.
Xem thêm:
Nguồn:Baochinhphu.vn