Mật khẩu là gì và điều này có ý nghĩa gì đối với ứng dụng tiêu dùng của bạn?

Mật khẩu đã là một mối quan tâm lâu dài. Nổi tiếng là nhiều người trong chúng ta mặc định sử dụng những mật khẩu yếu, dễ đoán và ngay cả khi không làm như vậy, việc ghi nhớ những mật khẩu phức tạp cũng trở thành một thách thức.

Thực tế đáng lo ngại là ngay cả những mật khẩu mạnh với sự kết hợp phức tạp cũng không tránh khỏi lừa đảo và lừa đảo. Trình quản lý mật khẩu là giải pháp tạm thời nhưng chúng có những thiếu sót và lỗ hổng.

Nhưng chân trời này mang đến một điều gì đó đầy hứa hẹn: Sau gần mười năm hình thành, mật mã được thiết lập để cách mạng hóa an ninh kỹ thuật số của chúng ta. Dưới đây là phần giới thiệu sơ lược về chúng là gì, cách chúng được thiết lập để thay đổi bối cảnh xác thực kỹ thuật số và điều này sẽ có ý nghĩa gì đối với ứng dụng tiêu dùng của bạn.

Hiểu mật mã

Thay vì kết hợp tên người dùng-mật khẩu truyền thống, mật mã cung cấp một phương pháp an toàn và dễ dàng hơn để đăng nhập vào các nền tảng trực tuyến. Vẻ đẹp của mật mã nằm ở sự phụ thuộc của chúng vào mật mã khóa công khai. Không đi sâu vào các vấn đề kỹ thuật – mỗi khi bạn đăng nhập, thiết bị của bạn sẽ nhận được thông tin xác thực đăng nhập duy nhất.

Quá trình này giảm thiểu nguy cơ tin tặc lấy được thông tin của bạn. Bước đột phá này là kết quả nỗ lực của Liên minh FIDO, một tập đoàn gồm những gã khổng lồ công nghệ như Apple, Google, Microsoft và nhiều công ty khác, những người đã nhận ra nhu cầu cấp thiết về một phương pháp xác thực an toàn hơn.

Mật khẩu hoạt động như thế nào?

Mật mã nằm dưới sự bảo trợ của Xác thực Web (WebAuthn). Hệ thống này tận dụng mật mã khóa công khai, một phương pháp đã được thử và kiểm tra được sử dụng bởi nhiều nền tảng thanh toán và nhắn tin an toàn khác nhau.

Đây là một sự cố ngắn gọn:

Khóa công khai và khóa riêng: Khi tạo tài khoản, hai khóa sẽ được tạo. Khóa chung được lưu trữ trên máy chủ của dịch vụ không cần phải bí mật. Ngược lại, khóa riêng vẫn được bảo vệ an toàn trên thiết bị của bạn.

Quy trình xác thực: Khi đăng nhập, dịch vụ sẽ sử dụng khóa chung của bạn để xác thực thiết bị của bạn. Khóa riêng trên thiết bị của bạn đáp ứng được thách thức này mà không tiết lộ bất kỳ chi tiết nhạy cảm nào. Điều này đảm bảo xác thực an toàn, chống hacker.

Đối với người dùng, quá trình này phần lớn vẫn vô hình. Một lời nhắc đơn giản trên thiết bị hoặc trình duyệt về mã PIN hoặc xác minh sinh trắc học, như FaceID hoặc TouchID, là tất cả những gì bạn sẽ gặp phải.

Mật mã có một lớp bổ sung giúp đồng bộ hóa các khóa này giữa các dịch vụ đám mây của các công ty công nghệ lớn (Apple, Google, Microsoft). Lớp quan trọng này lấp đầy khoảng trống về trải nghiệm người dùng, cho phép chuyển đổi liền mạch giữa các thiết bị mà không cần đăng ký lại khóa, được coi là khoảng cách đáng kể đối với việc áp dụng FIDO2 một cách chính thống.

Vì Mật mã, theo định nghĩa, bao gồm nhiều yếu tố nên nó đáp ứng định nghĩa về Xác thực đa yếu tố (MFA), cụ thể đáp ứng các điều sau:

• Yếu tố sở hữu (thứ bạn có) – Người dùng sở hữu thiết bị chứa khóa riêng
• Yếu tố kế thừa hoặc Yếu tố kiến ​​thức – Sinh trắc học của người dùng (FaceID, Touch ID, Dấu vân tay) hoặc Mã PIN thiết bị

Các thuộc tính này làm cho Mật mã trở thành yếu tố xác thực duy nhất hợp lệ cho các trường hợp đăng nhập hoặc bổ sung cho các yếu tố khác trong các trường hợp xác thực nâng cao. Kiểm tra cái này Bản demo mật khẩu để triển khai trong thế giới thực.

Khả năng tương thích của thiết bị

Hiện tại, chức năng đa nền tảng cho mật mã vẫn đang được hoàn thiện. Các thiết bị iOS và macOS của Apple hỗ trợ mật mã, cũng như các thiết bị Android của Google. Microsoft cũng đang tăng cường hỗ trợ cho mật mã, với các bản cập nhật quan trọng sắp ra mắt.

Đây là thông tin cập nhật danh sách hỗ trợ thiết bị.

Bạn có thể làm gì để bắt đầu triển khai mật khẩu?

Việc triển khai mật mã có thể đơn giản, miễn là bạn có sẵn cơ sở hạ tầng cần thiết. Một phần quan trọng trong kiến ​​trúc của bạn là máy chủ hoặc dịch vụ phụ trợ WebAuthn, cung cấp các điểm cuối API phụ trợ để quản lý toàn bộ vòng đời của việc quản lý mật mã.

Sau khi dịch vụ WebAuthn được thiết lập, quyền truy cập vào SDK và thư viện phía máy khách là cần thiết để thực hiện các nghi thức xác minh và đăng ký phía máy khách. Tin vui là hiện nay có rất nhiều thư viện phía máy khách có sẵn rộng rãi có thể đơn giản hóa quy trình. Ví dụ: Authsignal cung cấp SDK sau tại đây:

• SDK Javascript dành cho mật mã
• Phản ứng SDK gốc cho mật mã
• SDK iOS dành cho mật mã
• SDK Android dành cho mật mã

Điều quan trọng cần lưu ý là việc tích hợp kỹ thuật chỉ là một phần của việc triển khai rộng hơn. Trải nghiệm người dùng và những cân nhắc về bảo mật cần được hiểu rõ. Các cân nhắc triển khai mật mã được giải thích chi tiết trong một bài đăng trên blog.

Passkeys, tương lai là bây giờ.

Chúng ta hiện đang ở điểm giao nhau thú vị của sự phát triển nhanh chóng của công nghệ Passkeys. Các trình duyệt và thiết bị hiện đại, đặc biệt là trong hệ sinh thái Apple và Android, hỗ trợ rộng rãi Passkey và các ứng dụng tiêu dùng phổ thông hiện đang phát hành các tính năng Passkey (ví dụ: Kayak, TikTok). Cuối cùng, việc tích hợp kỹ thuật đã trở nên đơn giản hơn nhờ các giải pháp mã khóa sẵn có như Authsignal, cung cấp tất cả các bộ phận cấu thành như dịch vụ WebAuthn phụ trợ và SDK máy khách.

Không nên có bất kỳ lý do hoặc rào cản chính nào để ứng dụng của bạn sử dụng Mật khẩu như một phần quan trọng trong cách bạn tương tác với khách hàng, mang đến cho họ trải nghiệm người dùng liền mạch nhưng quan trọng hơn là một trải nghiệm có tính bảo mật cao.