Google Passkey là gì: Một cách thức mới để nói lời tạm biệt với mật khẩu truyền thống

Tôi xin bắt đầu bằng một sự thật đau lòng: hầu hết mọi người đều gặp vấn đề trong việc quản lý mật khẩu của mình.

Hoặc là tất cả các tài khoản đều dùng chung một mật khẩu (tiện lợi, nhưng nếu một tài khoản bị đánh cắp, tất cả đều mất), hoặc mật khẩu quá phức tạp khiến bạn khó nhớ (và bạn cứ phải bấm "quên mật khẩu"), hoặc có xác thực hai bước nhưng bạn phải lấy điện thoại ra và nhập mã xác thực mỗi lần đăng nhập (quá phiền phức đến mức bạn muốn đập vỡ điện thoại).

Ứng dụng Passkey của Google, được hãng này quảng bá rầm rộ từ năm 2023, nhằm giải quyết tất cả những vấn đề này cùng một lúc. Không cần phải nhớ mật khẩu hay nhập mã xác minh; chỉ cần quét dấu vân tay hoặc khuôn mặt để đăng nhập.

Nghe giống như một bộ phim khoa học viễn tưởng? Thực ra, điều đó không hề xa vời. Hãy đọc tiếp.

Passkey thực chất là gì?

Cách hiểu đơn giản nhất: Passkey chỉ đơn giản là sử dụng dấu vân tay, nhận diện khuôn mặt hoặc khóa màn hình thay vì mật khẩu .

Bạn dùng gì để mở khóa điện thoại? Vân tay hay nhận diện khuôn mặt, đúng không? Passkey hoạt động dựa trên cùng một nguyên tắc—chỉ khác là nó không dùng để mở khóa điện thoại mà để đăng nhập vào tài khoản Google của bạn (và ngày càng nhiều trang web khác).

Cụ thể, sau khi bạn thiết lập mật khẩu cho tài khoản Google của mình, lần đăng nhập tiếp theo:

1. Mở trang đăng nhập Google và nhập địa chỉ email của bạn.
2. Hệ thống sẽ hiển thị một cửa sổ yêu cầu bạn xác minh danh tính.
3. Bạn nhấn vào cảm biến vân tay / nhìn vào camera / nhập mật khẩu khóa màn hình điện thoại.
4. Xong rồi, vào thẳng luôn.

Không có ô nhập mật khẩu, không có mã xác minh SMS, và không có thông báo "Vui lòng mở ứng dụng Google Authenticator". Toàn bộ quá trình chỉ mất hai hoặc ba giây.

Các nguyên tắc cơ bản (bạn có thể bỏ qua phần này nếu không muốn đọc các chi tiết kỹ thuật)

Passkey dựa trên một tiêu chuẩn kỹ thuật có tên là FIDO2/WebAuthn . Đây không phải là công nghệ độc quyền do Google phát triển, mà là một tiêu chuẩn mở được thiết lập bởi Liên minh FIDO, với sự tham gia của các ông lớn như Apple, Microsoft và Google.

Nguyên tắc đơn giản hóa như sau:

Khi bạn tạo Passkey, thiết bị của bạn (điện thoại hoặc máy tính) sẽ tạo ra một cặp khóa:

• Khóa riêng tư — được lưu trữ cục bộ trên thiết bị của bạn và không bao giờ được gửi đi bất cứ đâu.
• Khóa công khai — được gửi đến máy chủ của Google để lưu trữ.

Khi bạn đăng nhập, máy chủ của Google sẽ gửi một "thử thách" đến thiết bị của bạn. Thiết bị của bạn sẽ ký thử thách đó bằng khóa riêng và gửi lại. Sau đó, Google sẽ xác minh chữ ký bằng khóa công khai của mình. Nếu quá trình xác minh thành công, bạn sẽ được phép đăng nhập.

Điểm mấu chốt là khóa riêng tư của bạn không bao giờ rời khỏi thiết bị của bạn . Máy chủ của Google chỉ lưu trữ khóa công khai. Ngay cả khi Google bị tấn công (mặc dù xác suất cực kỳ thấp), tin tặc cũng không thể sử dụng khóa công khai vì nó không thể dùng để đăng nhập.

Điều này hoàn toàn khác với mật khẩu truyền thống. Mật khẩu truyền thống dựa trên giả định rằng "bạn biết một bí mật, và máy chủ cũng biết bí mật đó", nghĩa là tin tặc có thể đăng nhập miễn là chúng có được bí mật từ một trong hai phía. Mặt khác, Passkey dựa trên giả định rằng "chỉ thiết bị của bạn biết bí mật, chứ không phải máy chủ", do đó loại bỏ khả năng rò rỉ mật khẩu ngay từ đầu.

Ưu điểm của phương pháp này so với mật mã truyền thống là gì?

Không sợ bị tấn công khi đánh bắt cá

Lỗ hổng bảo mật lớn nhất của mật khẩu truyền thống không phải là tấn công vét cạn (brute-force attacks), mà là lừa đảo trực tuyến (phishing). Kẻ gian tạo ra một trang đăng nhập Google giả mạo; một khi bạn nhập mật khẩu, nó sẽ rơi vào tay chúng.

Passkey không hoạt động theo cách đó. Thiết bị của bạn sẽ xác minh tên miền thật của trang web trong quá trình xác thực. Nếu tên miền của trang web giả mạo không trùng khớp với tên miền thật accounts.google.com , thiết bị sẽ từ chối xác minh. Bạn thậm chí không cần phải tự mình phân biệt giữa trang web thật và giả – thiết bị sẽ làm điều đó cho bạn.

Không sợ bị rò rỉ mật khẩu

Vì hoàn toàn không có mật khẩu. Máy chủ không lưu trữ bất kỳ thông tin đăng nhập nào có thể được sử dụng để đăng nhập trực tiếp. Rò rỉ cơ sở dữ liệu? Không thành vấn đề; khóa công khai là công khai, nên nó vô dụng đối với họ.

Không sợ các cuộc tấn công đánh cắp thông tin đăng nhập

Kỹ thuật được gọi là "tấn công nhồi nhét thông tin đăng nhập" liên quan đến việc tin tặc lấy được tên người dùng và mật khẩu bị rò rỉ từ một trang web và thử chúng trên các trang web khác. Vì nhiều người sử dụng cùng một mật khẩu, nên chiến thuật này thường hiệu quả. Tuy nhiên, Passkey được liên kết với một trang web cụ thể, và mỗi trang web có một cặp khóa duy nhất, vì vậy không có khái niệm "tấn công nhồi nhét thông tin đăng nhập" với Passkey.

Trải nghiệm đăng nhập tốt hơn rất nhiều.

Không cần nhớ mật khẩu, không cần nhập mã xác nhận, không cần chờ tin nhắn SMS. Chỉ cần chạm vân tay là xong. Thành thật mà nói, một khi đã quen với nó, việc quay lại nhập mật khẩu sẽ cảm thấy vô cùng lạc hậu.

Hướng dẫn cách thiết lập mã xác thực (Passkey) cho tài khoản Google của bạn.

Quá trình cài đặt rất đơn giản và có thể hoàn tất trong năm phút.

Thiết lập trên điện thoại của bạn

1. Mở myaccount.google.com trong trình duyệt của bạn.
2. Đăng nhập vào tài khoản Google của bạn
3. Vào trang "Bảo mật"
4. Tìm "Mã truy cập và khóa bảo mật" .
5. Nhấp vào "Tạo khóa"
6. Hãy làm theo hướng dẫn để xác minh dấu vân tay hoặc nhận diện khuôn mặt của bạn.
7. Hoàn thành

Nếu bạn đã đăng nhập vào tài khoản Google trên điện thoại Android của mình, hệ thống có thể đã tự động tạo mã xác thực (Passkey) cho bạn; bạn có thể kiểm tra mã này trong phần cài đặt.

Thiết lập trên máy tính của bạn

1. Mở trình duyệt Chrome và truy cập myaccount.google.com
2. Tương tự, hãy vào "Bảo mật" → "Khóa và Khóa bảo mật".
3. Nhấp chuột để tạo
4. Nếu máy tính của bạn hỗ trợ nhận dạng vân tay (chẳng hạn như Touch ID trên MacBook), bạn có thể xác minh danh tính trực tiếp bằng dấu vân tay của mình.
5. Nếu máy tính của bạn không có tính năng xác thực sinh trắc học, bạn có thể chọn tạo một tính năng bằng cách quét mã QR bằng điện thoại di động của mình.

Có thể cài đặt trên nhiều thiết bị.

Một tài khoản Google có thể được liên kết với nhiều Passkey. Bạn nên thiết lập một Passkey trên các thiết bị thường dùng: một trên điện thoại, một trên máy tính và một trên máy tính bảng. Bằng cách này, bạn có thể đăng nhập nhanh chóng bất kể bạn sử dụng thiết bị nào.

Câu hỏi thường gặp

Tôi nên làm gì nếu bị mất điện thoại?

Đây là mối lo ngại lớn nhất của mọi người. Câu trả lời là: Đừng hoảng sợ .

Thứ nhất, ngay cả khi ai đó tìm thấy điện thoại của bạn, họ cũng không thể sử dụng Passkey vì họ vẫn cần dấu vân tay hoặc nhận diện khuôn mặt của bạn để truy cập. Thứ hai, mật khẩu tài khoản Google ban đầu và xác thực hai bước của bạn vẫn chưa bị xóa; Passkey là một phương thức đăng nhập bổ sung, chứ không phải là thay thế. Ngay cả khi điện thoại của bạn bị mất, bạn vẫn có thể đăng nhập bằng mật khẩu; chỉ cần vào cài đặt và xóa Passkey cho thiết bị bị mất.

Ngoài ra, nếu bạn đang sử dụng iPhone, Passkey sẽ được đồng bộ hóa với các thiết bị Apple khác của bạn thông qua iCloud Keychain. Các thiết bị Android sẽ đồng bộ hóa thông qua Google Password Manager. Vì vậy, ngay cả khi một thiết bị bị mất, Passkey trên các thiết bị khác vẫn sẽ được giữ nguyên.

Mã khóa có thể sử dụng được trên nhiều thiết bị khác nhau không?

Có, bạn có thể. Nếu bạn đã tạo mã Passkey trên điện thoại, bạn có thể chọn "Sử dụng thiết bị khác" khi đăng nhập trên máy tính, sau đó quét mã QR trên màn hình máy tính bằng điện thoại và xác minh danh tính của mình trên điện thoại. Cách này không thực sự tiện lợi, nhưng hoàn toàn chấp nhận được nếu chỉ sử dụng thỉnh thoảng.

Nếu tôi thiết lập Passkey, tôi vẫn có thể sử dụng mật khẩu cũ của mình được không?

Đúng vậy. Hiện tại, Passkey và mật khẩu cùng tồn tại. Việc thiết lập Passkey sẽ không xóa mật khẩu của bạn, và bạn luôn có thể quay lại đăng nhập bằng mật khẩu. Chính sách hiện tại của Google là nhắc bạn sử dụng Passkey, nhưng điều đó không bắt buộc.

Những thiết bị nào hỗ trợ tính năng này?

• iPhone — iOS 16 trở lên
• Android — Android 9 trở lên (khuyến nghị Android 14 trở lên để có trải nghiệm tốt hơn)
• Mac — macOS Ventura trở lên
• Windows — Windows 10 trở lên (thông qua Windows Hello)
• Trình duyệt — Chrome 109+, Safari 16+, Edge 109+

Nếu thiết bị của bạn cũ, nó có thể không được hỗ trợ. Tuy nhiên, các thiết bị được mua sau năm 2023 nhìn chung sẽ tương thích.

Ngoài Google, còn những trang web nào khác hỗ trợ Passkey?

Danh sách này đang ngày càng dài ra. Hiện tại, các công ty được hỗ trợ bao gồm: Apple, Microsoft, GitHub, PayPal, Amazon, eBay, WhatsApp, TikTok, Uber, Shopify, Adobe, Nintendo… và vẫn đang tiếp tục mở rộng. Bạn có thể xem danh sách đầy đủ các công ty được hỗ trợ passkeys.directory .

Liệu Passkey có thể thay thế hoàn toàn mật khẩu không?

Việc đó sẽ không xảy ra trong ngắn hạn, nhưng rất có khả năng sẽ xảy ra trong dài hạn.

Hiện tại, Passkey vẫn còn một số vấn đề thực tiễn:

• Thiếu nhận thức của người dùng — nhiều người đơn giản là không biết điều này tồn tại.
• Yêu cầu thiết bị — Ứng dụng này yêu cầu thiết bị được hỗ trợ để sử dụng, do đó gây bất tiện khi sử dụng trên máy tính công cộng.
• Hệ sinh thái vẫn đang phát triển — việc đồng bộ hóa giữa các nền tảng (như từ iPhone sang Windows) vẫn chưa đủ mượt mà.
• Hỗ trợ website chưa hoàn thiện – nhiều website quy mô nhỏ và vừa vẫn chưa được tích hợp.

Nhưng xu hướng này rất rõ ràng. Năm 2024, Google thông báo rằng việc sử dụng Passkey đã vượt qua xác thực hai bước truyền thống. Apple và Microsoft cũng đang tích cực thúc đẩy công nghệ này trong hệ sinh thái của họ. Liên minh FIDO đang nỗ lực giải quyết vấn đề đồng bộ hóa đa nền tảng.

Trong vòng ba đến năm năm tới, bạn có thể sẽ không còn phải đặt mật khẩu khi đăng ký tài khoản mới; bạn chỉ cần tạo một Passkey (mã khóa truy cập).

Khuyến nghị: Hãy bắt đầu sử dụng ngay bây giờ.

Bạn không cần phải chờ đến khi Passkey trở nên phổ biến rộng rãi mới bắt đầu sử dụng. Bạn có thể thêm một Passkey vào tài khoản Google của mình ngay bây giờ và trải nghiệm cảm giác đăng nhập không cần mật khẩu.

Gợi ý vận hành:

1. Trước tiên, hãy tạo một mật khẩu trên thiết bị bạn sử dụng thường xuyên nhất và làm quen với quy trình đăng nhập.
2. Đừng xóa mật khẩu gốc và mã xác thực hai bước của bạn ; hãy sử dụng Passkey như một phương thức đăng nhập nhanh bổ sung.
3. Hãy cấu hình nó trên 2-3 thiết bị thường xuyên sử dụng để tránh điểm lỗi duy nhất.
4. Hãy kiểm tra xem các tài khoản bạn thường dùng khác (Apple ID, GitHub, Amazon, v.v.) có hỗ trợ Passkey hay không; nếu có, hãy thiết lập chúng luôn.

Mật khẩu đã tồn tại hàng chục năm; đã đến lúc cần thay đổi. Mã khóa truy cập (Passkey) không phải là công nghệ tương lai; chúng đã được sử dụng từ lâu. Vì chúng vừa an toàn hơn lại vừa tiện lợi hơn, nên không có lý do gì để không thử sử dụng chúng.