Một Thế Giới Không Cần Mật Khẩu? Bạn Đừng Vội

Liên minh FIDO đang có kế hoạch cho một thế giới không cần mật khẩu đang trong hình thái cuối cùng, nhưng các nhà chế tạo việc đăng nhập không dùng mật khẩu thì hoài nghi.

Nó sẽ không thể tuyệt vời nếu chúng tôi có thể đào rãnh quanh mật khẩu và thay thế chúng bằng sinh trắc học và thiết bị điện tử xác thực người dùng dựa trên điện thoại thông minh? Liên minh FIDO (nhận dạng nhanh trực tuyến), một liên minh hậu thuẫn bởi rất nhiều cái tên thuộc hạng A trong ngành công nghệ, được công bố các chi tiết kỹ thuật cuối cùng của nó vào đầu tuần này để xử lý nó như thế nào.

Nhưng kế hoạch – liên quan đến UAF (cơ cấu xác nhận toàn cầu) và U2F (Universal 2 Factor) – có thể có một khe hở, theo Ping Identity, những người tạo ra một giải pháp đăng nhập không có mật khẩu cho các doanh nghiệp. Đó không thể là cái chết của mật khẩu, mà là một cách để giữ cho chúng không để ai thấy.

Hai tiêu chuẩn được tạo ra bởi Liên minh FIDO, U2F đã làm Paul Madsen nhướn lông mày, ông là kiến trúc sư kỹ thuật cao cấp tại Ping Identity. U2F “bình thường hóa một mô hình chứng thực yếu tố thứ hai,” ông đã viết trong một bài đăng trên blog, điều này có nghĩa là nó cung cấp một cách phù hợp để xác thực hai yếu tố được thực hiện mà không cần một trong hai yếu tố là một mặt hàng cụ thể. Điều này nhiều linh hoạt hơn so với những gì chúng tôi có bây giờ, nó là một sự phát triển tốt.

Nhưng các tin tức xấu, theo Madsen, là “U2F giả định rằng người sử dụng lần đầu tiên được chứng thực của một số cơ chế khác trước khi giao thức U2F chết. Điều gì làm bạn nghĩ rằng cơ chế khác sẽ có 98% thời gian? Ừ, các mật khẩu. “Madsen cũng lưu ý cách một mật khẩu (hoặc mã PIN) cũng có thể được sử dụng như một cơ chế dự phòng trong một số trường hợp, chẳng hạn như khi một chiếc điện thoại thiếu phần cứng sinh trắc học.

“Có lẽ chúng ta có thể nói rằng FIDO là ‘nhà tù của các mật khẩu”, Madsen đã viết,”giữ cho chúng bị cô lập (với điện thoại) và do đó việc bảo vệ xã hội khỏi sự tồi tệ nhất của các hành động đi quá giới hạn của họ.”

Cho rằng mật khẩu vẫn có thể nhập hình ảnh ở đâu đó trên đường đi, thậm chí với UAF và U2F đang được sử dụng, tôi hỏi Madsen ở đâu, khi sử dụng các tiêu chuẩn như thế, thì trách nhiệm chỉ đến trong việc tạo ra độ mạnh cho các mật khẩu. Đó có phải là một phần của tiêu chuẩn?

“Phụ thuộc vào viễn cảnh,” ông nói với tôi trong một email. “Nếu U2F (phiên bản yếu tố thứ hai của FIDO) được triển khai như là một yếu tố thứ hai với một mật khẩu, các giao thức FIDO là riêng biệt (và không nhớ tới) để xác thực dựa trên mật khẩu. Trách nhiệm để xác định một chính sách mật khẩu thích hợp rơi vào các doanh nghiệp . “

Ông cũng lưu ý những gì tạo nên “thích hợp” không phải là quy tắc cứng rắn và chặt chẽ – một doanh nghiệp có thể phục hồi một mật khẩu ngắn hơn hoặc mã PIN nếu doanh nghiệp cảm thấy yếu tố thứ hai là đủ mạnh để giảm nhẹ nó.

Mặc dù vậy, Madsen lưu ý rằng những lời chỉ trích của ông “không nên được hiểu theo nghĩa Ping không thấy giá trị to lớn trong các chi tiết kỹ thuật và các mô hình xác thực họ cho phép.”

FIDO có thể trích dẫn tên của nhiều công ty lớn như: Microsoft, Google, PayPal, MasterCard, và ngân hàng Mỹ, một số công ty đã bắt đầu triển khai các tiêu chuẩn FIDO. Như Madsen đã lưu ý: “PayPal và Samsung đã triển khai UAF cho các khoản thanh toán; Google đã triển khai U2F (thông qua Yubikey USB) cho người dùng cuối đăng nhập (chính tôi sửu dụng nó).”

Những triển khai chủ yếu là nhằm vào sự quan tâm của người tiêu dùng và thương nhân, doanh nghiệp thì vẫn chưa muộn. Nhưng Madsen tin rằng các triển khai cho FIDO trong doanh nghiệp sẽ tăng lên, “đặc biệt là khi một số công việc đang nổi lên về việc kết hợp FIDO với các giao thức liên đoàn như SAML & OpenID Connect làm cho vững chắc hơn.” Ngay cả trong sự trỗi dậy của một sự phát triển như vậy, có vẻ như việc bắt tuân theo các mật khẩu mạnh sẽ cần phải tồn tại trên một số cấp độ doanh nghiệp – phòng khi cần.

Nguồn bài viết : http://www.infoworld.com/