Bạn có bao giờ tính xem mình phải nhớ bao nhiêu mật khẩu? Theo thống kê của NordPass, một người dùng trung bình phải quản lý 70-80 mật khẩu khác nhau. Microsoft vừa tuyên bố sẽ triển khai passkey cho Windows từ cuối tháng 4, hứa hẹn chấm dứt cơn ác mộng này. Đây không chỉ là bước tiến công nghệ mà còn là cuộc cách mạng trong cách chúng ta bảo vệ dữ liệu cá nhân.

Passkey - Vũ khí mới chống phishing của Microsoft

Passkey là công nghệ xác thực không cần mật khẩu, sử dụng cặp khóa mã hóa (cryptographic key pair) để thay thế mật khẩu truyền thống. Khác với mật khẩu có thể bị đánh cắp hoặc đoán ra, passkey tạo ra một "chữ ký số" độc nhất cho mỗi lần đăng nhập. Chúng tôi cho rằng đây là bước tiến vượt bậc, vì passkey hoàn toàn miễn nhiễm với các cuộc tấn công phishing - loại tấn công chiếm 32% tổng số vụ vi phạm dữ liệu toàn cầu.

Khi triển khai trên Windows, passkey sẽ tích hợp với Microsoft Entra (tên mới của Azure Active Directory), cho phép người dùng đăng nhập bằng sinh trắc học hoặc PIN. Quá trình này diễn ra hoàn toàn offline trên thiết bị, khiến hacker không thể can thiệp từ xa. So với các giải pháp Multi-Factor Authentication (MFA) hiện tại vẫn có thể bị bypass, passkey tạo ra lớp bảo vệ "không thể xuyên thủng".

Cuộc chiến công nghệ đằng sau passkey

Passkey hoạt động dựa trên chuẩn WebAuthn và FIDO2, được phát triển bởi FIDO Alliance - liên minh có sự tham gia của Google, Apple, Microsoft. Khi bạn đăng nhập, thiết bị sẽ tạo ra một cặp khóa: private key lưu trữ an toàn trên thiết bị, public key gửi lên server. Chúng tôi đánh giá cao kiến trúc này vì ngay cả khi server bị hack, hacker chỉ có được public key - hoàn toàn vô dụng để truy cập tài khoản.

Điều đặc biệt là passkey có thể đồng bộ giữa các thiết bị qua iCloud Keychain (Apple) hoặc Google Password Manager, nhưng vẫn được mã hóa end-to-end. Microsoft đang phát triển hệ sinh thái tương tự, hứa hẹn tạo ra trải nghiệm liền mạch từ Windows đến các dịch vụ cloud. Theo nghiên cứu của FIDO Alliance, passkey giảm 99,9% nguy cơ bị tấn công credential stuffing - loại tấn công sử dụng mật khẩu bị rò rỉ để thử nghiệm trên nhiều trang web.

Tác động sâu rộng đến doanh nghiệp và người dùng

Con số từ IBM Security cho thấy một vụ rò rỉ dữ liệu trung bình gây thiệt hại 4,45 triệu USD, trong đó 19% là do credentials bị đánh cắp. Passkey có thể giảm đáng kể con số này. Đối với doanh nghiệp Việt Nam, việc Microsoft tích hợp passkey vào hệ sinh thái Office 365 và Azure sẽ tạo ra lợi thế cạnh tranh rõ rệt. Các công ty không còn phải đầu tư vào hệ thống quản lý mật khẩu phức tạp hay lo lắng về việc nhân viên sử dụng mật khẩu yếu.

Tuy nhiên, chúng tôi nhận thấy thách thức lớn nhất là thói quen người dùng. Theo khảo sát của Verizon, 61% người dùng vẫn sử dụng chung mật khẩu cho nhiều tài khoản. Passkey đòi hỏi thiết bị hỗ trợ sinh trắc học hoặc TPM (Trusted Platform Module), có thể tạo ra "khoảng cách số" với người dùng có thiết bị cũ. Microsoft cần có chiến lược hỗ trợ chuyển đổi tốt để tránh tình trạng người dùng "bị bỏ lại phía sau".

Lộ trình chuẩn bị cho người dùng Việt Nam

Để sẵn sàng cho kỷ nguyên passkey, doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra thiết bị Windows hiện tại có hỗ trợ Windows Hello hay không - đây là nền tảng cần thiết cho passkey. Thứ hai, cập nhật lên Windows 11 phiên bản mới nhất và đảm bảo TPM 2.0 được kích hoạt trong BIOS/UEFI. Thứ ba, bắt đầu đào tạo nhân viên làm quen với xác thực sinh trắc học thay vì nhập mật khẩu.

Chúng tôi khuyến nghị người dùng cá nhân nên bắt đầu sử dụng passkey trên các dịch vụ đã hỗ trợ như Google, PayPal, Adobe để làm quen. Đồng thời, hãy đảm bảo thiết bị có cảm biến vân tay hoặc camera Windows Hello để tận dụng tối đa tính năng mới. Quan trọng nhất, đừng vội xóa password manager - quá trình chuyển đổi sẽ diễn ra từ từ và bạn vẫn cần mật khẩu cho các dịch vụ chưa hỗ trợ passkey. Microsoft đã mở ra tương lai không mật khẩu, nhưng thành công hay không phụ thuộc vào sự chuẩn bị kỹ lưỡng từ bây giờ.