Trong thời đại số hóa, “xác thực không mật khẩu” được xem là một trong những bước tiến quan trọng nhất trong bảo mật. Người dùng có thể đăng nhập bằng vân tay, khuôn mặt hoặc khóa bảo mật thay vì phải nhớ hàng chục chuỗi ký tự phức tạp. Ý tưởng đó hứa hẹn một tương lai không còn nỗi lo quên mật khẩu hay bị lộ thông tin đăng nhập.

Tuy nhiên, thực tế lại phức tạp hơn nhiều. Dù công nghệ không mật khẩu đã được triển khai ở nhiều nơi, phần lớn doanh nghiệp vẫn đang “sống chung” với mật khẩu dù là trong các quy trình phụ trợ, hệ thống cũ hay khâu hỗ trợ người dùng.

​Vì sao "không mật khẩu" vẫn chỉ là khẩu hiệu?

Một khảo sát toàn cầu của RSA (Mỹ), một công ty hàng đầu về bảo mật danh tính, cho thấy có tới 90% tổ chức báo cáo những thách thức trong việc chuyển sang xác thực không mật khẩu. Điều này không chỉ bắt nguồn từ yếu tố kỹ thuật mà còn vì cấu trúc vận hành của doanh nghiệp quá phức tạp. Thông thường, công nghệ hiện nay chỉ có thể thay thế được khoảng 75 - 85% các tình huống xác thực, phần còn lại, khoảng 15%, thuộc về những hệ thống cũ kỹ hoặc đặc thù như môi trường công nghiệp, mạng nội bộ tách biệt, hay các thiết bị IoT và OT không tương thích với cơ chế mới.

Ông Will Townsend, Phó Chủ tịch kiêm nhà phân tích chính tại Moor Insights & Strategy, nhận xét rằng rất khó để loại bỏ hoàn toàn mật khẩu trong các môi trường công nghệ vận hành, nơi hàng nghìn thiết bị nhúng vẫn hoạt động dựa vào các giao thức truyền thống. Đó là những “mắt xích cứng đầu” khiến các tổ chức phải giữ lại mật khẩu chỉ để duy trì khả năng tương thích.

Ngay cả trong các hệ thống hiện đại hơn, mật khẩu vẫn len lỏi ở nhiều nơi mà người dùng không ngờ tới. Phần đăng nhập có thể đã dùng passkey hoặc sinh trắc học, nhưng các bước như đăng ký tài khoản mới, khôi phục quyền truy cập, hay hỗ trợ qua tổng đài vẫn cần mật khẩu hoặc mã xác thực qua SMS.

Ông Aaron Painter, CEO của Nametag nhận xét rằng việc giữ lại những luồng này chẳng khác nào “để lại cánh cửa phụ mở toang” cho kẻ tấn công. Khi cả mật khẩu và khóa bảo mật cùng tồn tại, bề mặt tấn công của tổ chức không hề thu hẹp mà thậm chí còn mở rộng thêm.

Cũng không thể bỏ qua yếu tố đa nền tảng. Một doanh nghiệp lớn ngày nay có thể cùng lúc vận hành hệ thống nội bộ, ứng dụng đám mây, phần mềm tùy chỉnh và hàng loạt thiết bị di động hoặc IoT. Mỗi nền tảng lại đòi hỏi cơ chế xác thực riêng, khiến việc áp dụng một chuẩn passwordless thống nhất gần như bất khả thi. Theo RSA, hơn một nửa các tổ chức được khảo sát cho rằng “thiếu hỗ trợ đa nền tảng” là rào cản lớn nhất trong hành trình tiến tới không mật khẩu.

​​​​​​​​​​​Hành trình dài từ "không mật khẩu" đến "rất ít mật khẩu"

Theo chuyên gia Jim Taylor của RSA, mục tiêu loại bỏ hoàn toàn mật khẩu trong doanh nghiệp hiện nay là chưa thực tế. Con số 85% có thể được xem là giới hạn khả thi trong giai đoạn này. Quan trọng hơn, thay vì cố đạt 100%, các tổ chức nên coi đây là một hành trình, nơi mỗi bước giảm phụ thuộc vào mật khẩu đều mang lại lợi ích thật sự.

Việc triển khai "không mật khẩu" có thể bắt đầu từ nhóm người dùng đặc quyền hoặc các hệ thống quan trọng, nơi nguy cơ rò rỉ thông tin cao nhất. Khi các nhóm này đã chuyển đổi thành công, doanh nghiệp có thể mở rộng ra các bộ phận khác. Đồng thời, quy trình đăng ký và khôi phục tài khoản cũng phải được bảo mật tương đương với khâu đăng nhập, nếu không thì “không mật khẩu” chỉ là vỏ bọc bên ngoài. Với những hệ thống cũ không hỗ trợ xác thực hiện đại, giải pháp trung gian như token tạm thời hoặc proxy ngược có thể giúp “giả lập” cơ chế mật khẩu trong khi vẫn duy trì được tính an toàn.

Thực tế cho thấy, xác thực không mật khẩu không phải là một đích đến, mà là một hành trình liên tục, tương tự như mô hình “zero trust”. Mỗi mật khẩu bị loại bỏ là một nguy cơ bị tấn công giảm đi, và việc tiến gần tới trạng thái “rất ít mật khẩu” đã là một thành công lớn.

Tóm lại, xác thực không mật khẩu là xu hướng tất yếu của kỷ nguyên số, hứa hẹn mang lại trải nghiệm thuận tiện và an toàn hơn cho người dùng. Nhưng để đạt được điều đó, doanh nghiệp cần nhìn nhận rõ những thách thức thực tế, từ hạ tầng kỹ thuật, mô hình vận hành đến thói quen người dùng. Nghịch lý “không mật khẩu nhưng vẫn có mật khẩu” có lẽ sẽ còn tồn tại trong một thời gian nữa, song điều quan trọng là mỗi bước tiến, dù nhỏ, đều góp phần rút ngắn khoảng cách tới một môi trường số an toàn hơn.

​​​​​Đăng Khoa

Xem thêm: