Mật khẩu tốt nhất là một chuỗi dài, vô nghĩa các ký tự, con số và dấu, một sự kết hợp chưa từng có bao giờ.

Một vài người rất đáng ngưỡng mộ khi họ nhớ được một chuỗi ngẫu nhiên các ký tự làm mật khẩu cho mình và vài tháng một lần lại thay đổi chúng bằng các chuỗi ngẫu nhiên khác. Trong khi đó, phần lớn chúng ta chọn một chuỗi ngắn, quen thuộc và dễ nhớ. Và thường bám chặt lấy chúng suốt đời.

Tôi đã từng rất lấy làm xấu hổ khi không thể chọn mật khẩu một cách hợp lý – nhưng giờ thì không còn thế nữa. Các chuyên gia bảo mật máy tính cho rằng việc chọn mật khẩu “khó dự đoán” cuối cùng cũng chẳng giúp an toàn hơn là bao. Mật khẩu không để giúp chúng ta tránh được nạn ăn cắp danh tính, bất kể chúng ta chọn chúng thông minh thế nào.

Điều này vẫn xảy ra ngay cả khi chúng ta nhất nhất tuân theo sự chỉ dẫn. Điều tra cho thấy người dùng chúng ta vẫn hứng thú một cách cứng đầu với các kiểu mật khẩu như “password”, “123456” và “ChoTôiVào” (LetMeIn). Tuy nhiên vấn đề ẩn dưới lại không phải là sự đơn giản của mật khẩu mà là bản thân quá trình đăng nhập. Đó là quá trình trong đó chúng ta truy cập vào một trang Web và đánh vào một chuỗi các ký tự để xác nhận danh tính chúng ta (hoặc sử dụng phần mềm quản lý mật khẩu tự động thay mặt mình nhập chuỗi đó vào).

Quá trình này – hiện vẫn được xem là hoàn hảo bởi chúng ta đã được huấn luyện lặp đi lặp lại hành động này quá nhiều – hóa ra ại là một ý tưởng tồi. Đây là quá trình mà không một chuyên gia bảo mật nào ủng hộ.

Việc đăng nhập dựa vào mật khẩu rất dễ bị tấn công dựa trên nhiều cách. Xem thử một mối đe dọa riêng lẻ được đưa ra bởi một phisher – kẻ chuyên lừa chúng ta click vào một trang web được thiết kế giả theo một trang web thật nhằm thu được thông tin đăng nhập của chúng ta. Một khi chúng ta bị bẫy ở một trang web nào đó và mật khẩu bị xoáy mất, điều đó có thể diễn ra ở các trang khác nữa.

Giải pháp đang được các chuyên gia đề xuất là bỏ mật khẩu đi – và chuyển sang một hình thức khác cơ bản, một thứ trong đó con người đóng vai trò rất ít hoặc thậm chí không tham gia vào quá trình đăng nhập. Thay vào đó, máy tính sẽ tiến hành một cuộc trao đổi được mã hóa để củng cố tính xác thực của cả hai bên, nó sẽ sử dụng khóa kỹ thuật số mà chúng ta, những người sử dụng không cần phải nhìn thấy.

Nói một cách ngắn gọn, chúng ta cần một hệ thống đăng nhập dựa vào mật mã chứ không dựa vào việc nhớ mật khẩu.

Là người sử dụng, chúng ta có thể thay thế mật khẩu bằng một cái gọi là thẻ thông tin, biểu tượng trên màn hình mà chúng ta lựa chọn để đăng nhập vào trang web sau mỗi lần click. Cú click này bắt đầu một cái bắt tay giữa các máy tính dựa vào mã được mã hóa “khó crack”. Phần mềm cần thiết tạo nên thẻ thông tin đó chiếm khoảng 20% máy tính, so với 10% một năm trước đây. Máy tính sử dụng Windows Vista đã được trang bị sẵn nhưng Windows XP, Mac và Linux lại cần phải download.

Đó mới chỉ là một nửa trận chiến. Một nửa còn lại là: các trang web cần phải được thuyết phục để chấp nhận công nghệ thẻ thông tin cho quá trình đăng nhập.

Tuy nhiên trong tương lai gần chúng ta sẽ khó có thể có được bước tiến lớn trong công nghệ thẻ thông tin, bởi sự lãng phí nguồn lực và sự chú ý vào trò tiêu khiển: dự án OpenID. OpenID quảng bá cho “Đăng nhập duy nhất” (Single Sign-On), theo đó, chỉ cần sử dụng một mật khẩu để đăng nhập vào tất cả các trang web chấp nhận OpenID.

OpenID tạo ra được chút ít thuận tiện, nhưng nó lại lờ đi các nguy cơ bảo mật cố hữu trong quá trình nhập mật khẩu vào trang web của một người khác. Tuy nhiên, cứ vài tháng, lại có một công ty lớn nào đó tuyên bố hợp tác với OpenID; điển hình như Google, IBM, Microsoft và Yahoo.

OpenID đang dắt mũi cả một bộ sậu các tập đoàn. Tháng trước, khi MySpace tuyên bố sẽ hỗ trợ chuẩn này, tổ chức phi lợi nhuận OpenID.net đã huênh hoang rằng số lượng “người có khả năng sử dụng OpenID” đã vượt quá con số 500 triệu và rằng “rõ ràng bây giờ mới bắt đầu bùng nổ”

Tuy nhiên rõ ràng là việc hỗ trợ OpenID đang bị hạn chế. Mỗi công ty lớn được cho là ủng hộ OpenID rất sẵn lòng lập một nhận dạng OpenID cho khách, thứ có thể sử dụng tại trang web của mình, nhưng lại không tin vào các OpenID được lập bởi các trang khác. Bạn không thể sử dụng OpenID do Microsoft lập cho Yahoo, cũng như không thể sử dụng OpenID của Yahoo cho Microsoft.

Tại sao không? Bởi vì các công ty này nhận thấy quá trình đăng nhập dựa vào mật khẩu được thực hiện ở chỗ khác có thể bị tấn công bằng rất nhiều cách. Họ không muốn phải gánh trách nhiệm cho những thứ phiền phức bắt nguồn từ các trang web khác.

Khi tôi hỏi Scott Kveton, chủ tịch của tổ chức OpenID về những lời chỉ trích OpenID, ông đã trả lời một cách thẳng thắn “Chúng ta đều biết, mật khẩu đã hoàn toàn bị phá vỡ”. Ông nói các lựa chọn bảo mật mới, như phần mềm làm việc với OpenID cài đặt trong trình duyệt đang được chào đón hơn. “Đối với việc bảo mật, không có đạn bạc và sẽ không bao giờ có”

Kim Cameron, kỹ sư thiết kế nhận dạng cao cấp của Microsoft, là một người rất tâm huyết với thẻ thông tin, thứ không chỉ an toàn hơn nhiều hệ thống bảo mật dựa vào mật khẩu, mà còn có thể tùy biến được, cho phép người sử dụng có thể hạn chế những không tin nào được tiết lộ đối với những trang web nhất định. “Tôi không thích Đăng nhập một lần (Single Sign-On)” Cameron nói “Tôi không tin Single Sign-On”

Microsoft và Google là hai trong số sáu công ty thành lập tổ chức Thẻ thông tin, tổ chức được lập nên để khuyến khích việc sử dụng công nghệ thẻ này. Với việc truy cập trực tiếp tới tài khoản ngân hàng của chúng ta, sự góp mặt của PayPal, trang thanh toán điện tử sở hữu bởi eBay, có ý nghĩa rất lớn. Nếu nó tin rằng những thẻ này an toàn hơn mật khẩu, chúng ta nên nghe theo.

Nhưng có lẽ thẻ thông tin trong một số trường hợp lại dễ bị làm giả, cho phép bất kỳ ai ngẫu nhiên có mặt trước một chiếc máy tính đúng thời điểm không ai sử dụng, có thể nhanh chóng click đăng nhập vào một trang Web có giữ các thông tin nhạy cảm. Tuy nhiên điều này cũng không hẳn là vấn đề.

“Những người sử dụng dùng chung hệ thống có thể dễ dàng lập ra một mã PIN đơn giản để ngăn không cho người khác sử dụng thẻ của mình” Camerron nói.

Số PIN này không đưa chúng ta trở lại mớ bòng bong mật khẩu, nó không bao giờ rời khỏi máy của chúng ta và sẽ không thể bị mấy tay phisher nhìn thấy được.

Việc bỏ thói quen nhập mật khẩu vào ô đăng nhập trên một trang web sẽ mất khá nhiều thời gian, nhưng điều này là cần thiết cho việc tự bảo vệ của chúng ta. Đăng nhập vào một trang web nên đòi hỏi một cuộc trao đổi được mã hóa giữa các máy tính, giúp chúng ta tránh được việc vô ý cho đi chìa khóa.

Giờ đây không còn phải dựa vào ông bạn già “ChoTôiVào” (LetMeIn) nữa.

(Theo Vietnamnet, The New York Times)