Trong nhiều năm, mật khẩu luôn là lớp phòng vệ đầu tiên của doanh nghiệp. Tuy nhiên, trong bối cảnh an ninh mạng ngày càng phức tạp và trải nghiệm người dùng được đặt lên hàng đầu, mô hình này đang bộc lộ nhiều điểm yếu. Một xu hướng mới đang lan rộng: xác thực không mật khẩu (passwordless authentication).
Theo CNBC, các tổ chức ở Mỹ và nhiều nơi khác đang chuyển đổi nhanh chóng sang giải pháp này, với mục tiêu vừa tăng cường bảo mật vừa giảm gánh nặng cho nhân viên và bộ phận IT.
Mật khẩu: gánh nặng cho cả bảo mật lẫn vận hành
Cả chuyên gia an ninh mạng lẫn người dùng đều không mấy hào hứng với mật khẩu.
Các Giám đốc An ninh Thông tin (CISO) chia sẻ rằng tình trạng nhân viên ghi mật khẩu ra giấy, dán lên màn hình hoặc sử dụng lại nhiều lần cùng một mật khẩu khiến hệ thống dễ bị tấn công.
Đối với nhân viên, việc phải ghi nhớ và nhập nhiều mật khẩu mỗi ngày làm giảm hiệu suất làm việc và gây khó chịu.
Một khảo sát của Wakefield Research với 200 CISO, được tài trợ bởi hãng bảo mật Portnox, cho thấy 92% doanh nghiệp đã hoặc đang có kế hoạch triển khai xác thực không mật khẩu, tăng mạnh từ mức 70% của năm 2024.
Các CISO đánh giá rằng hai lợi ích lớn nhất là nâng cao hiệu suất nhân viên và cải thiện trải nghiệm sử dụng.
Passwordless Authentication (Xác thực không mật khẩu) là gì?
Đây là công nghệ xác minh danh tính người dùng mà không cần mật khẩu truyền thống. Thay vào đó, doanh nghiệp sử dụng:
- Thiết bị phần cứng (hardware tokens)
- Sinh trắc học (vân tay, nhận diện khuôn mặt)
- Passkey hoặc xác thực qua thiết bị di động (mobile push notifications)
Các phương thức này giúp giảm nguy cơ tấn công vào mật khẩu, đồng thời mang lại tốc độ đăng nhập nhanh và liền mạch hơn.
Doanh nghiệp áp dụng: Lợi ích tăng rõ rệt
Universal Technical Institute, một tổ chức đào tạo lớn, đã áp dụng nền tảng passwordless của Microsoft.
Theo CIO Adrienne DeTray, chỉ sau thời gian ngắn, doanh nghiệp ghi nhận:
- Giảm đáng kể số lần reset mật khẩu
- Giảm số lượng yêu cầu hỗ trợ IT
- Nhân viên bắt đầu ngày làm việc nhanh hơn
DeTray nhấn mạnh rằng tác động quan trọng nhất nằm ở văn hóa tổ chức: công nghệ trở nên “nhẹ nhàng và con người hơn”, thay vì tạo thêm rào cản cho nhân viên.
MFA không còn là “tiêu chuẩn vàng” duy nhất
R Systems International, một công ty dịch vụ kỹ thuật số, đang chuyển đổi dần sang môi trường không mật khẩu vì cho rằng nhiều hình thức xác thực đa lớp (MFA) đang lạc hậu trước sự phát triển của tấn công mạng.
Theo CTO Srikara Rao:
- Tấn công dựa trên thông tin đăng nhập vẫn là rủi ro lớn nhất
- Các đợt lừa đảo (phishing) gia tăng mạnh
- Nhiều sự cố suýt xảy ra buộc doanh nghiệp phải hành động
Ngoài ra, chi phí reset mật khẩu rất đắt đỏ:
Theo Forrester, mỗi lần reset có thể tốn khoảng 70 USD, bao gồm thời gian nhân viên chờ đợi và chi phí hỗ trợ IT.
Doanh nghiệp cũng phải đáp ứng các tiêu chuẩn tuân thủ như PCI 4.0, yêu cầu xác thực lại mỗi lần truy cập. Passwordless giúp quy trình này dễ dàng hơn.
Thách thức lớn: truyền thông và đào tạo nhân viên
Một thách thức lớn khi chuyển sang passwordless là thay đổi thói quen của nhân viên. Rao cho biết:
- Nhiều người lo lắng về việc “mất thiết bị thì sao?”
- Họ đã hình thành thói quen dùng mật khẩu hàng chục năm
Vì vậy, doanh nghiệp cần giải thích rõ “vì sao” phải đổi và tổ chức các buổi hướng dẫn thực tế.
R Systems đã triển khai các buổi training nhỏ để nhân viên làm quen với sinh trắc học hoặc khóa bảo mật FIDO2.
Passwordless và kiến trúc Zero Trust
R Systems cho biết hệ thống passwordless được xây dựng dựa trên tiêu chuẩn mở FIDO2 và WebAuthn, không phụ thuộc vào một nhà cung cấp duy nhất.
Kết quả ban đầu rất tích cực:
- Thời gian đăng nhập nhanh hơn
- Giảm mạnh số yêu cầu liên quan đến mật khẩu
- Củng cố đáng kể lớp nhận diện trong mô hình Zero Trust
Theo Rao, passwordless đang trở thành nền tảng cho chiến lược bảo mật của họ.
