Người dùng web Android có thể xác thực bản thân bằng cách sử dụng dấu vân tay khi tài khoản Google bắt đầu cho phép sinh trắc học

Chủ tài khoản Google sẽ sớm có thể sử dụng dấu vân tay của họ để xác thực tài khoản và đăng nhập vào các ứng dụng kết nối web Android của họ. Nhà sản xuất hệ điều hành Android hiện đã bắt đầu thúc đẩy một kỹ thuật xác thực đơn giản cho ngày càng nhiều dịch vụ đã từng yêu cầu tên người dùng và mật khẩu để truy cập an toàn. Việc thúc đẩy xác thực bằng vân tay diễn ra sau khi có một số trường hợp hack thành công do lựa chọn mật khẩu kém.

Trong khi cố gắng đưa ra các phương pháp xác thực bảo mật thay thế, các công ty và nhà cung cấp dịch vụ trực tuyến dường như đã giải quyết vấn đề sinh trắc học hoặc cụ thể hơn là xác thực bằng vân tay. Mã PIN, Vân tay và thậm chí cả Face ID là những phương pháp ngày càng phổ biến mà người dùng điện thoại thông minh sử dụng để truy cập vào thiết bị của họ. Giờ đây, các ứng dụng web và các nền tảng trực tuyến khác cũng sẽ cho phép các kỹ thuật xác thực dấu vân tay tương tự. Ngoài việc đơn giản hóa và đăng nhập nhanh chóng, phương pháp mới được chấp nhận cũng được mong đợi tăng cường an ninh do tính duy nhất của hệ thống xác thực sinh trắc học không thể dễ dàng bị tấn công hoặc sao chép.

World Wide Web Consortium (W3C) phê duyệt API WebAuthn:

World Wide Web Consortium (W3C) và Fast Identity Online hoặc FIDO Alliance đã cùng nhau cố gắng tìm ra các cách để tăng cường bảo mật trực tuyến. Nhóm, bao gồm một số công ty công nghệ, đã thực sự lo ngại về việc vệ sinh mật khẩu cực kỳ kém mà người dùng internet tuân theo. Những sai lầm phổ biến như sử dụng cùng một mật khẩu trên nhiều nền tảng, sử dụng mật khẩu đơn giản, không thay đổi mật khẩu, không sử dụng xác thực hai yếu tố và các thói quen xấu khác đã cho phép tin tặc xâm nhập vào bảo mật của một số nền tảng trực tuyến.

Để chống lại nguy cơ bẻ khóa mật khẩu đang gia tăng, API WebAuthn đã được tạo ra. Các công ty như Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico và Google đã hỗ trợ WebAuthn, một phần của đặc điểm xác thực FIDO2. Về cơ bản, API cho phép đăng nhập không cần mật khẩu trên các dịch vụ web di động. Để biến điều này thành hiện thực, người dùng đăng nhập vào một trang web cụ thể trên điện thoại của họ sẽ được nhắc đăng ký thiết bị của họ với trang web đó. Sau khi đăng ký thành công, người dùng có thể sử dụng phương thức xác thực cục bộ đã định cấu hình trước đó, chẳng hạn như mã PIN khóa màn hình hoặc cơ chế sinh trắc học để có quyền truy cập.

API WebAuthn cuối cùng sẽ làm cho các tài khoản trực tuyến an toàn hơn bằng cách xác nhận danh tính của người dùng với ít rào cản nhất có thể. Hơn nữa, người dùng chọn phương pháp thuận tiện và an toàn này sẽ phải đăng ký thông tin xác thực sinh trắc học của họ với một nền tảng cụ thể chỉ một lần. Các ứng dụng gốc và ứng dụng web sau đó sẽ chỉ cần chấp nhận phương thức đăng nhập mới.

Ngẫu nhiên, Google đã bắt đầu triển khai hệ thống xác thực không cần mật khẩu dựa trên API WebAuthn cho một số dịch vụ của mình. Người dùng sẽ có quyền truy cập vào tất cả mật khẩu đã lưu của họ thông qua Passwords.Google.Com mà không cần phải nhập chi tiết đăng nhập Google của họ. Mặc dù đây là trường hợp hoạt động duy nhất của phương pháp không có mật khẩu mới, Google sẽ sớm mở rộng phương pháp tương tự cho các dịch vụ khác. Nói một cách đơn giản, người dùng điện thoại thông minh Android của Google, những người đã lưu thông tin đăng nhập của họ trên các nền tảng khác nhau của Google, sẽ sớm có thể đăng nhập vào chúng chỉ bằng sinh trắc học hoặc dấu vân tay của họ.

Google hoặc các dịch vụ khác có nhận được dấu vân tay thực tế không?

Với việc sử dụng ngày càng nhiều API WebAuthn và xác thực sinh trắc học, người dùng quan tâm đúng mức đến việc liệu sinh trắc học của họ có được các nền tảng khác truy cập và lưu trữ trực tuyến hay không. Để giải quyết mối lo ngại này, Google đã đảm bảo rằng xác thực sinh trắc học không bao giờ rời khỏi điện thoại thông minh mà chúng được sử dụng. Nói cách khác, cả Google và các công ty khác đều không nhận được bản sao dấu vân tay của người dùng. Mọi thứ được thực thi cục bộ và chỉ một “bằng chứng” được gửi đi. “Chỉ một bằng chứng mật mã mà bạn đã quét chính xác mới được gửi đến máy chủ của Google. Đây là một phần cơ bản của thiết kế FIDO2, ”Google lưu ý.

Điện thoại thông minh Android của Google chạy Android Nougat 7.0 trở lên sẽ sớm bắt đầu cung cấp cho người dùng khả năng đăng nhập mà không cần sử dụng thông tin đăng nhập. Không cần thêm, người dùng sẽ được yêu cầu bắt buộc đăng nhập vào Tài khoản Google cá nhân của họ trên thiết bị và thiết lập mã khóa màn hình. Nói cách khác, điện thoại thông minh Android không được bảo mật sẽ không có khả năng. Hơn nữa, Google đang hạn chế khả năng truy cập các nền tảng web bằng sinh trắc học chỉ thông qua trình duyệt Chrome của mình. Rất có thể gã khổng lồ tìm kiếm sẽ sớm đưa vào các ứng dụng khác.

API WebAuthn và FIDO2 Đăng nhập để sớm trở thành tiêu chuẩn?

Google đã giới thiệu xác thực hai yếu tố từ lâu. Công ty tiếp tục kêu gọi người dùng kích hoạt tính năng này để tăng cường bảo mật hơn nữa. Có một số biện pháp bảo vệ để phát hiện các thiết bị được sử dụng thường xuyên và cảnh báo người dùng qua thư và SMS về việc truy cập từ các thiết bị lạ. Mặc dù có các phương pháp đăng nhập khác, nhưng xác thực sinh trắc học cho đến nay là đơn giản nhất, được sử dụng phổ biến nhất và nhanh nhất. Do đó, việc áp dụng nó cũng sẽ nhanh nhất vì hầu hết người dùng điện thoại thông minh Android đã sử dụng cùng một cách để có quyền truy cập vào thiết bị của họ.

Điều thú vị là nhiều máy tính xách tay và các thiết bị di động khác có máy quét dấu vân tay. Do đó, yêu cầu phần cứng đã được đặt ra. Với sự thúc đẩy của Google, nhiều công ty khác sẽ nhanh chóng bắt đầu áp dụng và chấp nhận vân tay của người dùng làm thông tin đăng nhập.