Cách sử dụng Passkey mới trên iPhone, iPad và Mac của bạn

Bạn có thể dùng thử mật khẩu mà không cần cài đặt bản beta công khai của các hệ điều hành sắp ra mắt này, vì Apple đã tích hợp hỗ trợ mật mã ở dạng xem trước vào Safari trên tất cả các hệ điều hành của mình trong iOS 15, iPadOS 15 và Safari 15 với macOS 12 Monterey.

Với việc phát hành đầy đủ các mật khẩu trong vài tuần hoặc vài tháng và Google và Microsoft đã công bố hỗ trợ công nghệ tương thích, bạn có thể sẽ thấy các tùy chọn để thêm đăng nhập bằng mật khẩu tại nhiều trang web vào mùa thu này.

Đây là cách quy trình hoạt động.

Đăng ký tại một trang web

Mật mã bao gồm một tập hợp các khóa mã hóa được ghép nối, thường được gọi là mật mã khóa công khai. Khi bạn truy cập một máy chủ hỗ trợ WebAuthn (công nghệ cần thiết để chấp nhận, lưu trữ và tương tác với mật khẩu), trình duyệt của bạn sẽ hiển thị khóa công khai của cặp mã hóa. Không thể sử dụng khóa công khai để đăng nhập mà là để chứng minh danh tính của bạn: bạn sở hữu khóa riêng tư, được tạo trên thiết bị của bạn và không bao giờ để lại nó để đăng nhập.

Để đăng ký, bạn truy cập một trang web cung cấp hỗ trợ mã khóa. Một trang web có thể nói chung là nó hỗ trợ khóa mật khẩu, nói rằng nó có hỗ trợ WebAuthn hoặc tuyên bố rằng nó tương thích với FIDO2, CTAP hoặc “thông tin xác thực FIDO đa thiết bị”. Tất cả các điều khoản đó có nghĩa là bạn có thể sử dụng mật khẩu của Apple (hoặc Google hoặc Microsoft) làm thông tin xác thực đăng nhập của mình. (FIDO2 là tên do nhóm thương mại FIDO Alliance đặt, một phần quan trọng trong việc tạo ra các passkey và WebAuthn, và Apple, Microsoft và Google là thành viên của họ.)

Quá trình này sẽ hoạt động tương tự như khi bạn đăng ký tại một trang web để xác thực hai yếu tố (2FA) hoặc nếu trước đó bạn đã sử dụng khóa phần cứng cho WebAuthn, như khóa do Yubico thực hiện:

1. Đăng nhập bằng tên người dùng và mật khẩu hiện có của bạn.
2. Trang web có thể nhắc bạn xác minh thêm. Đây có thể là liên kết được gửi qua email, mã được nhắn tin hoặc lời nhắc xác nhận 2FA bằng mã hoặc thông qua ứng dụng bạn đã cài đặt trên iPhone hoặc iPad của mình.
3. Phần bảo mật của trang web cho phép bạn chọn sử dụng mã khóa hoặc một trong các tên thay thế ở trên.
4. Máy chủ web đẩy một yêu cầu đến trình duyệt của bạn để cung cấp thông tin mã hóa.
5. Bạn được nhắc chấp thuận yêu cầu này bằng Touch ID, Face ID hoặc mật khẩu thiết bị của mình, tùy thuộc vào những gì có sẵn và được bật.
6. Nếu bạn xác thực thành công danh tính của mình, thiết bị của bạn sẽ tạo cặp khóa công khai / riêng tư. Khóa cá nhân được lưu trữ trên thiết bị của bạn và không bao giờ được gửi đến trang web từ xa.
7. Trình duyệt của bạn sẽ gửi khóa công khai cùng với một thông báo được ký bằng mật mã mà máy chủ có thể xác thực bằng cách sử dụng khóa công khai được cung cấp: chỉ người nào có thiết bị giữ khóa riêng mới có thể tạo ra một thông báo có thể xác minh được.
8. Máy chủ web lưu trữ khóa công khai của bạn cho các lần đăng nhập sau này.

Việc thiết lập đăng nhập bằng mã khóa có thể vô hiệu hóa 2FA trên tài khoản của bạn hoặc cho phép bạn chọn đăng nhập bằng mã khóa thay vì đường dẫn 2FA. Mật khẩu cung cấp bằng chứng về việc sở hữu cả bí mật và thiết bị mà nó được lưu trữ, thực sự là hai yếu tố. (Một số trang web và dịch vụ bảo mật cao hơn vẫn có thể yêu cầu 2FA thay vì hoặc thêm vào mã khóa.)

Bạn có thể thấy quy trình mật khẩu đang hoạt động với một số phần kỹ thuật cơ bản được tiết lộ tại Webauthn.me, một trang web được thực hiện bởi Auth0, một nhà cung cấp dịch vụ xác thực. Một số trang web sản xuất hiện cung cấp thông tin đăng nhập tương thích với mã khóa, nhưng chúng khá ít vào lúc này. Bạn có thể đặt tài khoản Google hoặc Dropbox để sử dụng “khóa bảo mật” và thay vào đó hãy sử dụng mã khóa. Xem bên dưới để biết kinh nghiệm của tôi với điều đó.

Đăng nhập bằng mật khẩu

Tại một trang web đã đăng ký, bạn có thể sử dụng mật khẩu được lưu trữ vào lần tiếp theo khi bạn cần đăng nhập. Bạn có thể nhận thấy rằng nhiều trang web đã bắt đầu tách tên người dùng hoặc tài khoản gửi email từ một lần gửi mật khẩu – dường như là để chuẩn bị cho khóa mật khẩu .

Với một trang web đã hoàn toàn sẵn sàng cho mã khóa, bạn sẽ chạm hoặc nhấp vào trường email tên người dùng hoặc tài khoản và được Safari nhắc xác thực đăng nhập bằng mã khóa. Trong một số trường hợp, trước tiên, Safari có thể hỏi bạn xem bạn có muốn cho phép đăng nhập Touch ID hoặc “khóa bảo mật” trên trang web hay không; nhấp chuột Cho phép để tiếp tục. Sau đó, bạn có thể xác thực thông qua Touch ID, Face ID hoặc mật khẩu thiết bị của mình giống như trong quá trình đăng ký. Đó là nó! Sử dụng trang Webauthn.me đã nêu ở trên, bạn có thể kiểm tra điều này trong Bước 4 của quy trình.

Với một số trang web có hỗ trợ WebAuthn nhưng vẫn chưa hoàn toàn phù hợp với quy trình khóa mật khẩu đơn giản, bạn có thể được nhắc thực hiện đăng nhập bằng tên người dùng và mật khẩu bình thường trước trang web bắt đầu trình tự yêu cầu trình duyệt của bạn nhập mã khóa.

Tôi đã có thể đăng ký bằng mã khóa tại Dropbox bằng cách chọn tùy chọn Khóa bảo mật và làm theo lời nhắc trong Safari dành cho macOS. (Trong khi đăng nhập vào Dropbox qua Safari, hãy nhấp vào hình đại diện của bạn ở góc trên bên phải, nhấp vào Bảo vệ liên kết và nhấp vào cộng bên cạnh “Khóa bảo mật”. Khi nó hỏi bạn đã lắp chìa khóa chưa, hãy xác nhận rằng bạn có.)

Các lần đăng nhập tiếp theo hoạt động trong Safari cho macOS nhưng không hoạt động trong Safari cho iOS, có thể do thiếu hỗ trợ đồng bộ hóa Chuỗi khóa iCloud trước khi phát hành hệ điều hành mới. Trong iOS 16, iPadOS 15 và Ventura, với iCloud Keychain được bật, khóa mật khẩu sẽ đồng bộ hóa và được liệt kê trong Cài đặt > Mật khẩu trong iOS / iPadOS và Cài đặt hệ thống > Mật khẩu ở Ventura.

Apple sẽ cho phép bạn chia sẻ mật khẩu với những người dùng Apple khác bằng cách gửi chúng qua AirDrop một cách an toàn. Điều này sẽ chia sẻ cả khóa công khai và khóa riêng tư và cung cấp cho mọi người cùng một mức độ truy cập tài khoản như thể bạn đã cấp cho họ tên người dùng, mật khẩu và mã thông báo hai yếu tố cho tài khoản của mình.

Đăng nhập từ các thiết bị khác

Một số trang web sẽ cho phép bạn chỉ định đăng nhập bằng mật khẩu làm phương pháp duy nhất của bạn để có được quyền truy cập. Vì vậy, điều gì sẽ xảy ra nếu bạn đang cố gắng đăng nhập từ một thiết bị không được lưu trữ mã khóa, chẳng hạn như máy tính chung hoặc gia đình, thiết bị ở cơ quan hoặc thiết bị bạn có quyền truy cập khi đi du lịch? Hoặc bạn cần sử dụng hệ thống Windows hoặc điện thoại Android để truy cập một trang web do các tính năng dành riêng cho các nền tảng đó? Apple đã thể hiện một cách tiếp cận thông minh khi giới thiệu mã khóa tại Hội nghị nhà phát triển toàn cầu năm 2022 yêu cầu mã QR và Bluetooth.

Quá trình hoạt động như sau:

1. Trên thiết bị có hệ điều hành hoặc trình duyệt đủ mới để hỗ trợ đăng nhập WebAuthn, khi bạn nhập tên tài khoản của mình tại trang web mà bạn sử dụng mã khóa.
2. Trang web sẽ truy vấn trình duyệt để tìm mã khóa và trình duyệt sẽ phát hiện ra nó không có. Sau đó, bạn có thể nhấp để cung cấp mã khóa thông qua proxy, chẳng hạn như bằng cách nhấp vào “Thêm điện thoại mới”.
3. Trang web sẽ gửi một truy vấn khiến trình duyệt hiển thị Mã QR.
4. Trên iPhone hoặc iPad, bạn quét Mã QR và nhấn vào lời nhắc “Đăng nhập bằng mã khóa”.
5. Trên thiết bị của bạn, hãy nhấp vào Tiếp tục và sau đó phê duyệt đăng nhập bằng Touch ID, Face ID hoặc mật khẩu thiết bị của bạn.
6. Trình duyệt hiển thị bạn đã đăng nhập.

Quả táo

Trong quá trình này, thiết bị hiển thị Mã QR và iPhone hoặc iPad của bạn sẽ lặng lẽ thiết lập kết nối qua Bluetooth và trao đổi thông tin quan trọng. Điều này cho phép thiết bị của bạn được đảm bảo rằng quá trình đăng nhập đang diễn ra bằng cách sử dụng một phần thiết bị gần đó để ngăn chặn các cuộc tấn công từ xa và kênh ngược Bluetooth một kênh được mã hóa tách biệt với kết nối trình duyệt, tránh các cuộc tấn công lừa đảo đưa ra thông tin đăng nhập giả.

Sau khi bạn đã xác thực thông tin đăng nhập của mình trên thiết bị khác đó, phiên của bạn sẽ tiếp tục như bình thường. Đảm bảo và đăng xuất khi bạn hoàn tất để xóa trạng thái.

Tương lai là những chiếc passkey

Sự đơn giản của các passkey ẩn chứa sự tinh vi. Đối với một lần, chúng tôi nhận được cả hai sự dễ dàng, không có chi phí để quản lý quy trình và mức độ bảo mật cao nhất có thể. Mỗi thông tin đăng nhập là duy nhất, được lưu trữ cho bạn và được xác minh theo cả hai hướng — bởi thiết bị của bạn và bởi trang web — để đảm bảo chỉ người có quyền truy cập vào thiết bị của bạn mới có thể đăng nhập vào trang web.