Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Passkeys so với Mật khẩu

So sánh passkeys và mật khẩu, bao gồm khả năng chống phishing, khôi phục, độ tin cậy của thiết bị và khi nào vẫn cần mật khẩu mạnh.

Tóm tắt

Passkeys sử dụng mã hóa khóa công khai và có thể giảm rủi ro phishing vì khóa riêng tư không được nhập vào trang web. Mật khẩu là bí mật được chia sẻ: nếu bạn nhập mật khẩu vào trang sai, nó có thể bị đánh cắp. Khi dịch vụ hỗ trợ passkeys tốt, chúng có thể là phương thức đăng nhập chính mạnh mẽ hơn.

Tại sao mật khẩu vẫn quan trọng

Nhiều tài khoản vẫn giữ mật khẩu dự phòng, mật khẩu khôi phục, mật khẩu ứng dụng hoặc thiết bị cũ. Nếu mật khẩu vẫn được gắn với tài khoản, nó vẫn nên dài, ngẫu nhiên, duy nhất và được bảo vệ bằng MFA nếu có thể.

Khôi phục là một phần của bảo mật

Passkeys phụ thuộc vào bảo mật thiết bị, nhà cung cấp đồng bộ và khôi phục tài khoản. Mất quyền truy cập vào thiết bị hoặc dựa vào các kênh khôi phục yếu có thể tạo ra rủi ro. Đăng ký nhiều hơn một tùy chọn khôi phục nếu phù hợp và bảo vệ tài khoản email dùng để khôi phục.

Khuyến nghị thực tế

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào so sánh passkeys và mật khẩu cho đăng nhập tài khoản. Nó được viết cho những người đang quyết định có nên tiếp tục sử dụng mật khẩu khi passkeys được cung cấp hay không, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và dịch vụ thỉnh thoảng có quy tắc xác thực kỳ lạ. Một khuyến nghị bảo mật chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng bị tái sử dụng có thể bị lộ nhanh chóng sau một vụ rò rỉ không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một cài đặt thực tế là passkeys ở nơi được hỗ trợ, mật khẩu mạnh duy nhất ở nơi mật khẩu vẫn được yêu cầu. Bạn có thể áp dụng cài đặt đó với hướng dẫn MFA so với mật khẩu mạnh và sau đó lưu trữ giá trị cuối cùng trong một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang phishing hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là phương pháp khôi phục yếu, mất thiết bị, khóa tài khoản, dịch vụ không được hỗ trợ và cho rằng passkeys loại bỏ mọi lo ngại về bảo mật. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, phishing, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn là một cuộc tấn công toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkeys, lưu trữ mã khôi phục và kiểm tra thường xuyên cài đặt email hoặc số điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký tự đặc biệt bị từ chối, hãy bật chữ hoa, chữ thường và số và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc nhập trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự khó phân biệt và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp phòng thủ, không phải là sự đảm bảo. Nó không thể làm cho một trang phishing an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin đăng nhập kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Một bước tiếp theo an toàn

Sau khi đọc hướng dẫn này, hãy thực hiện một cuộc kiểm tra tài khoản nhỏ thay vì cố gắng sửa mọi thứ cùng một lúc. Chọn tài khoản sẽ gây ra nhiều rắc rối nhất nếu bị chiếm quyền, xác nhận rằng mật khẩu của nó là duy nhất và kiểm tra email khôi phục, số điện thoại khôi phục, phương thức MFA và lưu trữ mã dự phòng. Nếu bất kỳ phần nào của chuỗi đó yếu, hãy cải thiện phần đó trước khi chuyển sang các tài khoản rủi ro thấp hơn. Thứ tự này giữ cho công việc có thể quản lý được và bảo vệ các tài khoản mà kẻ tấn công có nhiều khả năng sử dụng làm bước đệm. Đối với passkeys so với mật khẩu, kết quả tốt nhất là một thói quen có thể lặp lại: tạo cục bộ, lưu trữ cẩn thận và tránh tái sử dụng.

Các câu hỏi thường gặp

Passkeys có tốt hơn mật khẩu không?

Passkeys có thể cung cấp khả năng chống phishing mạnh hơn, nhưng khôi phục tài khoản, quyền truy cập thiết bị và hỗ trợ nền tảng vẫn quan trọng.

Passkeys có loại bỏ hoàn toàn mật khẩu không?

Không phải ở mọi nơi. Nhiều dịch vụ vẫn sử dụng mật khẩu làm dự phòng, khôi phục hoặc thông tin xác thực tương thích.

Tôi có nên sử dụng mật khẩu mạnh ở nơi có passkeys không?

Nếu tài khoản vẫn có mật khẩu dự phòng, hãy giữ mật khẩu đó duy nhất và mạnh.

Nguồn