Sự suy tàn của đăng nhập truyền thống định nghĩa lại an ninh

Phi Vũ

Phi Vũ

New member
Tên đăng nhập và mật khẩu đang trở thành điểm yếu hệ thống khi tội phạm mạng tận dụng AI và tự động hóa. Bài viết giải thích vì sao doanh nghiệp cần chuyển sang xác thực liên tục, không dùng mật khẩu và danh tính phi tập trung.

su-suy-tan-cua-dang-nhap-truyen-thong-dinh-nghia-lai-an-ninh-1.jpeg


Sự lỗi thời của mật khẩu​

Mật khẩu truyền thống từng là lớp phòng thủ chính nhưng giờ là điểm thất bại hệ thống. Các cuộc tấn công tự động, tấn công bằng credential stuffing và phishing ngày càng tinh vi — đặc biệt khi kẻ xấu dùng AI để thử hàng nghìn tài khoản trong thời gian ngắn hoặc chặn token phiên theo thời gian thực (Adversary-in-the-Middle).

Nguy cơ từ mô hình "điểm-in-time"​

Hầu hết hệ thống coi việc đăng nhập thành công là tín nhiệm cố định trong suốt phiên làm việc. Khi kẻ tấn công chiếm được thông tin đăng nhập, họ có thể di chuyển ngang trong hệ thống mà không bị phát hiện nếu không có kiểm tra lại liên tục.

Passkey và tiêu chuẩn FIDO2​

Giải pháp không dùng mật khẩu như passkey dựa trên chuẩn FIDO2 sử dụng mã khóa bất đối xứng, với khóa riêng được lưu an toàn trên thiết bị và không bao giờ truyền tới máy chủ. Cách này loại bỏ hầu hết vector tấn công như phishing và credential stuffing liên quan đến chia sẻ bí mật.

Xác thực sinh trắc học zero-knowledge​

Xác thực sinh trắc học theo mô hình không tiết lộ (zero-knowledge) xác minh danh tính trên thiết bị hoặc bằng mẫu được mã hóa không thể đảo lại. Điều này vừa nâng cao độ tin cậy vừa giảm rủi ro riêng tư vì dữ liệu sinh trắc không được lưu trữ tập trung.

Danh tính phi tập trung và ví số​

Chứng chỉ phi tập trung dùng dữ liệu được ký số lưu trong ví kỹ thuật số trên thiết bị, cho phép người dùng kiểm soát hoàn toàn danh tính và chỉ chia sẻ đúng thông tin cần thiết. Với doanh nghiệp, điều này giảm gánh nặng quản lý và mục tiêu của các vụ rò rỉ dữ liệu lớn.

Bảo mật liên tục và phát hiện hành vi​

Trong bối cảnh AI có thể hoạt động thay mặt người dùng, bảo mật không thể chỉ dừng ở một lần xác thực khi đăng nhập. Kiến trúc hiện đại cần phát hiện bot theo thời gian thực, phân tích tín hiệu hành vi và bối cảnh tương tác. Khi phiên đã xác thực có hành vi bất thường, hệ thống phải kích hoạt cơ chế xác minh lại nhẹ nhàng nhưng hiệu quả để khẳng định ý định và danh tính người dùng.

Kết luận và khuyến nghị​

Chuyển từ mật khẩu truyền thống sang passkey, chứng thực sinh trắc học bảo mật và danh tính phi tập trung không còn là lựa chọn tiện lợi mà là yêu cầu để bảo vệ doanh nghiệp trước các mối đe dọa hiện đại. Các bước nên thực hiện:
  • Áp dụng xác thực không mật khẩu chuẩn FIDO2 cho dịch vụ quan trọng.
  • Sử dụng sinh trắc học theo mô hình không tiết lộ để vừa bảo mật vừa bảo vệ riêng tư.
  • Triển khai phát hiện bot và phân tích hành vi theo thời gian thực để xác minh liên tục.
  • Khuyến khích sử dụng danh tính phi tập trung và ví số để giảm rủi ro lưu trữ dữ liệu tập trung.

Nguồn: Techradar
 
Bài viết liên quan
Phần lớn người Mỹ cho rằng AI phát triển quá nhanh bởi Love AI,
Muốn thăng tiến ở chỗ làm? Học kỹ năng AI bởi Phi Vũ,
Google nâng cấp gói AI: thêm mức 100 USD, giảm giá bởi Phi Vũ,
Google AI Studio tạo app Android không cần viết code bởi AI Crazy,
Doanh nghiệp không hiện trong kết quả AI vì thiếu đánh giá bởi Love AI,
Google Gemini Omni biến mọi thứ thành video chuyên nghiệp bởi AI Crazy,
Bạn phải đăng nhập hoặc đăng ký để bình luận.

Tool AI nổi bật

Back
Top