Khi cơ thể con người trở thành mật khẩu đăng nhập các thiết bị công nghệ
Bài Viết
When your body becomes your password, the end of the login is nigh
Passwords are a pain. I’ve just had to rummage around for the password
required in order to post this article. I seem to have 100 or more different
identities on different websites to manage.
Whenever I book a flight or buy a concert ticket this often means setting up yet
another persona and coming up with a password to authenticate it.
It’s got so bad I’ve resorted to a password manager program to suggest secure,
truly random passwords and then keep track of them for me.
Of course if I forget the password to that program, or worse still if someone else
guesses that password, I’ll be in all sorts of trouble.
Your phone is the key
This is a recognised problem, so it’s no surprise firms are looking at ways to
make this easier. In the US, Yahoo has announced it plans to move to a
password-on-demand system.
Where a new, one-time password is generated and texted to your mobile phone,
and you can text the password to Yahoo’s servers whenever its services require
authentication.
This makes it things easier for the user, whose phone is now a key as well as
everything else. But some security experts have been less than impressed. For
example, many phones show the text of incoming messages automatically,
popping up even when the phone is locked.
All that would be required is five minutes alone with your phone and your
Yahoo account could be hijacked. And who hasn’t left their phone unattended
for even just a short while?
How about your body?
All this hassle with usernames and passwords has led many to think biometrics
are the answer, in which uniquely identifying elements of our physical body are
used as authentication keys.
The most common, fingerprints, have been used as a means to authenticate users

for some time. Fingerprint-based controlled access can be made to work
reasonably well, although it is not immune to successful attack.
When you find that Sherlock Holmes was cracking cases in 1903 which
involved forged fingerprints, you might be forgiven for wondering if we really
can provide security on the basis of our fingertips and thumbs. However,
modern biometric security goes further to try to provide greater security.
Goodbye windows password
Microsoft is building biometric password support into the forthcoming Windows
10, due to arrive later this year. The Windows Hello component, essentially a
login screen, will be able to use a webcam to examine the user’s face, iris, or a
fingerprint scanner to unlock devices and provide Windows logon.
Microsoft are also touting a mechanism built into its Passport service that will
provide authentication on your behalf to other sites once you have successfully
logged on to your computer and it has recognised you.
Halifax, the bank, has gone one step further for its online banking services. It
is currently testing a smart wristband called Nymi which reads the wearer’s
heartbeat – another biometric measure that provides a rhythmic pattern that can
be used as a unique identifier.
Heartbeat biometrics are touted as harder to fake or fool than other biometrics,
although when I consider what happens to my heartbeat when I check my bank
balance I’d imagine it will need considerable testing.
Give me convenience or give me death
All this is a step toward the Holy Grail of authentication: security with
convenience. Microsoft’s moves in this direction are as part of the FIDO
Alliance which aims to improve the way we approach security for devices and
online services in the future, improving security and reducing the burden on
users, which has a tendency to lead towards corner-cutting, weak or re-used
passwords, and security compromises.
The good news for us password jugglers is that there is now a greater imperative
behind building higher levels of security into systems from the outset, rather

than trying to add it on afterwards, and that new and better ways of doing this
are being expored.
Modern devices, the latest Dell tablet for example, have 3D cameras which can
generate images that contain depth information as well as a visible picture. The
wider introduction of these sorts of components and their successors will offer a
way to provide a whole new way of authentication, to the point that in the not
too distant future our smile really will be our passport.
Bài Dịch
Mật khẩu là một rắc rối lớn. Tôi vừa mới bị quay vòng với mật khẩu cần thiết để
gửi bài viết này. Tôi có dường như 100 hoặc nhiều hơn các tên đăng nhập khác
nhau trên các trang web khác nhau.
Mỗi khi tôi đặt vé máy bay hay mua vé cho một buổi hòa nhạc, thường có nghĩa
là tôi tạo thêm một tên đăng nhập mới cùng với mật khẩu để xác nhận nó.
Nó phiền phức như vậy nên tôi phải cần đến một chương trình phần mềm quản
lý mật khẩu để đảm bảo cho các mật khẩu có thể được tạo bởi các ký tự ngẫu
nhiên mà vẫn an toàn, và phần mềm này có thể tự trông nom cho các mật
khẩu giùm tôi.
Tất nhiên nếu tôi quên mật khẩu truy cập vào chương trình đó, hoặc tệ hơn nữa
nếu người khác đoán ra mật khẩu đó, tôi sẽ gặp một đống rắc rối.
Điện thoại là chìa khóa
Mật khẩu là một rắc rối ai cũng biết, vì vậy không có gì đáng ngạc nhiên khi các
công ty đang tìm cách để việc đăng nhập được thực hiện dễ dàng hơn. Tại Mỹ,
Yahoo đã công bố kế hoạch chuyển đổi thành một hệ thống mật khẩu theo yêu
cầu (password-on-demand).
Hệ thống này tự tạo ra mật khẩu sử dụng một lần và nhắn vào điện thoại di động
của bạn, và bạn có thể nhắn mật khẩu này vào máy chủ của Yahoo bất cứ khi
nào các dịch vụ của hãng yêu cầu xác thực.
Điều này tạo sự thuận lợi hơn cho người sử dụng, vốn đã xem điện thoại là ‘vật
bất ly thân’ giống như các thứ khác. Nhưng một số chuyên gia bảo mật chưa tỏ
ra hài lòng lắm. Ví dụ, nhiều điện thoại tự động hiển thị nội dung của tin nhắn

gửi đến trên màn hình ngay cả khi điện thoại bị khóa.
Vậy là chỉ cần năm phút không cầm điện thoại là tài khoản Yahoo của bạn có
thể bị tấn công. Mà ai chưa từng rời điện thoại của mình trong một thời gian
ngắn bao giờ?
Cơ thể của bạn thì sao?
Tất cả các rắc rối với tên đăng nhập và mật khẩu này đã khiến nhiều người nghĩ
rằng công nghệ xác thực bằng sinh trắc học là câu trả lời, trong đó các yếu tố
nhận dạng độc nhất của cơ thể chúng ta được sử dụng như những chìa khóa xác
thực.
Phổ biến nhất là dấu vân tay, đã được sử dụng như một phương tiện để xác thực
người dùng trong một thời gian. Truy cập bằng dấu vân tay là một phương pháp
xác nhận khá hiệu quả, mặc dù nó không thể miễn dịch khỏi các cuộc tấn công
mạng.
Nếu bạn biết rằng Sherlock Holmes đã từng phá án thành công một trường hợp
vào năm 1903, trong đó liên quan đến việc giả mạo dấu vân tay, bạn có lý do để
lo lắng về độ an toàn của mật khẩu dựa trên ngón tay và ngón cái. Tuy nhiên, an
ninh sinh trắc học hiện đại đã tiến xa hơn để cố gắng cung cấp bảo mật tốt hơn.
Tạm biệt mật khẩu Windows
Microsoft đang xây dựng mật khẩu sinh trắc học hỗ trợ cho hệ điều hành
Windows 10 sắp có mặt trên thị trường vào cuối năm nay. Chương trình
Windows Hello, bản chất là một màn hình đăng nhập, sử dụng một webcam để
kiểm tra khuôn mặt người dùng, mống mắt, hoặc một máy quét dấu vân tay của
người sử dụng để mở khóa thiết bị và cung cấp đăng nhập Windows.
Microsoft cũng đang giới thiệu một phương thức xác thực sinh trắc học khác tên
là Passport. Nó sẽ thay mặt bạn làm việc xác nhận, cho phép bạn đến các trang
web khác một khi bạn đã đăng nhập thành công vào máy tính của mình và máy
tính đã nhận dạng ra bạn.
Rõ ràng mật khẩu cần được tối giản hóa. (Shutterstock)
Các ngân hàng ở Halifax đã đi một bước xa hơn cho các dịch vụ ngân hàng trực
tuyến của mình. Họ đang thử nghiệm loại dây đeo cổ tay thông minh, được gọi

là Nymi, để đo nhịp tim của người đeo – một biện pháp sinh trắc học khác cung
cấp nhịp tim đập, vốn có thể được sử dụng như một hình thức nhận dạng độc
nhất.
Sinh trắc học nhịp tim được cho là khó giả mạo hoặc lừa đảo hơn các sinh trắc
học khác. Mặc dù vậy, khi nghĩ đến nhịp tim của mình khi kiểm tra số dư ngân
hàng, tôi cảm thấy rằng nó cần phải được kiểm nghiệm nhiều hơn trước khi hiện
thực hóa.
Buộc phải đem lại thuận tiện
Phương thức xác thực an toàn mà tiện lợi là điều mà ai ai cũng mong muốn. Là
một thành viên trong Liên minh FIDO (Fast Identity Online Alliance), Microsoft
đã lên kế hoạch hỗ trợ cấu hình xác thực của FIDO nhằm cải thiện cách chúng ta
tiếp cận bảo mật cho các thiết bị và dịch vụ trực tuyến trong tương lai, cải thiện
an ninh và giảm bớt gánh nặng cho người sử dụng, trong đó có xu hướng dẫn
đến tiết kiệm, tránh được dùng các mật khẩu yếu hoặc dùng lại mật khẩu, và
tránh được những thỏa hiệp an ninh.
Tin tốt cho chúng ta, những người phải thường xuyên thay đổi mật khẩu, là bây
giờ có một yêu cầu cấp bách hơn thúc đẩy việc xây dựng các mức bảo mật cao
hơn vào hệ thống ngay từ đầu, thay vì cố gắng để thêm nó vào sau này, và rằng
những cách thức mới và tốt hơn để làm điều này đang được khám phá.
Các thiết bị hiện đại, ví dụ như máy tính bảng Dell mới nhất, có camera 3D có
thể tạo ra hình ảnh chứa nhiều thông tin và rõ nét hơn. Sự ra đời của các tính
năng như vậy và các thiết bị nâng cấp sau này sẽ mang đến những phương thức
xác thực hoàn toàn mới, đến một thời điểm tương lai không xa, ngay cả nụ cười
của chúng ta cũng có thể trở thành một phương thức xác thực.