Trong nhiều năm, các chuyên gia an ninh mạng đã dự đoán cái chết của mật khẩu trực tuyến khi các tính năng đăng nhập nâng cao hơn, từ nhận dạng khuôn mặt đến xác thực đa yếu tố, trở nên phổ biến hơn. Nhưng có vẻ như Apple đã chấp nhận rằng mật khẩu này sẽ không sớm biến mất. Ứng dụng Mật khẩu mới của nó, được giới thiệu tại WWDC 2024 của Apple vào đầu tuần này, là một giải pháp nữa giúp bảo vệ tài khoản trực tuyến và quản lý nhiều lần đăng nhập. Điều đó không thay đổi thực tế rằng việc đặt tất cả thông tin đăng nhập của bạn ở một nơi sẽ tiếp tục đi kèm với rủi ro.
Andras Cser, phó chủ tịch Forrester, nhà phân tích chính cho biết: “Mật khẩu thực sự rất khó để loại bỏ.
Ứng dụng Mật khẩu mới dành cho iPhone, iPad, Vision Pro, Mac và Windows, cho phép người dùng lưu trữ tất cả mật khẩu của họ, bao gồm mã xác minh, mật khẩu ứng dụng, mật khẩu Wi-Fi, Mật mã và hơn thế nữa. Việc cung cấp này tương tự như các trình quản lý mật khẩu khác trên thị trường, bao gồm 1Password và LastPass.
Gadjo Sevilla, nhà phân tích cấp cao của eMarketer cho biết: “Bạn không thể đánh giá thấp sức mạnh của việc có một giải pháp mặc định như thế này và tích hợp bảo mật bằng mật khẩu”. “Điều đó có thể sẽ lôi kéo phần lớn khách hàng của Apple sử dụng tính năng này. Thật tiện lợi. Nó ở đó. Nó miễn phí."
Mật khẩu là một phương pháp bảo mật trực tuyến đầy rủi ro
Nhưng điều đó không làm thay đổi mối lo ngại cơ bản về việc người dùng dựa vào mật khẩu như một phương thức bảo mật trực tuyến mặc định.
Cser cho biết: “Đó là động thái: Xóa bỏ nhu cầu về bất kỳ trình quản lý mật khẩu nào và chỉ chuyển sang mật khẩu một lần dựa trên xác thực dựa trên thông báo đẩy, sinh trắc học hoặc mật mã”. “Việc loại bỏ mật khẩu có lẽ là một thông điệp đúng đắn, không sử dụng các trình quản lý mật khẩu miễn phí hoặc được nâng cấp.”
Việc hack mật khẩu đang gia tăng, IBM báo cáo số vụ tấn công sử dụng mật khẩu hợp lệ vào năm 2023 tăng 71% so với năm 2022. Apple, Google và Microsoft đã có những động thái nhằm chuyển nhiều người dùng hơn sang mật mã, yêu cầu một thiết bị khác thuộc sở hữu của người dùng xác minh thông tin đăng nhập thông qua quét khuôn mặt, dấu vân tay hoặc các mã khác. Điều này giúp loại bỏ rủi ro an ninh mạng lớn nhất: mọi người có xu hướng vệ sinh mật khẩu rất kém, bao gồm cả việc sử dụng cùng một mật khẩu cho nhiều tài khoản, nghĩa là nếu mật khẩu đó bị đánh cắp, tin tặc sẽ có quyền truy cập vào tất cả các tài khoản đó.
Hệ thống mật mã của Apple, Móc khóa, chỉ dành cho các sản phẩm chạy hệ điều hành iOS. Ứng dụng Mật khẩu mới này bao gồm nhiều khả năng tương thích hệ thống hơn, bao gồm cả Windows và các loại xác minh đăng nhập khác nhau. Công ty không cho biết nó sẽ bao gồm bất kỳ mật khẩu Google hoặc Android nào, bao gồm rất nhiều tài khoản.
Trình quản lý mật khẩu, như ứng dụng Mật khẩu Apple, ghi lại các mật khẩu, mật mã và thông tin đăng nhập khác nhau một cách an toàn trong một tài khoản an toàn. Và họ cung cấp một lớp bảo vệ bổ sung: nghiên cứu từ Security.org cho thấy những người không có trình quản lý mật khẩu có nguy cơ trở thành nạn nhân của hành vi trộm cắp danh tính cao gấp ba lần. Nhưng dù là phiên bản miễn phí hay trả phí của người quản lý, không có phiên bản nào loại bỏ hoàn toàn rủi ro.
Cser nói: “Chúng là một miếng băng dán hoặc băng quấn. “Mật khẩu rất dễ bị tấn công và rất nhiều mật khẩu đã thực hiện nhiệm vụ bảo vệ bất kỳ loại ứng dụng, tài nguyên và dữ liệu nào. Vì vậy, nó chỉ đặt tất cả trứng của bạn vào một giỏ, bất kể bạn chọn công cụ của ai, phải không?
Apple đã không trả lời yêu cầu bình luận vào thời điểm báo chí.
Có một số lo ngại rằng nếu Apple nắm giữ tất cả các khóa kỹ thuật số đối với mật khẩu của mọi người thì điều đó có thể khiến mọi người dễ bị tổn thương hơn nếu công ty bị hack. Điều này không nằm ngoài khả năng xảy ra: iCloud của Apple đã bị hack vào năm 2014, dẫn đến nhiều vụ rò rỉ ảnh riêng tư của người nổi tiếng. LastPass bị hack vào năm 2022, mặc dù dữ liệu khách hàng không bị đánh cắp.
Sevilla cho biết: “Vấn đề bảo mật duy nhất là bất kỳ ai lấy được ID Apple và mật khẩu của bạn đều sẽ có quyền truy cập vào Chuỗi khóa iCloud hoặc ứng dụng Mật khẩu của bạn, bởi vì đó thực sự là xác thực chính cần thiết để truy cập an toàn vào các mật khẩu được lưu trữ đó”.
Apple, dữ liệu cá nhân và quyền riêng tư
Tuy nhiên, việc bảo vệ lượng lớn dữ liệu cá nhân không có gì mới đối với Apple và hãng đã có thành tích tương đối tốt trong việc xây dựng thương hiệu của mình xung quanh quyền riêng tư. Nó cũng có lập trường cứng rắn chống lại việc chia sẻ thông tin với các ứng dụng trái phép của bên thứ ba. Những thay đổi trước đó bắt đầu với iOS 14.5 đã yêu cầu người dùng chọn tham gia chia sẻ dữ liệu và các ứng dụng theo dõi bị chặn, gây bất lợi cho các công ty quảng cáo kỹ thuật số dựa vào thông tin đó để nhắm mục tiêu quảng cáo như Facebook.
“Apple là một công ty dịch vụ,” Sevilla nói. “Họ có hàng tỷ số thẻ tín dụng. Bạn không thể đánh giá thấp nỗ lực mà họ sẽ bỏ ra để đảm bảo rằng những thứ đó được khóa và tất cả những thứ đó đều được gắn với ID Apple, mật khẩu Apple. Vì vậy, tôi đoán nếu bạn làm theo ví dụ đó, chúng có thể được coi là an toàn hơn nhiều so với các ứng dụng độc lập.”
Các vấn đề chia sẻ dữ liệu rộng hơn đã được nêu ra tại WWDC về mối quan hệ hợp tác của Apple với OpenAI, công ty đang sử dụng để cho phép Siri truy cập ChatGPT. Một số người, bao gồm cả Elon Musk, đã nêu lên lo ngại rằng việc cho phép OpenAI truy cập vào dữ liệu người dùng Apple có thể là một hành vi vi phạm bảo mật tiềm ẩn. OpenAI sử dụng dữ liệu và hành vi của người dùng để đào tạo các mô hình AI của mình.
Mặc dù điều này rất khó xảy ra, nhưng với việc người dùng chia sẻ mật khẩu của họ với Apple và Apple chia sẻ dữ liệu với OpenAI, các chuyên gia an ninh mạng cho rằng điều đó ít nhất gây ra rủi ro về mặt lý thuyết rằng OpenAI có thể sử dụng thông tin đăng nhập để xem dữ liệu cá nhân cho mục đích học tập.
Apple nhắc lại cam kết của mình về quyền riêng tư dữ liệu tại WWDC 24. Apple Intelligence, công ty tham gia AI, sẽ tận dụng các mô hình dựa trên đám mây trên các máy chủ đặc biệt sử dụng Apple Silicon để đảm bảo rằng dữ liệu người dùng là riêng tư và an toàn. Nếu một yêu cầu cần được chuyển đến máy chủ đám mây, Apple cho biết họ sẽ chỉ gửi một lượng dữ liệu có giới hạn theo cách bảo mật “bằng mật mã”.
Phó chủ tịch cấp cao của Apple về Chiến lược học máy và AI, John Giannandrea, cho biết tại sự kiện: “Chúng tôi sẽ không lấy dữ liệu đó và gửi nó lên đám mây nào đó ở đâu đó”. “Bởi vì chúng tôi muốn mọi thứ phải thật riêng tư, cho dù nó chạy cục bộ hay trên dịch vụ điện toán đám mây và đó là cách chúng tôi muốn để chúng tôi có thể sử dụng dữ liệu cá nhân nhất của bạn.”