Microsoft chính thức loại bỏ mật khẩu, mặc định dùng passkey cho mọi tài khoản mới

Với những thay đổi mới nhất, Microsoft đổi tên "Ngày Mật khẩu Thế giới" (World Password Day) thành "Ngày Passkey Thế giới" (World Passkey Day), đồng thời cam kết sẽ tiếp tục triển khai rộng rãi passkey trong năm tới.

Microsoft hiện đã mặc định sử dụng passkey (khóa đăng nhập) cho mọi tài khoản mới, giúp người dùng an toàn hơn bằng cách loại bỏ hoàn toàn mật khẩu – từ đó không còn nguy cơ bị đánh cắp. Khi tạo tài khoản lần đầu, Microsoft sẽ yêu cầu bạn nhập địa chỉ email. Sau đó, một mã xác minh sẽ được gửi về để xác nhận danh tính, và địa chỉ email đó sẽ trở thành thông tin đăng nhập mặc định cho tài khoản mới của bạn.

Sau khi tạo tài khoản Microsoft và đăng nhập, hệ thống sẽ yêu cầu bạn thêm một passkey. Khi đã thiết lập, bạn có thể dùng Windows Hello hoặc các phương thức bảo mật sinh trắc học của thiết bị để truy cập tài khoản của mình.

Passkey đã xuất hiện gần một thập kỷ, ý tưởng là có thể thay thế mật khẩu truyền thống bằng các phương thức xác thực có sẵn trên thiết bị của người dùng. Nhờ vậy, chúng ta có thể đăng nhập vào Gmail, PayPal hoặc iCloud chỉ bằng cách kích hoạt Face ID trên iPhone, cảm biến vân tay trên điện thoại Android, hoặc dùng Windows Hello trên PC.

Windows 10 đã hỗ trợ đăng nhập không cần mật khẩu từ tháng 7 năm 2015. Tuy nhiên, phải đến năm 2022 thì chuẩn này mới thực sự phổ biến, khi Google, Apple và Microsoft đồng loạt triển khai passkey trên các hệ điều hành của họ.

Thậm chí, tài khoản cá nhân Microsoft cũng chỉ mới được hỗ trợ tính năng này vào năm 2024. Dù vậy, đây vẫn là một bước tiến đáng hoan nghênh, vì nó giúp việc đăng nhập tài khoản Microsoft trở nên dễ dàng và an toàn hơn. Cuối cùng thì ít có mật khẩu để nhớ vẫn là tốt hơn và không có thì… không sợ quên mất.

Microsoft muốn "khai tử" mật khẩu

Microsoft đang tiếp tục chiến lược loại bỏ hoàn toàn mật khẩu khi đăng nhập, với bước tiến mới là cải tiến giao diện đăng nhập để tự động phát hiện và đề xuất phương thức xác thực tối ưu ngay từ đầu, thay vì hiển thị mọi tùy chọn có thể.

"Ví dụ, nếu bạn đã thiết lập mật khẩu và mã xác minh một lần (OTP) cho tài khoản, chúng tôi sẽ đề xuất bạn đăng nhập bằng mã OTP thay vì mật khẩu. Sau khi đăng nhập xong, bạn sẽ được nhắc thiết lập passkey. Lần đăng nhập tiếp theo, bạn sẽ sử dụng passkey thay cho mật khẩu," Chủ tịch Microsoft Identity & Network Access Joy Chik và Phó Chủ tịch Microsoft Security Vasu Jakkal cho biết. " Trải nghiệm đơn giản hóa này giúp đăng nhập nhanh hơn, và trong các thử nghiệm, đã giúp giảm hơn 20% việc sử dụng mật khẩu. Khi ngày càng nhiều người dùng chuyển sang passkey, số lần đăng nhập bằng mật khẩu sẽ tiếp tục giảm, cho đến khi chúng tôi có thể loại bỏ hoàn toàn hỗ trợ mật khẩu."

Việc loại bỏ mật khẩu sẽ khiến các hành vi tấn công như lừa đảo (phishing), ghi phím (keylogging), chiếm quyền qua SIM (SIM swapping) và nhiều hình thức khác trở nên kém hiệu quả hơn. Ngay cả khi người dùng bị mất thiết bị lưu trữ passkey, tài khoản vẫn được bảo vệ vì kẻ xấu cần sinh trắc học của người dùng mới có thể truy cập. Dù trong lý thuyết, kẻ xấu có thể vượt qua cơ chế này nếu có nguồn tài nguyên cực kỳ lớn, nhưng đối với người dùng phổ thông, passkey vẫn là một bước tiến lớn trong việc bảo vệ dữ liệu cá nhân.

Với những thay đổi mới nhất, Microsoft chính thức đổi tên "Ngày Mật khẩu Thế giới" (World Password Day) thành "Ngày Passkey Thế giới" (World Passkey Day), đồng thời cam kết sẽ tiếp tục triển khai rộng rãi passkey trong năm tới.

Công ty cho biết hiện đang ghi nhận gần một triệu passkey được đăng ký mỗi ngày, và người dùng passkey có tỷ lệ đăng nhập thành công lên tới 98%, trong khi con số này với người dùng mật khẩu truyền thống chỉ là 32%.