Các cơ chế xác thực không mật khẩu (passkey) từ lâu được xem là bước tiến quan trọng trong việc giảm thiểu nguy cơ chiếm đoạt tài khoản. Tuy nhiên, những phát hiện mới từ giới nghiên cứu cho thấy mô hình này, khi triển khai trong thực tế, vẫn tồn tại những điểm yếu đáng lưu ý, đặc biệt trong hệ sinh thái của Google Authenticator.
Theo đó, kiến trúc passkey mà Google triển khai sử dụng mô hình lai, kết hợp giữa bảo mật phần cứng trên thiết bị và cơ chế quản lý khóa trên nền tảng đám mây. Cách tiếp cận này giúp đơn giản hóa trải nghiệm người dùng và cho phép đồng bộ xác thực giữa nhiều thiết bị, nhưng đồng thời cũng mở ra những bề mặt tấn công mới.
Trong quá trình thiết lập ban đầu, hệ thống tạo ra một khóa gốc (Security Domain Secret – SDS) đóng vai trò mã hóa toàn bộ các passkey được đồng bộ. Các khóa này sau đó được trao đổi và lưu trữ thông qua một thành phần cloud trung gian, cho phép người dùng sử dụng passkey liền mạch trên nhiều thiết bị khác nhau.
Tuy nhiên, chính cơ chế đồng bộ và phụ thuộc vào hạ tầng cloud lại trở thành điểm rủi ro. Các chuyên gia cảnh báo, nếu kẻ tấn công có thể khai thác lỗ hổng trong quá trình giao tiếp hoặc xâm nhập vào thành phần cloud, họ có thể giả mạo một thiết bị hợp lệ đã được đăng ký trong hệ thống.
Trong kịch bản này, attacker có thể thực hiện các phiên xác thực hợp lệ bằng passkey mà không cần vượt qua các lớp kiểm soát truyền thống, từ đó chiếm quyền truy cập vào tài khoản người dùng. Nguy cơ này đặc biệt đáng lo ngại khi các cơ chế xác thực hiện tại có thể coi những truy cập này là hợp pháp, khiến việc phát hiện trở nên khó khăn hơn.
Các chuyên gia nhận định, thực tế này cho thấy xác thực không mật khẩu không phải là “lá chắn tuyệt đối” như nhiều tổ chức kỳ vọng. Thay vào đó, rủi ro đang dịch chuyển từ việc bảo vệ thông tin đăng nhập sang việc đảm bảo an toàn cho hạ tầng danh tính và cơ chế đồng bộ trên cloud.
Trong bối cảnh đó, các tổ chức cần mở rộng phạm vi phòng thủ, tập trung giám sát các hành vi xác thực bất thường, kiểm soát chặt chẽ thiết bị tham gia hệ thống và tăng cường khả năng phát hiện các dấu hiệu giả mạo trong quá trình đồng bộ. Đây được xem là hướng tiếp cận cần thiết để giảm thiểu rủi ro trong kỷ nguyên xác thực thế hệ mới.
