Những chiếc khóa USB nhỏ như thế này đang được Google nghiên cứu để thay cho mật khẩu. Trong ảnh là YubiKey Nano do hãng Yubico làm.
Trong một tài liệu nghiên cứu sắp được đăng tải trong tháng này, các chuyên gia bảo mật của Google cho biết họ cảm thấy mật khẩu không còn đủ khả năng giữ an toàn cho người dùng. Thay vào đó, công ty đang nhắm đến một hình thức xác thực mới để người dùng có thể nhanh chóng đăng nhập vào các trang web bằng sự trợ giúp của một khóa USB. Những nhà nghiên cứu của Google đã tiến hành thử nghiệm với chiếc thẻ USB mã hóa YubiKey do công ty Yubico sản xuất, và họ nhận ra rằng chỉ cần tinh chỉnh lại trình duyệt Chrome là người dùng có thể dễ dàng thực hiện quá trình đăng nhập bằng YubiKey mà không cần phải tải thêm phần mềm nào cả. Việc đăng kí chiếc thẻ với trang web cũng đơn giản không kém với một cú click chuột.
Với phương pháp nói trên, Google đang vẽ ra một tương lai mới, nơi chúng ta có thể dùng smartphone hay những thứ nho nhỏ tương tự như YubiKey để đăng nhập vào các trang web, tài khoản email,... Google thậm chí còn muốn mọi chuyện đơn giản hơn nữa khi đề xuất rằng khoá bảo mật có thể được tích hợp trong một chiếc nhẫn đeo tay và nó sẽ giao tiếp với PC nhờ kết nối không dây. Khi muốn đăng nhập, tất cả những gì người dùng cần thực hiện là chạm smartphone hay chiếc nhẫn vào máy tính, thế là xong.
Chế độ mã hóa AES 128-bit và tính năng password dùng một lần có thể được kích hoạt bằng cách chạm vào phần viền của chiếc khóa USB Yubikey nhỏ xíu này. Còn với Google thì họ thử nghiệm việc đăng nhập trang web.
Chuyên gia bảo mật Eric Grosse và Engineer Mayank Upadhyay của Google nhận định là có khả năng password sẽ không biến mất hoàn toàn, nhưng ít ra thì những công đoạn xác thực phức tạp và khó nhớ có thể được thay thế bằng khóa bảo mật. "Chúng ta sẽ phải có một dạng mở khóa màn hình nào đó, có thể là dùng password, cũng có thể là một thứ gì đó khác. Tuy nhiên, biện pháp chủ yếu sẽ là sử dụng khóa hoặc những phần cứng tương tự".
Grosse và Upadhyay tin rằng khi có đủ số lượng trang web hỗ trợ việc đăng nhập bằng phần cứng như thế này thì mọi người sẽ không cần đến những mật khẩu phức tạp nữa, trừ một số trường hợp hiếm khi xảy ra như thay đổi thông tin cá nhân quan trọng. Và tất nhiên là để dự tính của Google thành công, họ sẽ cần rất nhiều website cùng tham gia cuộc chơi. Grosse và Upadhyay ghi rằng "các công ty khác đã từng thử những biện pháp tương tự nhưng họ chỉ đạt được thành công nhỏ trong thế giới người tiêu dùng. Mặc dù chúng tôi biết sáng kiến của mình sẽ vẫn còn là 'lý thuyết' cho đến khi chúng tôi chứng minh rằng nó được chấp nhận rộng rãi, chúng tôi vẫn rất mong muốn được thử nghiệm nó trên các website khác".
Grosse và Upadhyay tiết lộ thêm rằng họ đã phát triển một nguyên mẫu của hệ thống bảo mật dựa trên phần cứng nhưng chưa đặt tên cụ thể. Sản phẩm này có thể hoạt động mà không cần phần mềm đặc thù nào, chỉ một trình duyệt có hỗ trợ việc đăng nhập bằng khóa bảo mật là đủ. Nguyên mẫu nói trên cũng sẽ chặn không cho các trang web sử dụng công nghệ xác thực mới để theo dõi người dùng.
Hai năm trước, Google đã từng giới thiệu một biện pháp bảo mật hai bước (two step authentication) để ngăn chặn việc xâm nhập trái phép vào tài khoản. Nếu kích hoạt tính năng này, Google sẽ gửi đến người dùng một đoạn mã bí mật qua SMS mỗi khi họ muốn đăng nhập trên một chiếc máy tính mới. Vấn đề ở đây đó là các hacker có thể "dụ" người dùng rằng họ đang truy cập vào trang Gmail nhưng thật sự không phải như vậy. Lúc người dùng nhập mã, nó sẽ bị đánh cắp và hacker đã có quyền truy cập vào tài khoản của chúng ta. Đôi khi, tin tặc còn thêm số điện thoại của chính bọn chúng vào account để làm chậm quá trình khôi phục tài khoản của chủ sở hữu thật sự. Giải pháp bảo mật bằng khóa phần cứng mới sẽ khắc phục được nhược điểm của two step authentication, lại tiện dụng hơn nhiều.
