Mật khẩu từ lâu đã bộc lộ nhiều điểm yếu cố hữu trước các cuộc tấn công mạng như lừa đảo (phishing) và dò mật khẩu (brute force). Thực trạng này đã thúc đẩy việc áp dụng rộng rãi passkey, một phương pháp xác thực không mật khẩu tận dụng các cặp khóa mật mã. Passkey cho phép người dùng đăng nhập bằng sinh trắc học hoặc khóa phần cứng, mang lại một giải pháp an toàn hơn cho người dùng trước các lỗ hổng passkey.

Theo FIDO Alliance, hơn 15 tỷ tài khoản đã được kích hoạt passkey, với 69% người dùng trên toàn cầu đã bật passkey cho ít nhất một tài khoản. Lời hứa của passkey rất đơn giản: loại bỏ mật khẩu, loại bỏ các lỗ hổng liên quan.

Tuy nhiên, các nhà nghiên cứu Shourya Pratap Singh, Daniel Seetoh và Jonathan Lin từ SquareX đã công bố một lỗ hổng passkey nghiêm trọng tại hội nghị DEF CON 33, có khả năng gây rủi ro cho các tài khoản ứng dụng ngân hàng, mua sắm và SaaS doanh nghiệp quan trọng.

Cách Thức Hoạt Động của Passkey

Passkey hoạt động bằng cách sử dụng một cặp khóa mật mã thay vì mật khẩu truyền thống. Khóa riêng (private key) được lưu trữ an toàn trên thiết bị của người dùng. Trong khi đó, khóa công khai (public key) được lưu trữ trên máy chủ của trang web.

Khi đăng nhập, người dùng xác thực cục bộ bằng sinh trắc học, khóa phần cứng cục bộ hoặc mã PIN để truy cập khóa riêng. Trang web sau đó sẽ xác minh chữ ký này bằng khóa công khai tương ứng để cấp quyền truy cập.

Thiết kế này tăng cường bảo mật bằng cách liên kết xác thực với một thiết bị và trang web đã đăng ký trước. Điều này giúp loại bỏ các rủi ro từ mật khẩu bị đánh cắp, sử dụng lại hoặc mật khẩu yếu.

Một điểm đáng lưu ý là tất cả các giao tiếp giữa máy chủ và thiết bị của người dùng đều được truyền qua trình duyệt. Nói cách khác, passkey hoạt động dựa trên giả định rằng trình duyệt là một kênh “đáng tin cậy”.

Lỗ Hổng Passkey: Khai Thác Qua Trình Duyệt

Các nhà nghiên cứu đã chỉ ra rằng thông qua các script tương đối đơn giản và các tiện ích mở rộng trình duyệt độc hại, kẻ tấn công mạng có thể chặn và giả mạo quá trình đăng ký passkey. Điều này cho phép chúng truy cập tài khoản mà không cần thiết bị hoặc sinh trắc học thực của người dùng.

Ngay cả khi passkey đã được đăng ký, kẻ tấn công vẫn có thể khiến quá trình đăng nhập passkey thất bại. Điều này buộc người dùng phải đăng ký lại passkey của họ trong một môi trường do kẻ tấn công kiểm soát.

Shourya Pratap Singh, một trong các nhà nghiên cứu, nhận định: “Passkey là một hình thức xác thực rất đáng tin cậy. Khi người dùng thấy lời nhắc sinh trắc học, họ coi đó là tín hiệu của sự an toàn. Điều họ không biết là kẻ tấn công có thể dễ dàng giả mạo việc đăng ký và xác thực passkey bằng cách chặn luồng hoạt động của passkey trong trình duyệt. Đây là một lỗ hổng passkey nghiêm trọng, đe dọa hầu hết các ứng dụng doanh nghiệp và người tiêu dùng, bao gồm các ứng dụng ngân hàng và lưu trữ dữ liệu quan trọng.”

Thách Thức Đối Với An Ninh Mạng Truyền Thống

Thật không may, các công cụ bảo mật truyền thống như EDR (Endpoint Detection and Response) và SASE/SSE (Secure Access Service Edge/Security Service Edge) thiếu khả năng hiển thị cần thiết trong trình duyệt để phát hiện các cuộc khai thác passkey. Từ góc độ người dùng, cuộc tấn công này hoàn toàn giống với một luồng hoạt động passkey hợp lệ.

Nói cách khác, không có bất kỳ chỉ báo hình ảnh hoặc tín hiệu mạng nào có thể xác minh tính hợp pháp của dịch vụ hoặc yêu cầu xác thực. Do đó, cách duy nhất để ngăn chặn cuộc khai thác này là giám sát và chặn trực tiếp mọi script và tiện ích mở rộng độc hại trong trình duyệt.

Trình Duyệt: Điểm Yếu Mới Trong Hệ Thống Bảo Mật

Với hơn 80% dữ liệu doanh nghiệp hiện đang nằm trong các ứng dụng SaaS, passkey đang nổi lên như phương pháp xác thực ưu việt để truy cập các nền tảng này. Nghiên cứu trên đã chứng minh rằng trình duyệt là điểm dễ bị tấn công trong bảo mật passkey. Nó cung cấp cơ sở cho nhiều vectơ tấn công mà kẻ xấu có thể lợi dụng để khai thác các lỗ hổng passkey.

Khi passkey đang dần trở thành tiêu chuẩn vàng trong xác thực, các doanh nghiệp phải đảm bảo có các biện pháp bảo mật mạnh mẽ. Các biện pháp này nhằm bảo vệ môi trường nơi người dùng và passkey hoạt động chủ yếu: chính là trình duyệt. Để biết thêm thông tin về các phát hiện này, bạn có thể tham khảo tại DEF CON 33 hoặc tìm hiểu thêm về passkey qua FIDO Alliance.

Giải Pháp: Browser Detection and Response (BDR)

Các giải pháp như Browser Detection and Response (BDR) đang được phát triển để giải quyết những thách thức này, cung cấp một “EDR trong trình duyệt”. BDR trang bị cho các tổ chức khả năng chủ động phát hiện, giảm thiểu và săn lùng các mối đe dọa tấn công web phía máy khách. Chúng bao gồm các tiện ích mở rộng trình duyệt độc hại, tấn công lừa đảo có mục tiêu cao (spearphishing) nâng cao, mã độc tống tiền (ransomware) hoạt động trên trình duyệt và các lỗ hổng rò rỉ dữ liệu (DLP) dựa trên AI.

Không giống như các phương pháp bảo mật truyền thống hoặc các trình duyệt doanh nghiệp phức tạp, các giải pháp BDR tích hợp liền mạch với trình duyệt tiêu dùng hiện có của người dùng. Điều này đảm bảo tăng cường bảo mật mà không ảnh hưởng đến trải nghiệm người dùng hoặc năng suất làm việc.

Bằng cách cung cấp khả năng hiển thị và kiểm soát chưa từng có trực tiếp trong trình duyệt, BDR cho phép các nhà lãnh đạo bảo mật giảm bề mặt tấn công của họ. Từ đó, họ có thể thu thập thông tin tình báo có giá trị và củng cố tư thế an ninh mạng của doanh nghiệp chống lại vectơ đe dọa mới nhất: trình duyệt.