Nếu bạn đã đi dạo quanh khu triển lãm tại Hội nghị RSA năm nay, có lẽ bạn cũng nhận thấy điều tương tự tôi:
Trí tuệ Nhân tạo (AI) đang hiện diện khắp nơi. Agentic AI. AI trong phát hiện mối đe dọa. AI trong
tường lửa. AI trong quản lý danh tính. Các bản demo do AI tạo ra. AI mọi thứ. Năng lượng xung quanh
AI là không thể phủ nhận, và chúng ta đang chứng kiến sự đổi mới thực sự, những cải tiến về hiệu quả và động
lực phát triển của ngành.
Nhưng khi tôi di chuyển giữa các gian hàng, buổi thuyết trình và cuộc họp, một tuyên bố duy nhất vẫn đúng:
Trong thế giới AI này, bạn vẫn cần đảm bảo rằng bạn vẫn là con người. Và đó không chỉ là một khẩu
hiệu thông minh, mà là một sự cần thiết trong thế giới thực đối với cả doanh nghiệp và người tiêu dùng.
AI không quan tâm bạn là ai và nó không biết ý định của bạn. Điều này có thể khiến việc phân biệt giữa một
quản trị viên được ủy quyền hay một kẻ độc hại sử dụng thông tin đăng nhập bị đánh cắp trở nên khó khăn.
Nhiệm vụ đó vẫn thuộc về xác thực, và quan trọng hơn, thuộc về con người đứng sau quá trình xác thực.
Chúng ta dành quá nhiều thời gian để xây dựng các hệ thống thông minh hơn, tự động hơn, nhưng tất cả những
điều đó đều vô nghĩa nếu một người trong chuỗi truy cập đó bị lừa đảo (phished), bị tấn công phi kỹ thuật
(socially engineered) hoặc bị deepfake để giao nộp thông tin đăng nhập của họ – và những kẻ tấn công biết
điều đó. AI đã thúc đẩy mạnh mẽ các cuộc tấn công lừa đảo (phishing attacks) – nó có thể giúp những kẻ xấu
cá nhân hóa email trên quy mô lớn, giả mạo giọng nói và video trong các cuộc gọi, và dễ dàng tạo ra các
trang đăng nhập giả mạo trông giống hệt các công cụ nội bộ của bạn. Một mật khẩu gõ sai, một đường link được
nhấp và đột nhiên khung bảo mật “Không Tin Cậy” (Zero Trust) của bạn lại có một vấn đề tin cậy rất thực tế.
Đây là lý do tại sao chúng ta phải suy nghĩ lại về ý nghĩa của sự tin cậy và xác minh trong một thế giới do
AI điều khiển. Nó không chỉ là về các hệ thống thông minh hơn hay phân tích nâng cao – mà là về việc gắn kết
danh tính với một thứ không thể bị giả mạo, lừa đảo (phished) hoặc sao chép bởi máy móc AI. Đó là
lúc xác thực mạnh mẽ, chống lừa đảo (phishing-resistant authentication) yêu cầu sự hiện diện và chạm của con
người trở thành một thành phần quan trọng để xác minh danh tính kỹ thuật số trong một thế giới trực tuyến
ban đầu không được xây dựng với mục tiêu bảo mật. Đó là sức mạnh của khóa truy cập (passkeys) gắn liền với
thiết bị. Đó là sức mạnh của YubiKey.
YubiKeys là tiêu chuẩn vàng cho xác thực hiện đại vì chúng gắn kết thông tin đăng nhập với thế giới vật lý và
với chính bạn. Chúng không dựa vào các thông tin đăng nhập dễ bị lừa đảo (phishable credentials) có thể bị
đánh cắp, như mật khẩu, hoặc các mã có thể bị chặn, như các mã truy cập một lần (OTP) cũ. Xác thực khóa truy
cập (passkey) FIDO hiện đại chứng minh rằng người đang đăng nhập là người được phép truy cập.
Khóa bảo mật YubiKey vượt qua mọi nhiễu
loạn với một tín hiệu rất thực tế: Thông tin đăng nhập này được lưu trữ trên một thiết bị đáng tin cậy
và quá trình đăng nhập được xác nhận bằng thao tác chạm của con người.
Tôi đã có nhiều cuộc trò chuyện tại RSA với những người đang phải vật lộn với vấn đề chính xác này và đó là
lúc YubiKey phát huy tác dụng. Chúng không chỉ giúp xác thực dễ dàng và mạnh mẽ hơn, mà còn làm cho nó trở
nên “con người” hơn. Và trong thời đại mà bot có thể tạo ra nội dung không giới hạn, các cuộc phỏng vấn
deepfake hay mô phỏng hoạt động bàn phím, chúng ta cần sự bảo mật vật lý, chống lừa đảo (phishing-resistant
security) đó hơn bao giờ hết.
Điều quan trọng là phải cân bằng giữa những lợi ích và những điều chưa biết mà AI mang lại. Trong một thế
giới nơi máy móc đang bắt đầu bắt chước gần như mọi thứ, việc xác minh ý định và sự hiện diện của con người
là rất quan trọng. Và khi bảo mật của doanh nghiệp hoặc danh tính trực tuyến cá nhân của bạn đang bị đe dọa,
niềm tin bắt đầu từ điểm đăng nhập. Bởi vì cuối cùng, tín hiệu bảo mật mạnh mẽ nhất không phải là nhân tạo –
nó là, và sẽ luôn là, con người.
Nguồn tham khảo: yubico.com
