v
Ngày 1/8/2025, một dấu mốc quan trọng trong lĩnh vực bảo mật kỹ thuật số đã diễn ra: Microsoft chính thức xoá toàn bộ mật khẩu được lưu trữ trên ứng dụng Microsoft Authenticator, một ứng dụng từng được coi là công cụ xác thực hàng đầu của hãng. Quyết định này đồng thời đánh dấu việc kết thúc hoàn toàn hỗ trợ tính năng lưu và tự động điền mật khẩu, chính thức mở đường cho chuẩn bảo mật mới: passkey.
Thông báo về việc ngừng hỗ trợ mật khẩu trên Microsoft Authenticator thực chất đã được Microsoft đưa ra từ tháng 5/2025. Theo đó, từ ngày 1/6, ứng dụng ngừng cho phép người dùng lưu thêm mật khẩu mới và tới 1/7 thì tính năng tự động điền cũng bị vô hiệu hóa. Mốc 1/8 được xem là thời điểm “khai tử” hoàn toàn dịch vụ quản lý mật khẩu trên ứng dụng. Toàn bộ dữ liệu đã lưu trước đó sẽ bị xóa vĩnh viễn khỏi hệ thống, không có ngoại lệ.
Điều này khiến không ít người dùng bất ngờ, đặc biệt là những người từng sử dụng Microsoft Authenticator như một kho lưu trữ mật khẩu tiện dụng đa nền tảng. Tuy nhiên, nếu nhìn rộng hơn trong bối cảnh phát triển của ngành bảo mật hiện nay, thì đây không chỉ là một quyết định chiến lược mà còn là bước đi tất yếu nhằm đưa người dùng đến gần hơn với một tương lai không mật khẩu.
Trước khi bị “xóa sổ”, Microsoft Authenticator từng là một trong những ứng dụng xác thực phổ biến nhất thế giới, đặc biệt trong hệ sinh thái Microsoft và doanh nghiệp. Đây là một ứng dụng miễn phí cung cấp nhiều phương thức xác thực đa yếu tố (MFA), từ mã OTP theo thời gian (TOTP), thông báo xác nhận đăng nhập, đến xác thực sinh trắc học như vân tay hoặc nhận diện khuôn mặt.
Đặc biệt, Authenticator từng được đánh giá cao nhờ khả năng tích hợp mật khẩu và tự động điền trên cả iOS và Android, giúp người dùng có thể đăng nhập vào các ứng dụng, trình duyệt và nền tảng một cách nhanh chóng mà không cần nhớ quá nhiều thông tin đăng nhập.
Chính nhờ sự tiện lợi này mà rất nhiều người đã tin tưởng sử dụng Authenticator như một trình quản lý mật khẩu mặc định cho thiết bị di động, song song với việc xác thực đăng nhập Microsoft 365 hay Azure Active Directory.
Tuy nhiên, công nghệ không ngừng phát triển và mô hình bảo mật dựa trên mật khẩu bắt đầu bộc lộ nhiều lỗ hổng. Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc lưu trữ và quản lý mật khẩu dù được mã hóa vẫn bị coi là phương pháp không còn đủ an toàn. Đó là lúc passkey, một phương thức đăng nhập không mật khẩu bước vào cuộc chơi.
Passkey là một hình thức xác thực mới, được xây dựng dựa trên tiêu chuẩn của FIDO (Fast IDentity Online) và được các công ty lớn như Apple, Google, Microsoft đồng loạt áp dụng từ năm 2022. Không giống như mật khẩu truyền thống, passkey không yêu cầu người dùng phải gõ ký tự vào ô đăng nhập. Thay vào đó, xác thực sẽ được thực hiện thông qua một thiết bị phần cứng thứ ba có thể là điện thoại, máy tính bảng hoặc khóa bảo mật vật lý.
Nguyên lý hoạt động của passkey khá đơn giản nhưng hiệu quả: khi đăng nhập, hệ thống sẽ gửi một yêu cầu đến thiết bị đã được liên kết với tài khoản trước đó. Thiết bị này sẽ yêu cầu người dùng xác nhận bằng vân tay, nhận dạng khuôn mặt hoặc mã PIN, sau đó gửi chứng thực trở lại máy chủ. Quá trình này hoàn toàn không truyền mật khẩu qua mạng, nên không thể bị rò rỉ hay đánh cắp.
Điểm mạnh lớn nhất của passkey nằm ở sự kết hợp giữa bảo mật cao và tính tiện lợi. Người dùng không cần nhớ hàng tá mật khẩu, không lo bị lộ thông tin qua các vụ rò rỉ dữ liệu và cũng không cần thiết lập mã xác thực hai yếu tố rườm rà như trước.
Forbes từng nhận định rằng passkey có thể là “kẻ thay thế hoàn hảo” cho mật khẩu, bởi nó vượt qua được cả hai nhược điểm lớn nhất: khả năng bị đánh cắp và khả năng bị bỏ qua bởi hacker. Cụ thể, ngay cả khi hacker có được thông tin tài khoản, họ cũng không thể đăng nhập nếu không có thiết bị xác thực vật lý và dữ liệu sinh trắc học tương ứng.
Tuy nhiên, passkey cũng không phải là không có giới hạn. Nhược điểm lớn nhất hiện nay chính là yêu cầu kết nối Internet ổn định để xác thực thiết bị. Ngoài ra, nếu mất thiết bị xác thực và không có bản sao lưu passkey, người dùng có thể bị khóa tài khoản vĩnh viễn.
Việc loại bỏ hoàn toàn tính năng lưu mật khẩu trên Authenticator không phải là hành động đơn lẻ. Đây là một phần trong chiến lược dài hơi của Microsoft nhằm thúc đẩy mô hình bảo mật không mật khẩu, vốn đã được công ty theo đuổi từ năm 2021.
Theo tuyên bố chính thức, Microsoft đặt mục tiêu trong vài năm tới sẽ có hơn một tỷ người dùng trên toàn cầu đăng nhập vào các dịch vụ của hãng chỉ bằng passkey. Đây là con số đầy tham vọng nhưng không phải là không khả thi nếu nhìn vào xu hướng thị trường hiện tại.
Thực tế, việc Microsoft yêu cầu người dùng muốn tiếp tục quản lý mật khẩu phải chuyển sang sử dụng trình duyệt Microsoft Edge, nơi tích hợp công cụ quản lý passkey cho thấy hãng đang dồn lực vào việc biến Edge thành trung tâm kiểm soát bảo mật mới trong hệ sinh thái Microsoft.
Điều này không chỉ mang lại lợi ích về bảo mật, mà còn giúp hãng tăng thị phần của trình duyệt Edge vốn đang bị cạnh tranh gay gắt bởi Google Chrome và Apple Safari. Bằng cách biến Edge thành “trạm trung chuyển” cho việc lưu trữ và xác thực passkey, Microsoft hy vọng có thể tăng cường tính gắn kết của người dùng với hệ sinh thái của mình.
Ngoài ra, theo các chuyên gia bảo mật từ Cnet và The Verge, Microsoft đang thực hiện một “cuộc cách mạng yên lặng” trong việc thay đổi hành vi người dùng từ việc ghi nhớ và tái sử dụng mật khẩu sang mô hình xác thực thông minh, không cần ghi nhớ gì ngoài thiết bị của chính mình.
Mặc dù Microsoft đã đưa ra cảnh báo từ rất sớm nhưng theo khảo sát của Cnet, vẫn còn hàng triệu người chưa sao lưu hoặc chuyển đổi dữ liệu mật khẩu của mình. Đây là điều cực kỳ rủi ro bởi sau ngày 1/8, toàn bộ dữ liệu lưu trữ trên Authenticator sẽ bị xóa không thể khôi phục.
Để chuẩn bị tốt nhất, người dùng nên thực hiện những bước sau:
Trước hết, mở ứng dụng Microsoft Authenticator, truy cập vào phần quản lý mật khẩu và xuất các dữ liệu đã lưu về thiết bị hoặc lưu trữ an toàn trên ứng dụng khác.
Tải về trình duyệt Microsoft Edge nếu muốn tiếp tục sử dụng passkey do Microsoft cung cấp. Edge hiện hỗ trợ tính năng đồng bộ passkey qua tài khoản Microsoft và cho phép đăng nhập nhanh trên mọi nền tảng.
Nếu không muốn sử dụng Edge, người dùng có thể chuyển sang các trình quản lý mật khẩu bên thứ ba như Bitwarden, Dashlane hoặc 1Password. Những ứng dụng này đã tích hợp hỗ trợ passkey và cho phép nhập dữ liệu từ Microsoft Authenticator dễ dàng.
Cuối cùng, người dùng nên làm quen với passkey bằng cách kích hoạt tính năng này trên các dịch vụ có hỗ trợ như Gmail, Dropbox, Facebook hoặc chính Microsoft 365. Việc này sẽ giúp quá trình chuyển đổi diễn ra trơn tru và ít bỡ ngỡ hơn.
Câu hỏi lớn được đặt ra sau thông báo “khai tử” Microsoft Authenticator là: liệu mật khẩu có thực sự biến mất khỏi thế giới số hay không?
Câu trả lời có lẽ là “không hoàn toàn”, ít nhất là trong ngắn hạn. Dù passkey đang ngày càng phổ biến và được đánh giá cao nhưng vẫn còn rất nhiều nền tảng, dịch vụ và phần mềm chưa hỗ trợ công nghệ này. Đặc biệt, ở các quốc gia đang phát triển, nơi tỷ lệ thiết bị đời mới còn thấp và thói quen người dùng chưa thay đổi, mật khẩu vẫn là lựa chọn mặc định.
Tuy nhiên, xu thế là không thể đảo ngược. Theo nghiên cứu của Liên minh FIDO, 54% người dùng đã thử passkey cho biết họ thấy tiện lợi hơn so với mật khẩu, trong khi 53% tin tưởng rằng passkey an toàn hơn. Một khi trải nghiệm xác thực đã được cải thiện rõ rệt, sẽ rất khó để người dùng quay lại với mô hình cũ.
Microsoft, Apple, Google và các “ông lớn” công nghệ đang đi đầu trong việc phổ cập passkey. Mỗi hệ điều hành, trình duyệt và thiết bị mới đều được tích hợp công nghệ này ngay từ đầu. Điều đó cho thấy rằng, chỉ trong vòng 3–5 năm tới, rất có thể chúng ta sẽ bước vào một kỷ nguyên mà “mật khẩu” chỉ còn là khái niệm lịch sử.
Việc Microsoft chính thức “xóa sổ” lưu trữ mật khẩu trên Authenticator là bước đi quyết đoán cho thấy hãng đang đặt cược lớn vào mô hình không mật khẩu. Dù hành động này có thể gây khó khăn ngắn hạn cho một số người dùng nhưng về lâu dài, đây là bước tiến cần thiết để xây dựng một thế giới số an toàn, thông minh và tiện lợi hơn.
Passkey không chỉ là công nghệ, mà còn là biểu tượng cho một triết lý bảo mật mới, nơi con người không cần ghi nhớ hay lo sợ bị lộ thông tin, mà chỉ cần tin tưởng vào chính thiết bị và sinh trắc học của mình.
Và như mọi cuộc chuyển mình trong công nghệ, sẽ luôn có những bỡ ngỡ ban đầu. Nhưng nếu có một điều chắc chắn, thì đó là: kỷ nguyên mật khẩu đang dần khép lại và Microsoft vừa chính thức đóng một cánh cửa để mở ra cả một chương mới.
Bạn có chắc chắn muốn Reset Key/ Đổi Máy trên Key này không?
Máy tính đã kích hoạt Key này sẽ bị gỡ và bạn dùng Key này để kích hoạt trên máy tính bất kỳ.