Xác thực bằng tên đăng nhập và mật khẩu dần được thay thế
Chiều ngày 13/7, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT cùng Công ty cổ phần Dịch vụ an ninh mạng VinCSS và tập đoàn IEC tổ chức “Tọa đàm xác thực không mật khẩu Make in Việt Nam” theo cả hai hình thức trực tiếp và trực tuyến.
Theo các chuyên gia, bối cảnh chuyển đổi số cùng các mối đe dọa trên không gian mạng gia tăng đã đặt ra bài toán lớn cho ngành an toàn thông tin nói chung và quản lý định danh, truy cập nói riêng.
 |
| Thứ trưởng Nguyễn Huy Dũng nhận định: Công nghệ xác thực mạnh đang trở thành xu thế và dần trở thành một trong những tiêu chí quan trọng để các doanh nghiệp phát triển. |
Phát biểu khai mạc tọa đàm, ông Nguyễn Huy Dũng, Thứ trưởng Bộ TT&TT cho hay, xác thực là bước đầu tiên người dùng tương tác, sử dụng sản phẩm, dịch vụ số. Một sản phẩm, dịch vụ số bảo đảm an toàn một cách toàn trình mà chúng ta hướng tới phải được bắt đầu từ khâu đầu tiên là xác thực người dùng.
Trước đây, mọi người quen với việc sử dụng tên đăng nhập và mật khẩu để đăng nhập sử dụng dịch vụ. Nhưng điều này chưa thực sự an toàn, thuận tiện cho người dùng. Việc phải ghi nhớ nhiều mật khẩu cũng tiềm ẩn rủi ro đối với các tổ chức và không đảm bảo an toàn trước các cuộc tấn công mạng hiện đại. Do đó, phương thức xác thực bằng tên đăng nhập và mật khẩu dần được thay thế bằng các công nghệ xác thực mạnh hơn.
“Công nghệ xác thực mạnh đang trở thành xu thế và dần trở thành một trong những tiêu chí quan trọng để các doanh nghiệp phát triển, cung cấp các hệ thống CNTT, các dịch vụ số và mang lại nhiều giá trị hơn cho người dùng cuối: giảm tỉ lệ tấn công lừa đảo, đánh cắp danh tính, tăng hiệu quả trải nghiệm người dùng, tiết kiệm chi phí vận hành”, Thứ trưởng nhận định.
Trao đổi tại tọa đàm, Cục trưởng Cục An toàn thông tin Nguyễn Thành Phúc cho biết, lộ lọt dữ liệu người dùng đang diễn ra phức tạp ở Việt Nam và thế giới. Cụ thể, vào tháng 4/2021, hơn 500 triệu tài khoản Facebook bị rò rỉ dữ liệu. Tháng 9/2021, 500.000 tài khoản và mật khẩu người dùng trên 200.000 thiết bị Fortinet VPN toàn cầu bị tiết lộ.
Cuối năm ngoái, thống kê của NordPass cho biết hàng triệu mật khẩu người dùng Việt Nam bị lộ và “123456” là mật khẩu phổ biến nhất. Gần đây nhất, trong tháng 7 dữ liệu 1 tỷ người dùng Trung Quốc đã bị rao bán công khai.
Nhấn mạnh nguy cơ lộ lọt dữ liệu do thông thông tin đăng nhập bị đánh cắp, ông Nguyễn Thành Phúc dẫn chứng, báo cáo điều tra của Verizon từ tháng 11/2020 đến tháng 10/2021 chỉ ra rằng việc sử dụng thông tin đăng nhập bị đánh cắp chiếm tới 80% các vụ vi phạm dữ liệu. Vào ngày 5/5/2022 – Ngày mật khẩu thế giới, Phó chủ tịch Microsoft cho biết trung bình 921 cuộc tấn công mật khẩu diễn ra mỗi giây, tần suất tăng gấp đôi trong 12 tháng qua.
Nói về mối liên hệ giữa mật khẩu, dữ liệu và niềm tin, đại diện Cục An toàn thông tin phân tích, khi mật khẩu là phương pháp đảm bảo an toàn thông tin phổ biến nhất, việc giữ an toàn cho tài khoản cá nhân trở nên quan trọng hơn bao giờ hết.
Khi mọi công việc có thể diễn ra trực tuyến, nguy cơ thông tin đăng nhập bị đánh cắp luôn hiện hữu thông qua lỗ hổng hệ thống, thói quen sử dụng mật khẩu không an toàn và lừa đảo trực tuyến. “Mật khẩu giống như chìa khóa để truy cập nhiều thông tin có giá trị. Lộ lọt dữ liệu gây hoang mang, ảnh hưởng niềm tin của người dùng vào công cuộc chuyển đổi số”, đại diện Cục An toàn thông tin nêu quan điểm.
Phát triển giải pháp xác thực mạnh để bảo vệ dữ liệu người dùng
Cũng theo đại diện Cục An toàn thông tin, Bộ TT&TT đã và đang thúc đẩy doanh nghiệp nghiên cứu giải pháp bảo vệ dữ liệu cá nhân và người dùng, tạo giải pháp xác thực mạnh.
Là một phương thức xác thực mạnh, xác thực không mật khẩu là xác minh danh tính bằng yếu tố khác, không phải mật khẩu. Công nghệ xác thực này giúp tăng cường an toàn bằng cách loại bỏ hoạt động quản lý mật khẩu và nguy cơ.
Đại diện Cục An toàn thông tin thông tin thêm, xuất hiện năm 2018, công nghệ xác thực mạnh không mật khẩu theo chuẩn FIDO2 hứa hẹn tạo ra cách mạng trong xác thực và nhận diện. Tại Việt Nam, đang giai đoạn sơ khởi, nhiều cá nhân, tổ chức chưa được tiếp cận công nghệ xác thực không mật khẩu, trong khi chi phí quản lý mật khẩu OTP cao, phức tạp.
Tuyên bố chung trong Ngày mật khẩu thế giới 5/5/2022, Apple, Google, Microsoft đưa ra cam kết mạnh mẽ về hỗ trợ giải pháp đăng nhập các thiết bị điện tử không dùng mật khẩu thiết lập bởi Liên minh xác thực trực tuyến thế giới (FIDO Alliance) và Tổ chức tiêu chuẩn quốc tế chính cho World Wide Web. “Giải pháp này cho phép trang web và ứng dụng cung cấp thông tin đăng nhập nhất quán mà không cần dùng mật khẩu trên các thiết bị và nền tảng khác nhau”, đại diện Cục An toàn thông tin chia sẻ.
 |
| Xuất hiện năm 2018, công nghệ xác thực mạnh không mật khẩu theo chuẩn FIDO2 hứa hẹn tạo ra cách mạng trong xác thực và nhận diện. |
Cùng quan điểm với đại diện Cục An toàn thông tin, ông Cấn Văn Lực, chuyên gia kinh tế trưởng, Giám đốc Viện Đào tạo và Nghiên cứu BIDV nêu bài toán về đồng thời nâng cao trải nghiệm khách hàng và đảm bảo an toàn thông tin cho tổ chức: “Trong bối cảnh về tính đa nhiệm, đa chức năng của một giải pháp là điều đáng chú trọng đầu tư, công nghệ xác thực được kỳ vọng không chỉ là giải pháp giúp đảm bảo an toàn mà góp phần mang lại trải nghiệm sử dụng tốt, khiến người dùng hài lòng, từ đó gia tăng giá trị cạnh tranh cho doanh nghiệp”.
Từ kinh nghiệm thực tế, ông Andrew Shikiar, Giám đốc Điều hành của FIDO Alliance cho rằng: Xác thực không mật khẩu giúp tăng cường hiệu năng sản phẩm như mang lại trải nghiệm sử dụng thân thiện tiện lợi, triển khai đơn giản nhanh chóng, dễ dàng tích hợp giữa các hệ thống, thiết bị và nhân rộng tính ứng dụng.
Trong khuôn khổ sự kiện, hệ sinh thái xác thực mạnh không mật khẩu “Make in Việt Nam” VinCSS FIDO2 Ecosystem đã được ra mắt. Gồm 7 nhóm giải pháp, VinCSS FIDO2 Ecosystem là hệ sinh thái xác thực mạnh không mật khẩu theo tiêu chuẩn FIDO2 quốc tế đầu tiên tại ASEAN.
Vân Anh
