Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) vừa khai mạc Hội nghị FIDO châu Á - Thái Bình Dương - FIDO APAC Summit lần đầu tiên (năm 2023) tại Nha Trang (Việt Nam), chia sẻ các xu hướng bảo mật không dùng mật khẩu. Bộ Thông tin và Truyền thông cử Cục An toàn thông tin làm đại diện và trở thành một trong 10 thành viên cấp Chính phủ của Liên minh Xác thực trực tuyến thế giới (Fido Alliance).
Tại Hội nghị FIDO châu Á - Thái Bình Dương 2023 ở Khánh Hòa sáng 29/8, ông Trần Đăng Khoa, Phó Cục trưởng phụ trách An toàn thông tin - Bộ Thông tin và Truyền thông, cho biết mã OTP được nhiều nền tảng sử dụng để xác thực đa lớp nhằm tăng tính an toàn. Tuy nhiên "phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro", do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.
Ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn thông tin phát biểu tại Hội nghị FIDO khu vực châu Á - Thái Bình Dương 2023
Dẫn báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, ông Khoa cho biết 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu USD mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.
Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ hacker tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.
Cách thức hoạt động của phương thức xác thực không mật khẩu
Chia sẻ về Hội nghị FIDO châu Á - Thái Bình Dương được tổ chức tại Việt Nam, Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Huy Dũng nhấn mạnh: "Chúng tôi hoàn toàn ủng hộ việc áp dụng công nghệ xác thực mạnh không mật khẩu để bảo vệ nền kinh tế số của Việt Nam. Mong muốn của chúng tôi là tăng cường kết nối và hợp tác với FIDO Alliance cùng các quốc gia khác trong khu vực châu Á - Thái Bình Dương vì một tương lai số an toàn hơn".
Theo ông Andrew Shikiar, Giám đốc điều hành Liên minh Xác thực trực tuyến thế giới (FIDO), mật khẩu là phương thức bảo mật ra đời hơn 60 năm, hiện bộc lộ nhiều nhược điểm và cần được thay đổi.
Ông Andrew Shikiar, Giám đốc điều hành của FIDO Alliance chia sẻ các ưu điểm của công nghệ bảo mật không dùng mật khẩu
Về tính tiện dụng, ông cho biết nhiều doanh nghiệp mất khách hàng khi người dùng quên mật khẩu của nền tảng. Trong khi về tính an toàn, mật khẩu đã được bổ sung thêm các lớp bảo mật như OTP hoặc phần mềm tạo mã, nhưng đối với hacker, những biện pháp này "không khác gì", bởi có thể dễ dàng vượt qua.
Ông Đỗ Ngọc Duy Trác, CEO VinCSS, đánh giá xác thực không mật khẩu là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực, đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt cho người dùng. Hiện tất cả Big Tech công nghệ như Apple, Amazon, Microsoft, Google, Intel đều ứng dụng giải pháp này trên sản phẩm của mình.
Theo ông, giải pháp thực tế đã hiện diện nhiều trong cuộc sống. Một trong những ứng dụng phổ biến nhất theo chuẩn của FIDO là công nghệ Passkey tích hợp sẵn trong hệ điều hành Android và iOS. Việc người dùng có thể đăng nhập vào tài khoản trên thiết bị thông qua xác thực sinh trắc học như vân tay, khuôn mặt là một trong những ví dụ của phương thức này.
Các chuyên gia chia sẻ xu hướng bảo mật không dùng mật khẩu tại hội nghị FIDO APAC Summit 2023
Với việc Việt Nam tham gia Liên minh FIDO, các chuyên gia đánh giá đây là tiền đề để Bộ Thông tin và Truyền thông tiếp cận các xu hướng, giải pháp công nghệ, tiêu chuẩn trong lĩnh vực xác thực không mật khẩu hiện đại trên thế giới, từ đó học tập, nghiên cứu, đề xuất chính sách, quy định và tham mưu việc phát triển, áp dụng sản phẩm dịch vụ xác thực không mật khẩu, phục vụ quá trình chuyển đổi số quốc gia.
Các đại biểu trải nghiệm phương thức xác thực mạnh không mật khẩu
Liên minh FIDO (FIDO Alliance) là một hiệp hội công nghiệp mở có hơn 250 thành viên, bao gồm các công ty công nghệ, nhà cung cấp dịch vụ, nhà phát triển. Các thành viên này cùng nhau đóng góp vào mục tiêu chung của liên minh là cải thiện bảo mật thông tin và trải nghiệm đăng nhập của người dùng trên internet.
FIDO với sứ mệnh tập trung các tiêu chuẩn xác thực, nhằm giảm bớt sự phụ thuộc password. Thay đổi bản chất xác thực bằng các tiêu chuẩn an toàn hơn so với password và OTP. Công nghệ này mang đến sự tiện lợi, đơn giản cho người dùng, các nhà cung cấp dịch vụ cũng dễ triển khai hơn.
Chứng nhận FIDO 2 cũng là phương thức xác thực cho người dùng an toàn nhất hiện nay. FIDO 2 hướng đến việc loại bỏ khó khăn khi phải ghi nhớ quá nhiều mật khẩu cho người dùng cuối. Loại trừ tối đa các nguy cơ bị tấn công giả mạo, tấn công mạng để chiếm tài khoản.
Phương thức xác thực này được sử dụng cho các tổ chức chính phủ, doanh nghiệp, ngân hàng, công ty chứng khoán, các tổ chức tài chính. Các công ty, đơn vị phát triển ứng dụng thanh toán... có nhu cầu quản lý bảo mật và giảm thiểu sự phụ thuộc vào mật khẩu cho thiết bị, cùng nền tảng phần mềm dùng chung. FIDO 2 còn phù hợp cho các cá nhân có nhu cầu sử dụng riêng cho thiết bị điện thoại, laptop cá nhân./.
(NEAC)
