Phương thức sử dụng mật khẩu truyền thống không còn an toàn

Các giải pháp xác thực truyền thống như mật khẩu không còn an toàn trên không gian số, đòi hỏi cần có cách tiếp cận bảo mật hơn nhưng không đánh mất sự thuận tiện.

Tại Việt Nam nói riêng, sau dịch Covid-19, tỷ lệ tham gia thương mại điện tử và mua sắm trực tuyến nở rộ, lượng dữ liệu trao đổi giữa các cá nhân, tổ chức cũng bùng nổ. Cùng với đó, vấn nạn lừa đảo phát triển mạnh và gây thiệt hại lớn về kinh tế, xã hội.

Trong quá trình trao đổi thông tin, người dùng vô tình làm lộ lọt dữ liệu trên không gian số mà không hề hay biết, đặc biệt là nhóm yếu thế như người cao tuổi, vị thành niên. Điều này đặt ra thách thức không hề nhỏ cho cả doanh nghiệp cung cấp dịch vụ lẫn người dùng cuối.

Tại phiên chuyên đề "Các giải pháp phòng, chống lừa đảo trên không gian mạng" trong khuôn khổ Hội thảo “Phòng, chống lừa đảo trên không gian mạng” diễn ra ngày 13/5, theo ông Phan Thu Ngân, Giám đốc phát triển phần mềm MK Group, môi trường không gian mạng khác với không gian thực, người tham gia ẩn danh nên chúng ta không biết ai là người thực hiện giao dịch với mình. Ông cho rằng phương thức sử dụng mật khẩu truyền thống có khả năng thất thoát, đánh cắp thông tin rất cao vì người dùng không biết có hệ thống nào đang nghe hay thu thập thông tin của mình.

Cùng chung quan điểm, Thiếu tá, Thạc sĩ Đào Đức Triệu, Phó Tổng thư ký, Trưởng ban Ban nghiên cứu, tư vấn chính sách, pháp luật thuộc Hiệp hội An ninh mạng quốc gia chỉ ra một điểm yếu khi dùng mật khẩu nằm ở chính người dùng. Đó là mọi người có thói quen đặt mật khẩu liên quan đến cá nhân như sinh nhật, thông tin người thân hoặc sử dụng một mật khẩu duy nhất cho nhiều tài khoản, từ mạng xã hội đến tài chính. Không ít trường hợp dùng nhiều mật khẩu khác nhau nên... chép luôn ra sổ tay hoặc ghi chú dẫn đến mất an toàn.

Để giải bài toán này, MK Group giới thiệu giải pháp MK e-ID định danh, kết hợp với CCCD gắn chip để xác minh được “tôi là ai” trên không gian số. Khi biết được “tôi là ai”, các nhà cung cấp dịch vụ có thể kết hợp giải pháp xác thực như mống mắt, gương mặt, vân tay để biết đó chính là người đã khai báo thông tin. Giải pháp này đang được ứng dụng trong nhiều kênh như Chính phủ, ngân hàng, doanh nghiệp, giáo dục và viễn thông.

Trước tình hình thủ đoạn lừa đảo ngày càng tinh vi, phức tạp, một số người dùng báo cáo tài khoản ngân hàng của họ bị mất sạch tiền mà không hề hay biết. Chia sẻ từ góc độ cơ quan chức năng, ông Đào Đức Triệu cho rằng nếu quy định sinh trắc học khi giao dịch một lượng tiền nhất định, đó sẽ là giải pháp căn cơ vì phòng tránh ngay được trường hợp mã độc kiểm soát máy tính, điện thoại. Chỉ khi xác thực gương mặt, mống mắt, vân tay để thực hiện giao dịch, tình trạng tiền bỗng dưng biến mất mới có thể được hạn chế.

Thực tế trên toàn cầu, xác thực không dùng mật khẩu (passwordless authentication) đang là xu hướng đáng chú ý. Đây là hành vi xác thực danh tính người dùng mà không sử dụng mật khẩu, thay vào đó dùng các phương thức như mã cấp một lần, liên kết xác thực hoặc sinh trắc học. Mục đích của nó là ngừng sử dụng mật khẩu để tăng cường bảo mật và bảo vệ các tài nguyên CNTT giá trị. Báo cáo Phòng vệ kỹ thuật số của Microsoft năm 2022 cho biết số lượng các vụ tấn công mạng thông qua mật khẩu có tần suất 921 vụ mỗi giây, tăng 74% so với năm trước đó.

Báo cáo Xác thực lực lượng lao động 2023 của Liên minh xác thực trực tuyến thế giới FIDO Alliance chỉ ra 92% doanh nghiệp dự định chuyển sang sử dụng công nghệ không mật khẩu, trong khi 95% hiện đang dùng một vài phương thức không mật khẩu. Một số hãng công nghệ lớn như Apple, Microsoft và Google đang dẫn đầu làn sóng loại bỏ mật khẩu trên các nền tảng của mình và thay bằng khóa mật mã. Chẳng hạn, khi truy cập Gmail, Apple ID, tài khoản Microsoft, người dùng sẽ nhận được thông báo để xác thực bản thân bằng vân tay, gương mặt hoặc mã pin.