"Xác thực bằng mật khẩu, OTP tiềm ẩn nhiều rủi ro"

Đây là nội dung được khẳng định tại Hội nghị châu Á - Thái Bình Dương về xác thực không mật khẩu khai mạc sáng nay.

Hội nghị Fido châu Á - Thái Bình Dương (Fido Apac Summit 2023) lần đầu tiên tổ chức tại Việt Nam với chủ đề "Kết nối khu vực vì tương lai số an toàn với xác thực mạnh không mật khẩu".

Sự kiện thu hút đông đảo đại biểu từ các cơ quan quản lý nhà nước về an toàn thông tin của các quốc gia, các doanh nghiệp và chuyên gia lĩnh vực công nghệ, công nghiệp, tài chính, ngân hàng, an ninh mạng… trong khu vực.

Theo báo cáo, năm 2022, số lượng sự cố mất an toàn thông tin xảy ra tại châu Á - Thái Bình Dương chiếm 31% tổng số lượng toàn cầu, chủ yếu là do bị đánh cắp thông tin tài khoản.

Việt Nam hiện có tới hơn 90% người dùng sử dụng mật khẩu bằng số và ký tự truyền thống. Việc bị đánh cắp mật khẩu dẫn đến nguy cơ người dùng có thể bị tấn công, lừa đảo trực tuyến.

Công nghệ xác thực không mật khẩu là giải pháp bảo mật hiệu quả, nhờ sử dụng thêm một khóa bí mật vào giữa quá trình xác thực, được kích hoạt thông qua những thông tin chỉ người dùng sở hữu, chẳng hạn như khuôn mặt, vân tay, mống mắt...

Việc sử dụng xác thực không mật khẩu được coi là xu hướng toàn cầu khi nhiều tập đoàn công nghệ lớn trên thế giới như Apple, Microsoft, Google… đã tham gia Liên minh xác thực trực tuyến thế giới, hỗ trợ xác thực không mật khẩu trên sản phẩm dịch vụ của họ. Hiện tại, Việt Nam đã trở thành thành viên chính thức của Liên minh này.

Việc tham gia vào Liên minh Xác thực trực tuyến thế giới (Fido Alliance) sẽ góp phần đưa Việt Nam nhanh chóng rời khỏi "vùng trũng" về xác thực bằng tên đăng nhập/mật khẩu/OTP tiềm ẩn nhiều rủi ro dễ bị tấn công, để chuyển sang xu hướng chủ đạo của thế giới hiện nay là xác thực mạnh không mật khẩu.

Nhanh chóng, an toàn, dễ dàng cho người dùng - đó là hiệu quả mà xác thực không mật khẩu đem lại. Tuy nhiên, giải pháp công nghệ bảo mật này mới chỉ đang ở giai đoạn đầu phát triển tại Việt Nam.

Xác thực bằng mật khẩu, OTP tiềm ẩn nhiều rủi ro - Ảnh 1.

Ông Trần Đăng Khoa - Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT - phát biểu tại hội nghị (Ảnh: VGP/HM)

Đại diện Bộ Thông tin và Truyền thông Việt Nam nhấn mạnh: "Việt Nam hoàn toàn ủng hộ việc áp dụng công nghệ xác thực không mật khẩu để bảo vệ công dân số và nền kinh tế số của Việt Nam".

Theo các chuyên gia tại hội nghị, phương pháp xác thực mạnh không mật khẩu hiện nay có thể ngăn chặn các cuộc tấn công lừa đảo chiếm đoạt tài khoản đến 90%.

Xác thực không mật khẩu theo tiêu chuẩn Fido là sử dụng phương pháp mã hoá công khai (public key cryptography) thay vì mật khẩu như xác thực truyền thống hiện nay.

Với xác thực không mật khẩu, sẽ không truyền bất kỳ thông tin xác thực nào qua mạng - người dùng xác minh mình trực tiếp trên thiết bị của họ (ví dụ, bằng cách sử dụng dấu vân tay hoặc mã PIN của thiết bị), sau đó một giao thức được mã hóa diễn ra giữa khóa công khai trên máy chủ (khoá này không chứa thông tin riêng tư của người dùng) và khóa riêng tư trên thiết bị cục bộ của người dùng. Giao tiếp này không thể bị hack hoặc sao chép vì các khóa cần phải khớp chính xác. Mặt khác, việc thử tấn công cũng đòi hỏi hacker phải sở hữu vật lý thiết bị của người dùng - nghĩa là loại tấn công từ xa là không thể.