Thực trạng sử dụng mật khẩu tại Việt Nam cũng như các công nghệ mới trong xác thực được các lãnh đạo và chuyên gia ngành an toàn thông tin trao đổi tại tọa đàm Xác thực không mật khẩu “Make in Vietnam”, do Cục An toàn thông tin – Bộ Thông tin và Truyền thông, VinCSS và IEC tổ chức chiều 13/7.
Vấn đề của mật khẩu
Về thực trạng sử dụng mật khẩu tại Việt Nam, ông Nguyễn Thành Phúc, Cục trưởng An toàn thông tin dẫn thống kê của NordPass rằng trong năm 2021, 42,1 triệu mật khẩu của người dùng Việt đã bị lộ. Đáng chú ý, phổ biến nhất trong số này là “123456”, với hơn 3,4 triệu lượt sử dụng.
Người phụ trách ngành an toàn thông tin đánh giá đây là thực trạng đáng lo ngại, trong bối cảnh mọi hoạt động của con người đều có thể diễn ra trực tuyến. Một thống kê của Verizon năm 2021 cho thấy, 80% các vụ vi phạm dữ liệu có liên quan đến lộ mật khẩu hoặc sử dụng mật khẩu yếu.
Trong khi đó, Việt Nam là một trong những quốc gia mục tiêu mà giới tội phạm mạng nhắm đến. Trong 6 tháng đầu năm, Cục An toàn thông tin đã xử lý 506 website lừa đảo giả mạo tổ chức tài chính ngân hàng và hỗ trợ ngăn ngừa 1,5 triệu lượt người dùng Internet truy cập vào các trang lừa đảo, vi phạm pháp luật.
“Khi mọi công việc có thể diễn ra trực tuyến, nguy cơ thông tin đăng nhập bị đánh cắp luôn hiện hữu thông qua lỗ hổng hệ thống, thói quen sử dụng mật khẩu và lừa đảo trực tuyến. Mật khẩu hiện nay giống như chìa khóa để truy cập nhiều thông tin có giá trị”, ông Phúc nói.
Ông cũng đánh giá với sự phát triển về năng lực tính toán của máy tính hiện nay, các thuật toán sử dụng để bảo vệ mật khẩu có thể bị bẻ gãy nhanh chóng. Bên cạnh đó, phương thức xác thực này dần bộc lộ hạn chế khi người dùng phải ghi nhớ mật khẩu phức tạp, nhiều mật khẩu cho nhiều ứng dụng khác nhau.
Mật khẩu còn gây áp lực về chi phí. Hiện tại, nhiều tổ chức, doanh nghiệp phải chi một số tiền lớn cho việc quản lý mật khẩu OTP. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần một triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian.
Thực trạng này đặt ra yêu cầu về việc cần thay đổi phương thức xác thực, trong đó, xác thực mạnh, xác thực không mật khẩu là một trong những giải pháp cần được phát triển ở Việt Nam.
Xu hướng xác thực không mật khẩu
“Phương thức xác thực bằng tên đăng nhập và mật khẩu hiện dần được thay thế bằng các công nghệ xác thực mạnh. Công nghệ này đang trở thành xu thế và dần trở thành một trong những nền tảng, tiêu chí quan trọng để doanh nghiệp phát triển, cung cấp các hệ thống công nghệ thông tin trọng yếu và dịch vụ số”, ông Nguyễn Huy Dũng, Thứ trưởng Thông tin và Truyền thông, nói.
“Xác thực mạnh” được hiểu là xác thực không dùng mật khẩu. Giải thích về phương thức này, ông Andrew Shikiar, Giám đốc điều hành và marketing của Liên minh xác thực trực tuyến thế giới (FIDO Alliance), cho biết việc xác thực sẽ chuyển từ “thông tin do người dùng nắm giữ” (như mật khẩu, SMS OTP…) sang “thông tin chỉ người dùng sở hữu”, ví dụ các yếu tố sinh trắc học như vân tay.
Khi cần truy cập vào một máy chủ, người dùng sử dụng vân tay, có tác dụng kích hoạt một khóa bí mật trên thiết bị cục bộ của mình. Khóa bí mật này tương tác với khóa công khai trên FIDO. Hệ thống xác thực FIDO sẽ là trung gian cho quá trình đăng nhập của người dùng. Cách làm này giúp người dùng giảm thao tác, không cần đến mã OTP vốn có thể bị khai thác, đồng thời ngăn việc người dùng gõ nhầm mật khẩu vào các trang web mạo danh.
Đây cũng là xu hướng phát triển chung trên thế giới. Trong tuyên bố chung ngày 5/5, Apple, Google, Microsoft cam kết hỗ trợ giải pháp đăng nhập thiết bị điện tử không dùng mật khẩu thiết lập bởi Liên minh xác thực trực tuyến thế giới và Tổ chức tiêu chuẩn quốc tế chính cho World Wide Web.
Ông Đỗ Ngọc Duy Trác, Tổng giám đốc VinCSS, đánh giá công nghệ không mật khẩu (passwordless) đã trở thành xu hướng chủ đạo, tất yếu và không thể đảo ngược. Công ty hiện xây dựng hệ sinh thái xác thực mạnh theo tiêu chuẩn FIDO2 đầu tiên tại Đông Nam Á sau hai năm phát triển.
“Việt Nam cần hành động kịp thời để không trở thành vùng trũng về xác thực yếu, thành mục tiêu tấn công của tội phạm mạng”, ông Trác nhận định.
Thứ trưởng Nguyễn Huy Dũng đánh giá giải pháp xác thực người dùng “là vấn đề hẹp nhưng có ý nghĩa lớn” vì xác thực là bước đầu tiên người dùng tương tác, sử dụng sản phẩm, dịch vụ số. Xác thực mạnh giảm tỷ lệ tấn công lừa đảo, đánh cắp danh tính, tăng hiệu quả trải nghiệm người dùng, tiết kiệm chi phí vận hành, tăng tỷ lệ chuyển đổi số thành công.
“Điều này cho thấy doanh nghiệp Việt Nam có đủ năng lực nghiên cứu, phát triển và sáng tạo các sản phẩm, dịch vụ đáp ứng các tiêu chuẩn bảo mật quốc tế”, ông Dũng cho biết.
Nguồn: Vnexpress