Tại Hội nghị FIDO châu Á - Thái Bình Dương 2023 ở Khánh Hòa sáng 29/8, ông Trần Đăng Khoa, Phó Cục trưởng phụ trách An toàn thông tin - Bộ Thông tin và Truyền thông, cho biết mã OTP được nhiều nền tảng sử dụng để xác thực đa lớp nhằm tăng tính an toàn. Tuy nhiên "phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro", do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.
Dẫn báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, ông Khoa cho biết 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu USD mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.
Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ hacker tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.
Theo ông Andrew Shikiar, Giám đốc điều hành Liên minh Xác thực trực tuyến thế giới (FIDO), mật khẩu là phương thức bảo mật ra đời hơn 60 năm, hiện bộc lộ nhiều nhược điểm và cần được thay đổi.
Về tính tiện dụng, ông cho biết nhiều doanh nghiệp mất khách hàng khi người dùng quên mật khẩu của nền tảng. Trong khi về tính an toàn, mật khẩu đã được bổ sung thêm các lớp bảo mật như OTP hoặc phần mềm tạo mã, nhưng đối với hacker, những biện pháp này "không khác gì", bởi có thể dễ dàng vượt qua.
Giải pháp thay thế cho mật khẩu và OTP truyền thống
Theo các chuyên gia, giải pháp để chống lại các cuộc tấn công xâm nhập tài khoản là sử dụng xác thực không mật khẩu cho việc đăng nhập. "Phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn rủi ro và đang dần được thay thế bằng công nghệ xác thực mạnh không mật khẩu và đây là xu thế không thể đảo ngược", ông Khoa nói.
Giải pháp xác thực không mật khẩu là sử dụng thêm một khóa bí mật (private key) vào giữa quá trình xác thực. Khóa này được kích hoạt thông qua những thông tin chỉ người dùng sở hữu, như khuôn mặt, vân tay, mã PIN hoặc một thiết bị phần cứng theo chuẩn FIDO.
Theo giải thích của ông Andrew Shikiar, khi người dùng thực hiện một phiên đăng nhập, quá trình được xử lý cục bộ trên thiết bị, không có thông tin được truyền ra ngoài, vì vậy hacker không thể tấn công từ xa vào hệ thống. Ngoài ra, cách làm này được thực hiện tự động trên các ứng dụng, địa chỉ URL đã được thiết lập, người dùng giảm được thao tác điền mật khẩu, đồng thời ngăn việc đăng nhập nhầm vào các trang web mạo danh.
Đại diện Cục An toàn thông tin nhận định xác thực không mật khẩu hiện trở thành xu hướng chủ đạo, được nhiều tổ chức trên thế giới áp dụng. Việt Nam và các quốc gia trong khu vực cũng đang trong quá trình chuyển đổi từ xác thực truyền thống sang xác thực không mật khẩu. Tại sự kiện, Cục An toàn thông tin công bố tham gia Liên minh FIDO, trở thành một trong 10 thành viên cấp chính phủ của liên minh này.
"Để đạt mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, tránh trở thành mục tiêu vừa có giá trị cao vừa dễ tấn công của tội phạm mạng, cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của cơ quan nhà nước và sự tham gia của các doanh nghiệp công nghệ", đại diện Cục nói.
Ông Đỗ Ngọc Duy Trác, CEO VinCSS, đánh giá xác thực không mật khẩu là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực, đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt cho người dùng. Hiện tất cả Big Tech công nghệ như Apple, Amazon, Microsoft, Google, Intel đều ứng dụng giải pháp này trên sản phẩm của mình.
Theo ông, giải pháp thực tế đã hiện diện nhiều trong cuộc sống. Một trong những ứng dụng phổ biến nhất theo chuẩn của FIDO là công nghệ Passkey tích hợp sẵn trong hệ điều hành Android và iOS. Việc người dùng có thể đăng nhập vào tài khoản trên thiết bị thông qua xác thực sinh trắc học như vân tay, khuôn mặt là một trong những ví dụ của phương thức này.
Với việc Việt Nam tham gia Liên minh FIDO, các chuyên gia đánh giá đây là tiền đề để Bộ Thông tin và Truyền thông tiếp cận các xu hướng, giải pháp công nghệ, tiêu chuẩn trong lĩnh vực xác thực không mật khẩu hiện đại trên thế giới, từ đó học tập, nghiên cứu, đề xuất chính sách, quy định và tham mưu việc phát triển, áp dụng sản phẩm dịch vụ xác thực không mật khẩu, phục vụ quá trình chuyển đổi số quốc gia.
Lưu Quý