Sau hơn 70 năm thế giới phụ thuộc vào công nghệ mật khẩu, với nhiều bất cập, đã đến lúc mật khẩu phải trở thành quá khứ để nhường chỗ cho công nghệ xác thực mạnh không mật khẩu.
Công nghệ mật khẩu đã lỗi thời
Vì sao mà giới chuyên gia bảo mật lại cho rằng việc xác thực mật khẩu đã lỗi thời? Rất nhiều lý do đã được các chuyên gia trong và ngoài nước nói đến tại tọa đàm “Xác thực không mật khẩu Make in Việt Nam” diễn ra giữa tháng 7/2022 vừa qua. Mật khẩu được ví như chìa khóa để bước vào mỗi căn nhà. Nghĩa là những tài sản, bí mật trong một căn nhà có được đảm bảo hay không đều phụ thuộc vào tính an toàn và sự chắc chắn của chiếc khóa đó.
Thời điểm này, chuyển đổi số là yêu cầu bắt buộc chứ không còn là một lựa chọn, khi báo cáo Tương lai của nền kinh tế số Việt Nam – Hướng tới năm 2030 và 2045 chỉ ra, nếu chủ động chuyển đổi số, GDP của Việt Nam có thể tăng 1,1 điểm phần trăm, trong khi nếu không chuyển đổi số, con số này là 0,38. Câu chuyện chuyển toàn bộ hoạt động lên không gian mạng đặt ra bài toán lớn về bảo mật. Để sử dụng một sản phẩm hay dịch vụ số, việc đầu tiên của người dùng là xác thực. Phương thức phổ biến từ trước tới này là điền tên đăng nhập và mật khẩu.
Gần đây, nhiều đơn vị như Google, Facebook… gia tăng khả năng bảo mật bằng việc yêu cầu xác thực hai lớp (gồm đăng nhập mật khẩu và xác thực qua ứng dụng thứ hai hoặc đăng nhập bằng OTP). Tuy nhiên những điều đó cũng chưa thật sự an toàn.
Trong bài viết nhân Ngày Mật khẩu thế giới năm 2022 trên trang chủ của Microsoft, ông Vasu Jakkal - Phó Chủ tịch phụ trách bảo mật, tuân thủ và danh tính của tập đoàn Microsoft cho biết, trung bình có tới 921 cuộc tiến công mật khẩu diễn ra mỗi giây và tần suất các cuộc tiến công tăng gần gấp đôi trong năm 2021.
Số liệu từ Cục An toàn thông tin (Bô Thông tin và Truyền thông) tháng 9/2021, 500.000 tài khoản và mật khẩu người dùng trên 200.000 thiết bị Fortinet VPN toàn cầu bị tiết lộ. Thống kê của NordPass cho biết, hàng triệu mật khẩu người dùng Việt Nam bị lộ và “123456” là mật khẩu phổ biến nhất. Vào tháng 4/2021, hơn 500 triệu tài khoản Facebook bị rò rỉ dữ liệu được công bố.
Theo ông Andrew Shikiar - Giám đốc Điều hành của FIDO Alliance, mật khẩu đang được xem là lỗ hổng mà các cuộc tấn công lừa đảo dạng fishing thường xuyên nhắm tới. Đôi khi người dùng chỉ cần mở một mail là hacker đã hoàn thành cuộc tấn công.
“Tấn công fishing rẻ tiền và hiệu quả cao, với tỷ lệ 40% thành công cho một cuộc tấn công được thiết kế tốt. Các cuộc tấn công này hầu hết đều vượt qua hàng rào xác thực hai bước”- ông Andrew nói thêm.
Không chỉ dễ bị tấn công mà việc nhớ mật khẩu cũng là một vấn đề của người dùng, trong bối cảnh nhân loại có hàng chục triệu ứng dụng. Do phải nhớ quá nhiều mật khẩu nên chỉ “45% người dùng tự nhớ mật khẩu, 37% chọn cách viết ra, 32% dùng các trình duyệt để lưu trữ, 52% dùng 5 mật khẩu cho các tài khoản online và chỉ 5% dùng các mật khẩu khác nhau cho các tài khoản” – theo báo cáo của FIDO Alliance 2020.
Dù có ý thức đặt mật khẩu khác nhau nhưng mỗi cá nhân đều có quy luật riêng bảo mật riêng của mình như sử dụng công thức liên quan đến gia đình, người thân hoặc sự việc hằng ngày. Những dạng tấn công có tổ chức thường thực hiện việc nghiên cứu thu thập các thông tin này để rút ngắn quá trình “bẻ khóa”.
“Quy luật nhiều người không để ý là nhiều người sử dụng chung mật khẩu cho cả tài khoản cá nhân lẫn công ty. Khi các mật khẩu này được lưu trữ trên máy chủ của các hệ thống bị lộ lọt hoặc không được mã hóa đầy đủ thì những hacker hoàn toàn có thể sàng lọc thông tin để biết cá nhân này làm ở tổ chức nào và thực hiện việc tấn công ngược lại vào các tổ chức, doanh nghiệp nơi cá nhân này làm việc” – ông Nguyễn Phi Kha - Giám đốc R&D của VinCSS chia sẻ một thực tế đang diễn ra.
Chưa kể tới việc, chi phí cho các vấn đề liên quan đến mật khẩu cũng vô cùng tốn kém. Theo báo cáo của Forester, trung bình một tổ chức quy mô lớn phải tiêu tốn gần 1 triệu USD mỗi năm để chi trả cho nhân sự và cơ sở hạ tầng chỉ để giải quyết vấn đề liên quan đến mật khẩu. Chưa kể vấn đề lãng phí thời gian và giảm sút hiệu quả công việc khi phải nhớ quá nhiều mật khẩu và những rắc rối liên quan đến việc không nhớ mật khẩu của từng tài khoản.
Theo điều tra của PYMNTS.com, 3/4 số lượng khách hàng của họ cho biết thích trải nghiệm đăng nhập liền mạch hơn là việc phải chuyển qua quá nhiều bước xác thực, đăng nhập. những trải nghiệm như thế sẽ tăng niềm tin của người tiêu dùng vào sức mạnh công nghệ của nhà cung cấp dịch vụ.
Nguy cơ lớn hơn cả được ông Nguyễn Thành Phúc – Cục trưởng Cục An toàn thông tin đưa ra là “năng lực tính toán của các siêu máy tính đang ngày một tăng lên hàng năm, công nghệ tính toán lượng tử trong tương lai sẽ đánh bại mọi loại mật khẩu”.
Tất cả những lý do trên khiến giới chuyên gia thực sự tin rằng, mật khẩu đang lỗi thời và công nghệ xác thực mạnh không mật khẩu đang trở thành xu thế, mang lại nhiều giá trị cho người dùng như giảm tỉ lệ tấn công lừa đảo, đánh cắp danh tính, tăng hiệu quả trải nghiệm người dùng, tiết kiệm chi phí vận hành,
Tương lai của xác thực không mật khẩu
Từ nhiều năm nay, công nghệ xác thực không mật khẩu đã ra đời để làm giảm sự phụ thuộc vào mật khẩu của nhân loại. Bằng chứng là ba tập đoàn công nghệ Mỹ gồm Apple, Google và Microsoft cùng đưa ra cam kết mạnh mẽ về việc hỗ trợ giải pháp đăng nhập các thiết bị điện tử không dùng mật khẩu nhân ngày Mật khẩu thế giới 2022.
Đầu tháng 5/2022, Apple, Google và Microsoft cũng công bố kế hoạch mở rộng hỗ trợ giải pháp đăng nhập không mật khẩu do Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) và World Wide Web Consortium - tổ chức tiêu chuẩn quốc tế chính do World Wide Web thiết lập). Giải pháp này cho phép các trang web và ứng dụng cung cấp thông tin đăng nhập nhất quán, an toàn và dễ dàng mà không cần dùng tới mật khẩu trên các thiết bị và các nền tảng khác nhau.
Theo ông Trần Đình Khiêm - Giám đốc nền tảng số và dịch vụ ngân hàng số của Techcombank, các phương thức xác thực luôn dựa trên ba yếu tố: Những gì bạn biết (mật khẩu, mã pin….), những gì bạn có (điện thoại, sim, token…) và những gì của riêng bạn (mống mắt, vân tay, khuôn mặt…). Dù sử dụng một trong ba hay cả ba yếu tố thì ông Khiêm vẫn cho rằng, phương thức xác thực của tương lai cần đảm bảo 3S là Simple (đơn giản), Strong (bảo mật mạnh mẽ) và Security (Bảo mật).
Giải thích kỹ hơn về phương thức xác thực không mật khẩu mà Fido Alliance xây dựng ông Andrew Shikiar cho biết, phương thức xác thực này không dùng những thứ mà người dùng phải nhớ mà dùng những thứ có trong tầm tay người dùng, chỉ họ có như khuôn mặt, sinh trắc… Các thông tin này được lưu trữ trong một thiết bị để xác thực cục bộ và có các phương thức xử lý giao thức mật mã cho phép người dùng truy cập tài nguyên, ngăn chặn hacker tấn công ở khâu trung gian.
Ở Việt Nam hiện nay, VinCSS đã ra mắt hệ sinh thái xác thực mạnh chuẩn FIDO2 đầu tiên tại ASEAN, đáp ứng đầy đủ các tiêu chuẩn cho cả hệ thống. Tuy nhiên, để triển khai trên thực tế ở Việt Nam sẽ là câu chuyện dài với cả một hệ thống hạ tầng công nghệ thông tin cho cả doanh nghiệp và cơ quan nhà nước.
TS. Cấn Văn Lực - Chuyên gia Kinh tế trưởng Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) kiêm Giám đốc Trường Đào tạo BIDV cho rằng, vẫn biết chuyện xác thực không mật khẩu là bức thiết nhưng ở góc độ cơ quan quản lý cũng có những băn khoăn nhất định.
“Ví như để triển khai nhân rộng thì nền tảng hạ tầng cũ liệu có đáp ứng được không và cần những chuẩn mực như thế nào để đảm bảo an toàn cho cả hệ thống, nhất là ở hệ thống của cơ quan nhà nước. Cơ quan nhà nước có lẽ cần xây dựng một sandbox thử nghiệm” – ông Lực gợi ý.
Bên cạnh đó, ông Lực cho rằng Ngân hàng nhà nước nên tách rủi ro liên quan đến bảo mật vào nhóm rủi ro hoạt động thay vì thuộc nhóm rủi ro quản lý thông tin như hiện nay. Bởi rủi ro về công nghệ thông tin trong ngành ngân hàng, tài chính đang thuộc nhóm đầu. Theo đó, quỹ dự phòng rủi ro hoạt động cũng chưa có, nghĩa là nếu mất tiền sẽ mất luôn.
“Ngân hàng Nhà nước nên cân nhắc cho phép ngân hàng và doanh nghiệp trích quỹ dự phòng rủi ro đề phòng trường hợp xảy ra sự cố sẽ có quỹ bù đắp” – ông Lực nói.
Xác thực mạnh không mật khẩu là xu thế tất yếu. Trong thời đại chuyển đổi số mạnh mẽ, tốc độ quyết định thành công thì điều này rất cần sự vào cuộc nhanh không chỉ của các công ty công nghệ mà còn của cơ quan quản lý nhà nước, đối tác khách hàng và người dùng.