Bộ TT&TT vừa công bố, Cục An toàn thông tin trực thuộc Bộ sẽ làm đại diện và trở thành 1 trong 10 thành viên cấp Chính phủ của Liên minh Xác thực trực tuyến thế giới (Fido Alliance).
Sự kiện này sẽ góp phần đưa Việt Nam nhanh chóng rời khỏi “vùng trũng” về xác thực bằng tên đăng nhập/mật khẩu/OTP tiềm ẩn nhiều rủi ro dễ bị tấn công, để chuyển sang xu hướng chủ đạo của thế giới hiện nay là xác thực mạnh không mật khẩu.
Tại Hội nghị Fido châu Á – Thái Bình Dương - Fido Apac Summit 2023 tổ chức tại Nha Trang từ ngày 28 đến 30/8, ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT, chia sẻ một báo cáo nghiên cứu về hoạt động xác thực trong ngành tài chính toàn cầu năm 2022. Theo đó, có đến 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu (mật khẩu truyền thống).
Cũng theo báo cáo này, có tới 99% người tham gia nghiên cứu đều đồng ý rằng, các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần OTP sẽ không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại và tinh vi như hiện nay.
Theo các chuyên gia tại hội nghị, phương pháp xác thực mạnh không mật khẩu hiện nay có thể ngăn chặn các cuộc tấn công lừa đảo chiếm đoạt tài khoản đến 90%.
Xác thực không mật khẩu theo tiêu chuẩn Fido là sử dụng phương pháp mã hoá công khai (public key cryptography) thay vì mật khẩu như xác thực truyền thống hiện nay. Phương pháp này không truyền bất kỳ thông tin xác thực nào qua mạng - người dùng xác minh mình trực tiếp trên thiết bị của họ (ví dụ, bằng cách sử dụng dấu vân tay hoặc mã PIN của thiết bị), sau đó một giao thức được mã hóa diễn ra giữa khóa công khai trên máy chủ (khóa này không chứa thông tin riêng tư của người dùng) và khóa riêng tư trên thiết bị cục bộ của người dùng. Giao tiếp này không thể bị hack hoặc sao chép vì các khóa cần phải khớp chính xác. Mặt khác, việc thử tấn công cũng đòi hỏi hacker phải sở hữu vật lý thiết bị của người dùng - nghĩa là loại tấn công từ xa là không thể.
Thạch Anh