Cần có hành động cụ thể để Việt Nam rời khỏi vùng trũng về xác thực

Xác thực không mật khẩu đang trở thành một làn sóng chuyển đổi không thể đảo ngược

Phát biểu khai mạc Hội nghị FIDO Châu Á - Thái Bình Dương (APAC) 2023 (FIDO APAC SUMMIT 2023 ngày 29/8, ông Đỗ Ngọc Duy Trác (Simon), Tổng giám đốc của Công ty VinCSS, Tập đoàn Vingroup cho biết, khu vực APAC đang trải qua một giai đoạn thay đổi quan trọng khi các mối nguy về tấn công mạng nhắm vào các phương thức xác thực truyền thống ngày càng gia tăng và để lại những hậu quả ngày càng nặng nề.

Các phương thức xác thực dựa trên mật khẩu truyền thống hay mật khẩu dùng một lần (OTP) đã được chứng minh là dễ bị tấn công bởi các mối đe dọa khác nhau như tấn công lừa đảo thông qua email (phishing), mã độc đánh cắp thông tin tài khoản và thói quen sử dụng mật khẩu yếu.

Do đó, các tổ chức trong khu vực APAC đang tích cực khám phá và áp dụng phương thức xác thực không cần mật khẩu (passwordless) do Liên minh Xác thực thế giới (FIDO Alliance) khởi xướng và dẫn dắt như một phương pháp an toàn và thân thiện với người dùng hơn.

“Passwordless đang trở thành một làn sóng chuyển đổi không thể đảo ngược trên toàn cầu do là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt nhất cho người dùng”, ông Trác cho biết thêm.

Hiện tất cả tập đoàn công nghệ lớn trên thế giới như Apple, Amazon, Microsoft, Google, Intel,… đều đã đồng lòng tham gia Liên minh FIDO và đã hỗ trợ trên toàn nền tảng sản phẩm dịch vụ. Nhờ đó, công nghệ passwordless đã hiện diện khắp nơi như việc đã được tích hợp sẵn trong hệ điều hành Android và iOS, hay trên hệ điều hành Windows/MacOS/Linux của các máy tính đều đang có sự hiện diện và vận hành của công nghệ FIDO.

Tại Hội nghị FIDO APAC 2023 lần thứ nhất được thiết kế để dành riêng để thúc đẩy và quảng bá phương thức xác thực FIDO (Fast Identity Online) chống lại các cuộc tấn công lừa đảo. Hội nghị này nhằm mục tiêu kết nối các nhà lãnh đạo ngành công nghiệp, các chuyên gia an ninh mạng và đại diện chính phủ từ khu vực APAC để khám phá các phát triển mới nhất, các phương pháp tốt nhất và những câu chuyện thành công trong lĩnh vực xác thực FIDO.

“Tôi tin rằng, bằng những nỗ lực chung tay, chúng ta đã có thể bắt đầu một hành trình mới để mang lại một tương lai xác thực số an toàn hơn cho khu vực, tạo điều kiện để phát triển các nền kinh tế số, xã hội số và mang lại các trải nghiệm số tốt hơn cho người dân trong khu vực”, ông Trác nhấn mạnh.

Xác thực không mật khẩu giúp xây dựng niềm tin số trên không gian mạng

Theo ông Trần Đăng Khoa, Phó Cục trưởng phụ trách Cục ATTT (Bộ TT&TT), sự phát triển mạnh mẽ của công nghệ số, CĐS cũng khiến mọi người phải đối mặt với nhiều nguy cơ, thách thức về mất ATTT.

Ông Khoa đã dẫn chứng báo cáo nghiên cứu về hoạt động xác thực trong ngành tài chính toàn cầu năm 2022, khi mà 80% tổ chức tài chính - ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu hay 99% người tham gia nghiên cứu đều đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần OTP sẽ không còn đủ mạnh để bảo vệ cho tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.

“Phương thức xác thực đơn thuần bằng tên đăng nhập/mật khẩu/OTP tiềm ẩn nhiều rủi ro đang dần được thay thế bằng công nghệ xác thực mạnh không mật khẩu. Đây là xu thế không thể đảo ngược và công nghệ này đang trở thành xu hướng chủ đạo, được đông đảo các tổ chức uy tín trên thế giới áp dụng”, ông Khoa bày tỏ.

Không nằm ngoài xu thế này, Việt Nam cùng các quốc gia trong khu vực cũng đang trong quá trình chuyển đổi từ xác thực truyền thống sang xác thực mạnh không mật khẩu, mục tiêu không chỉ để tăng cường ATTT mạng mà còn giúp giảm chi phí vận hành và tối ưu trải nghiệm sử dụng cho các sản phẩm, dịch vụ số.

Để đạt được mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, chúng ta cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của CQNN và sự tham gia của các DN công nghệ. Việt Nam cần tập trung vào 3 trụ cột bao gồm: Xây dựng và ban hành các chính sách phù hợp; Đẩy mạnh hợp tác công - tư và Hợp tác toàn khu vực cũng như hợp tác toàn cầu trong nỗ lực nâng cao nhận thức, xây dựng năng lực chung.

“Tôi tin rằng với sự dẫn dắt của Liên minh Xác thực trực tuyến thế giới, sự tham gia tích cực của các thành viên thì mục tiêu áp dụng xác thực mạnh, an toàn trên diện rộng cho khu vực APAC sẽ sớm có những thành tựu quan trọng, góp phần tạo nền móng vững chắc cho chính phủ số, kinh tế số và xã hội số phát triển nhanh và bền vững”, ông Khoa chia sẻ thêm.

Cũng theo ông Khoa, chương trình CĐS quốc gia tại Việt Nam đã định hướng, khuyến khích DN chuyển dịch sang làm sản phẩm theo hướng “Make in Việt Nam”. Do đó, sự tiên phong của Công ty VinCSS, Tập đoàn Vingroup, cùng một số DN khác với Hệ sinh thái xác thực mạnh không mật khẩu là một dấu hiệu tích cực khẳng định Việt Nam có đủ năng lực nghiên cứu, phát triển sáng tạo các sản phẩm, cung cấp các dịch vụ đáp ứng các tiêu chuẩn của quốc tế.

Ông Khoa cũng hi vọng trong thời gian tới, sẽ có thêm nhiều DN chủ động nắm bắt cơ hội, đầu tư nghiên cứu phát triển các công nghệ mới nhất để phục vụ cho người dùng và được cộng đồng quốc tế ghi nhận. Đó cũng là cách mà Việt Nam đóng góp cho sự phát triển của công nghệ số toàn cầu.

“Với định hướng phổ cập và xã hội hoá các dịch vụ số, trong đó có xác thực mạnh không mật khẩu, sẽ nhanh chóng đạt được những thành tựu to lớn, giúp xây dựng niềm tin số trên không gian mạng, làm nền tảng vững chắc để chính phủ số, kinh tế số và xã hội số phát triển bùng nổ mạnh mẽ”, ông Khoa kết luận.

Sự hỗ trợ từ chính phủ là yếu tố quan trọng để phổ cập xác thực không mật khẩu

Ông Andrew Shikiar, Giám đốc Điều hành kiêm Giám đốc Marketing, Liên minh Xác thực trực tuyến thế giới (FIDO Alliance – Liên minh FIDO) cho biết, nền tảng xác thực theo cách thức truyền thống dựa vào mật khẩu đang bị lung lay khi đã được sử dụng hơn 60 năm. Do đó, xác thực qua mật khẩu dễ dàng bị lấy cắp và bị tấn công. Vì vậy, với sự phát triển của những công nghệ mới như trí tuệ nhân tạo và ChatGPT, nếu không thay đổi cách xác thực mới thì người dùng sẽ dễ dàng bị lừa đảo trực tuyến hơn.

“Dẫn đến, chúng ta phải có những động thái mạnh mẽ hơn trong việc bảo vệ nhân viên, người dùng của mình thông qua xác thực không mật khẩu”, ông Andrew Shikiar nói.

Hiện Việt Nam đã có nhiều đơn vị ứng dụng xác thực không mật khẩu như VNPAY, Vingroup và sắp tới sẽ có một số ngân hàng triển khai. Còn với IoT thì có các doanh nghiệp như Pavana… và sẽ có thêm các nhà sản xuất thiết bị router, switch khác.

Mô hình bãi đỗ xe thông minh ứng dụng công nghệ không dây sử dụng giao thức FDO (FIDO Device Onboard) của VinCSS.

Trước mối nguy hại trên không gian mạng ngày càng gia tăng, để phổ cập hơn nữa xác thực không mật khẩu ở Việt Nam, theo ông Andrew Shikiar, cách nhanh nhất đối với DN là làm việc với các các công ty tư vấn để chuyển đổi từ mật khẩu truyền thống sang xác thực không mật khẩu. Từ đó, các công ty sẽ có những lộ trình chuyển đổi phù hợp.

“Yếu tố quan trọng tiếp theo là cần có sự hỗ trợ từ phía Chính phủ thông qua các chính sách được ban hành, định hướng để doanh nghiệp đi theo và chuyển sang xác thực không mật khẩu”, ông Andrew Shikiar khẳng định.

Liên minh FIDO hiện có hơn 300 thành viên với các đơn vị đến từ tài chính, ngân hàng, thành viên chính phủ… , giúp cho các DN chuyển đổi xác thực không mật khẩu, từ đó người dùng sử dụng xác thực an toàn, hiệu quả hơn để việc phát triển kinh tế số, xã hội số bền vững, nhanh chóng.

Bà Khanit Phatong, Cơ quan phát triển giao dịch điện tử, Chính phủ Thái Lan cho biết, ở quốc gia này, việc xác thực không mật khẩu vẫn chưa được ứng dụng triệt để và phương thức xác thực chính ở các tổ chức tài chính – ngân hàng vẫn là thông qua mật khẩu. Cơ quan phát triển giao dịch điện tử - Chính phủ Thái Lan đang có những hành động phổ cập hơn nữa xác thực không mật khẩu như thông qua các buổi hội thảo để nâng cao nhận thức.

“Đây là bước quan trọng cho những bước triển khai sau này tại Thái Lan”, bà Khanit Phatong nói.

Sự kiện FIDO APAC Summit 2023 với chủ đề “Kết nối vì một tương lai số an toàn hơn với xác thực mạnh không mật khẩu" được tổ chức ngày 29-30/8.

Sự kiện quy tụ đông đảo đại biểu từ các cơ quan quản lý nhà nước về ATTT các quốc gia, các nhà lãnh đạo doanh nghiệp và chuyên gia trong lĩnh vực công nghệ, công nghiệp, tài chính, ngân hàng, an ninh mạng… như VinCSS, Securemetric Technology, Yubico, AirCuve, CyStack, iProov, Thales, ISR, SMARTdisplayer Technology, và TrustKey./.