"Ngày tàn" của mật khẩu và công nghệ đột phá thay đổi cuộc chơi
Vào đầu những năm 2000 tại hội nghị RSA, Bill Gates đã dự đoán về "ngày tàn" của mật khẩu. "Đã đến lúc chia tay mật khẩu" là nhận định của nhiều chuyên gia an toàn thông tin khi phương thức xác thực này liên tục bộc lộ những điểm yếu và bất cập.
Các nghiên cứu từ Verizon và Microsoft cho thấy mật khẩu là nguyên nhân của hơn 80% các vụ xâm phạm dữ liệu. Không những thế, việc quản lý mật khẩu được cho là quá tốn kém, LastPass, công ty phát triển giải pháp quản lý mật khẩu hàng đầu thế giới công bố kết quả nghiên cứu của mình như sau: các DN lớn phải bỏ ra trung bình 1 triệu USD hàng năm chỉ cho việc thiết lập lại và quản lý mật khẩu. Bên cạnh đó, các báo cáo của Microsoft chỉ ra rằng việc phải tạo và ghi nhớ nhiều mật khẩu rắc rối khiến người dùng không còn hứng thú sử dụng các phần mềm, tiện ích mà DN cung cấp.
Năm 2012, Liên minh xác thực trực tuyến (FIDO Alliance) đã ra đời với sứ mệnh giảm thiểu tối đa sự phụ thuộc vào mật khẩu cho người dùng cá nhân cũng như DN. Đến nay, FIDO Alliance đã trở thành một tổ chức công nghiệp mở với sự tham gia của hơn 260 DN thành viên. Trong đó có sự góp mặt của hầu hết các tập đoàn công nghệ hàng đầu thế giới như Facebook, Google, Microsoft, Twitter, Amazon, Paypal, RSA, Samsung, VISA,…
Xác thực không mật khẩu được xem là phương thức xác thực an toàn nhất hiện nay, giúp nâng cao trải nghiệm người dùng, giảm thiểu sự phức tạp, khó khăn trong quản lý mật khẩu cũng như tiết kiệm chi phí vận hành hệ thống thông tin cho tổ chức. Công nghệ này đang là một xu hướng lớn tất yếu trên toàn cầu mà nhiều DN, tổ chức trên thế giới đang quan tâm ứng dụng để đảm bảo phát triển bền vững.
Theo nghiên cứu của Security Insider, cơ quan báo chí uy tín toàn cầu trong lĩnh vực an toàn thông tin mạng, chuyển đổi sang xác thực không mật khẩu có thể giúp DN giảm 91% rủi ro tấn công lừa đảo và đánh cắp danh tính; tăng 64% hiệu quả trải nghiệm người dùng, tiết kiệm 14% chi phí vận hành và tăng tỷ lệ chuyển đổi số (CĐS) thành công lên đến 21%.
Như vậy, xác thực không mật khẩu không chỉ là một phương thức hỗ trợ tính năng truy cập an toàn mà còn trực tiếp tạo ra giá trị gắn với mục tiêu kinh doanh, phát triển bền vững của DN. Theo chia sẻ từ Microsoft, sau khi triển khai Passwordless, mỗi năm bản thân Tập đoàn này đã cắt giảm được 3 triệu USD chi phí cố định và 6 triệu USD phí tổn do giảm năng suất vì các vấn đề liên quan đến mật khẩu. Theo ước tính của Gartner, đến năm 2022, 60% DN lớn và 90% DN vừa trên toàn cầu sẽ áp dụng xác thực không mật khẩu trong hơn 50% tổng phiên đăng nhập.
Tuy nhiên, tại Việt Nam, trong bối cảnh chương trình CĐS quốc gia đang diễn ra hết sức mạnh mẽ để phát triển những dịch vụ số mới thì DN Việt vẫn chưa được tiếp cận với công nghệ xác thực không mật khẩu, để rồi chấp nhận chi phí quản lý mật khẩu, chi phí dịch vụ OTP rất cao mà trải nghiệm sử dụng vẫn phức tạp và đặc biệt là ngày càng xuất hiện nhiều vụ tấn công nhắm vào các dịch vụ xác thực yếu của các tổ chức tài chính, ngân hàng. Mặc dù thị trường đã manh nha một số công ty nước ngoài cung cấp dịch vụ xác thực không mật khẩu, nhưng với chi phí quá cao và hình thức triển khai chưa linh hoạt, DN trong nước vẫn chưa tiếp cận được với công nghệ này mà vẫn "chật vật" với phương thức xác thực cũ kỹ.
Tiên phong xây dựng và làm chủ hệ sinh thái giải pháp xác thực mạnh không mật khẩu
Để giải quyết vấn đề này, từ năm 2019, VinCSS (Vingroup) đã bắt tay nghiên cứu và phát triển một hệ sinh thái "Make In Viet Nam" hoàn toàn về xác thực mạnh không mật khẩu với 07 giải pháp hoàn thiện và vẫn đang tiếp tục nâng cấp đổi mới.
Sau hơn 02 năm nghiên cứu phát triển và triển khai các giải pháp, hệ thống trong hệ sinh thái VinCSS FIDO2 cho khách hàng, VinCSS đã nhận được nhiều phản hồi tích cực từ các đơn vị sử dụng dịch vụ. Tiêu biểu như trong giai đoạn dịch bệnh COVID-19 căng thẳng vừa qua, một khách hàng là một DN lớn có trụ sở tại Việt Nam, Mỹ và Canada đã phải triển khai mô hình làm việc từ xa (Work From Home - WFH) cho gần 2.000 nhân viên.
Tuy nhiên, để triển khai WFH, DN này đã phải cho phép tất cả nhân viên của mình VPN vào mạng nội bộ, và dẫn đến một rủi ro vô cùng lớn là nếu chỉ cần một tài khoản VPN của nhân viên bị tin tặc chiếm được thì sẽ mở đường cho tin tặc đi thẳng vào mạng nội bộ của DN một cách hợp lệ. VinCSS đã tư vấn để tích hợp khả năng xác thực mạnh vào dịch vụ VPN của DN này, thay vì phải nhớ và nhập rất nhiều lớp mật khẩu/OTP, tất cả những gì nhân viên DN này cần làm là dùng điện thoại quét mã QR và quét vân tay để đăng nhập dịch vụ VPN.
Đặc biệt, bộ phận CNTT của DN đã giảm bớt rất nhiều gánh nặng trong việc hỗ trợ xử lý các vấn đề liên quan tới mật khẩu VPN, còn bộ phận an ninh bảo mật thì đã giải quyết được lo ngại về an ninh bảo mật khi hàng loạt các mối nguy đến từ mật khẩu khi nhân viên làm việc từ xa hiện đã được giải quyết như nhân viên đặt mật khẩu dễ đoán, mật khẩu bị rò rỉ, nhân viên bị lừa cung cấp mật khẩu, tin tặc truy xuất mạng nội bộ dưới danh nghĩa nhân viên được cấp quyền,...
Do làm chủ công nghệ và tự phát triển toàn bộ hệ sinh thái FIDO2 nên VinCSS có khả năng cung cấp giải pháp được "may đo" riêng theo nhu cầu của mỗi DN cùng cam kết đem lại hiệu quả cắt giảm chi phí, tối ưu hoạt động, sử dụng dễ dàng và đảm bảo an toàn ngay trong 02 tháng đầu tiên triển khai. Được nghiên cứu và xây dựng bởi đội ngũ chuyên gia người Việt, hệ sinh thái xác thực mạnh không mật khẩu VinCSS FIDO2 tự hào mang công nghệ đẳng cấp quốc tế đến DN Việt Nam và toàn cầu.
Trước đó, vào đầu năm 2021, VinCSS đã ra mắt dịch vụ đám mây xác thực mạnh không mật khẩu (VinCSS FIDO2 Cloud). Ông Đỗ Ngọc Duy Trác, Tổng Giám đốc Công ty TNHH Dịch vụ An ninh mạng VinCSS (Tập đoàn Vingroup) cho biết: "Dịch vụ VinCSS FIDO2 Cloud ra đời là mảnh ghép cuối cùng của Hệ sinh thái VinCSS FIDO2. Bằng việc ra mắt dịch vụ này, chúng tôi tự hào giới thiệu với thế giới một nền tảng công nghệ hoàn toàn Make In Vietnam được phát triển theo các tiêu chuẩn quốc tế và có thể giải quyết trọn vẹn bài toán ứng dụng xác thực mạnh không mật khẩu cho khách hàng. Ngay trong năm 2021, chúng tôi sẽ phối hợp với các đối tác, nhà phân phối để giới thiệu và đưa công nghệ này đến cho khách hàng trong và ngoài nước".
Dịch vụ VinCSS FIDO2 Cloud là nền tảng cung cấp dịch vụ xác thực (Authentication-as-a-Service) hỗ trợ đồng thời tiêu chuẩn FIDO2 và các tiêu chuẩn về xác thực liên hệ thống (OAuth2, SAML2 và OpenID Connect), dịch vụ cung cấp trải nghiệm người dùng chỉ cần đăng nhập một lần để vào nhiều hệ thống khác nhau (single sign-on) và khả năng quản lý định danh liên hệ thống (Federated Identity) trên toàn hệ sinh thái số của DN với độ an toàn cao hơn rất nhiều so với hiện nay.
Với DN có lượng người dùng nội bộ lớn, số lượng ứng dụng nhiều, có cung cấp sản phẩm dịch vụ ra bên ngoài (như ngân hàng, sàn thương mại điện tử, siêu ứng dụng…) thì sẽ mất rất nhiều thời gian và sẽ gặp rất nhiều khó khăn khi triển khai và tích hợp dịch vụ xác thực mạnh. Dịch vụ VinCSS FIDO2 Cloud sẽ được cung cấp cho nhóm khách hàng dưới dạng dịch vụ đám mây dùng riêng (private cloud) hoặc bên trong hạ tầng (on-premise) giúp rút ngắn đáng kể thời gian triển khai, đơn giản hoá việc quản trị và làm giảm đáng kể chi phí.
VinCSS là một thành viên chính thức của Liên minh Xác thực trực tuyến thế giới (FIDO Alliance). Từ năm 2020, công ty đã lần lượt công bố Hệ sinh thái VinCSS FIDO2 gồm các chủng loại khoá khác nhau (hardkey/softkey), giải pháp xác thực FIDO2 trong nội bộ DN (On-premise) và giải pháp xác thực tập trung sử dụng nền tảng đám mây cho DN.
Trong sứ mệnh phổ biến FIDO2 nói riêng và Passwordless nói chung, cũng như củng cố thêm cho hệ sinh thái VinCSS FIDO2, VinCSS còn phát triển các thư viện lập trình và tiện ích giúp DN dễ dàng tiếp cận và tích hợp công nghệ FIDO2. VinCSS cũng cung cấp các dịch vụ tư vấn, hỗ trợ, và các sản phẩm tích hợp công nghệ FIDO2 (điện thoại, xe thông minh, thiết bị IoT).
VinCSS FIDO2 đã được cấp 4 chứng chỉ FIDO2 quốc tế, có sản phẩm được Microsoft khuyến nghị sử dụng trên nền tảng Azure AD và VinCSS được chọn là đối tác Định danh năm 2020 của Microsoft./.