Kinh nghiệm triển khai xác thực không dùng mật khẩu khai thác PKI tại một số quốc gia

Xác thực không dùng mật khẩu là quá trình xác minh danh tính của người dùng bằng một yếu tố xác thực khác mà không phải là mật khẩu. Phương pháp này tăng cường tính an toàn bằng cách loại bỏ các hoạt động quản lý mật khẩu và nguy cơ từ các rủi ro liên quan tới mật khẩu của người dùng. Vì thế, còn được gọi là xác thực mạnh không dùng mật khẩu.

Ra đời từ 2013, Liên minh FIDO (Fast Identity Online Alliance) mang đến các giải pháp tiêu chuẩn mở về xác thực không dùng mật khẩu và ngày càng thu hút được sự quan tâm tham gia, triển khai của các hãng công nghệ lớn.

Về cơ bản, các giao thức của FIDO sử dụng hạ tầng mật mã khóa công khai (PKI) để cung cấp giải pháp xác thực mạnh cho các dịch vụ trực tuyến. Khi đăng ký dịch vụ, người sử dụng được tạo 01 cặp khóa mới gồm khóa bí mật (private key) và khóa công khai (public key), đồng thời tiến hành quy trình đăng ký thiết bị được cấp phát riêng trong đó có lưu khóa bí mật.

Việc xác thực được thực hiện bằng cách người dùng sử dụng thiết bị lưu giữ khóa riêng để ký vào thông điệp dữ liệu xác thực yêu cầu từ hệ thống cung cấp dịch vụ trực tuyến. Người sử dụng thực hiện truy xuất khóa bí mật một cách an toàn bằng các phương thức như vân tay, mã pin... mà không cần dùng mật khẩu như phương thức xác thực truyền thống.

Từ năm 2017, Hiệp hội Hạ tầng khóa công khai châu Á (APKIC) đã có những trao đổi và tham gia nhiều hoạt động chung của Liên minh FIDO. Tại khu vực châu Á, APKIC là Hiệp hội duy nhất về lĩnh vực PKI có sự tham gia của các tổ chức Chính phủ, cơ quan quản lý nhà nước bên cạnh sự tham gia của các tổ chức, DN.

Năm 2018, APKIC và Liên minh FIDO cũng đã phối hợp biên tập và xuất bản Sách trắng về hiện trạng và khuyến nghị phát triển các giải pháp xác thực không dùng mật khẩu khai thác hạ tầng khóa công khai tại châu Á.

Kinh nghiệm triển khai ở một số quốc gia, khu vực

Ở Hàn Quốc, công nghệ K-FIDO (FIDO + NPKI certificate) được cung cấp bởi Cơ quan An ninh Internet Hàn Quốc (KISA), cho phép người dân sử dụng dịch vụ chứng thực chữ ký số công cộng để thực hiện xác minh danh tính khi đăng ký và sử dụng các dịch vụ trực tuyến.

Để tránh rủi ro về an toàn, cặp khóa xác thực và cặp khóa để ký văn bản được cung cấp riêng. Đến nay, công nghệ K-FIDO được sử dụng phổ biến để xác thực người dùng trong các dịch vụ ngân hàng trực tuyến.

Tại Đài Loan, công ty TWCA đã phát triển và cung cấp nhiều dịch vụ xác thực không dùng mật khẩu, trong đó có các giải pháp sử dụng tiêu chuẩn FIDO. Các dịch vụ xác thực không dùng mật khẩu được sử dụng phổ biến trong các ứng dụng trực tuyến trong ngành tài chính, như là ngân hàng, chứng khoán, dịch vụ công trực tuyến. Hiện nay, Đài Loan đã thành lập Bộ Chuyển đổi số quốc gia và bắt đầu tham gia vào Liên minh FIDO từ 2023.

Trong khi đó, tại Thái Lan, khách hàng phải thực hiện đăng ký thiết bị di động để đăng ký cấp phát chứng thư số cá nhân trực tiếp tại các chi nhánh ngân hàng. Sau khi được cấp phát chứng thư số cá nhân, khách hàng sử dụng thiết bị di động đã đăng ký để thực hiện các yêu cầu xác thực khi thực hiện giao dịch ngân hàng trực tuyến, cũng như để ký các văn bản điện tử.

Giải pháp sử dụng công nghệ FIDO cần được quan tâm và truyền thông rộng rãi

Hiện nay, một số giải pháp và sản phẩm xác thực theo tiêu chuẩn FIDO cũng đã được phát triển và cung cấp trên thị trường Việt Nam. Điển hình như Công ty Cổ phần Tập đoàn MK với sản phẩm khóa bảo mật FIDO Keypass S3, hay gần đây là bộ giải pháp VinCSS FIDO2 Ecosystem đã đánh dấu những bước đi đầu tiên nhưng đầy mạnh mẽ, quyết liệt của Việt Nam để hòa nhập vào làn sóng xác thực mạnh toàn cầu.

Xác thực không dùng mật khẩu là xu hướng công nghệ lớn, có tác động lớn tới các giao dịch điện tử và hoạt động CĐS. Vì vậy, theo Trung tâm Chứng thực điện tử quốc gia (NEAC) - Bộ TT&TT, các sản phẩm và giải pháp sử dụng công nghệ FIDO cần được quan tâm, truyền thông rộng rãi, nhất là trong các hoạt động về phát triển công nghệ số Make in Việt Nam.

Là đơn vị có chức năng phát triển hạ tầng phục vụ hoạt động giao dịch điện tử, chữ ký điện tử và xác thực điện tử; đề xuất các chính sách, quy hoạch trong lĩnh vực giao dịch điện tử, chữ ký điện tử, xác thực điện tử, NEAC cho biết Trung tâm sẽ nghiên cứu, tìm hiểu khả năng tiếp thu kinh nghiệm của một số quốc gia và kinh nghiệm quốc tế phù hợp khác trong quản lý dịch vụ chứng thực chữ ký số công cộng như quản lý điều kiện kinh doanh; giám sát chất lượng dịch vụ; chế độ báo cáo và hoạt động kiểm tra tuân thủ;... để tham mưu điều chỉnh vào các văn bản hướng dẫn dưới Luật Giao dịch điện tử và áp dụng triển khai trong hoạt động của NEAC.

Bên cạnh đó, theo NEAC, việc tham gia vào tổ chức APKIC mang lại rất nhiều lợi ích, nhất là trong các hoạt động làm việc, trao đổi với cộng đồng các chuyên gia, nhà làm chính sách trong khu vực và quốc tế. Qua đó, cập nhật các diễn biến phát triển công nghệ về PKI và học hỏi được các kinh nghiệm thành công từ các tổ chức, quốc gia thành viên. Vì vậy, NEAC cũng đã tích cực thúc đẩy quá trình đăng ký làm thành viên chính thức của APKIC.

Tháng 6/2023, Lãnh đạo Bộ Thông tin và Truyền thông đã phê duyệt Đề án xin gia nhập APKIC của NEAC. Sau quá trình tiến hành các thủ tục cần thiết, ngày 18/10/2023, NEAC đã chính thức được kết nạp trở thành thành viên của Hiệp hội./.