Phương thức xác thực không mật khẩu gặp nhiều rào cản ở Việt Nam

Một số đơn vị Việt Nam đã ứng dụng xác thực không mật khẩu

Chia sẻ tại Hội nghị FIDO Châu Á – Thái Bình Dương 2023 (FIDO APAC Summit 2023) tổ chức ngày 29-30/8, theo ông Lê Tuấn Khôi, Phó Giám đốc MK Vision cho biết, phương thức xác thực không mật khẩu ở Việt Nam sẽ giúp bảo vệ nhóm người yếu thế bao gồm người già, trẻ em, thanh thiếu niên… thay thế cho các phương thức xác thực chính đang được sử dụng bao gồm mật khẩu, tin nhắn OTP, QR Code, trong khi không nó thân thiện và dễ bị đánh cắp.

“Điều này thể hiện qua các vụ đánh cắp thông tin cá nhân được thực hiện chỉ trong vài tháng, nhất là trong giai đoạn dịch bệnh”, đại diện MK Vision chia sẻ.

Tuy nhiên, phương thức xác thực không mật khẩu đang gặp rất nhiều rào cản khi triển khai tại Việt Nam. Thứ nhất đó là việc đa phần người dân rất ít quan tâm đến các sản phẩm an ninh mạng khi nghĩ rằng nền tảng mình sử dụng đều an toàn và trách nhiệm bảo vệ thuộc về các nền tảng.

Thách thức thứ hai là nhiều nhà máy sản xuất, linh kiện cho phương thức xác thực không mật khẩu bị ảnh hưởng bởi các đợt khủng hoảng chip toàn cầu. Do đó, MK đã đầu tư vào Pavana để có thể tự sản xuất.

Những năm gần đây, bên cạnh sản phẩm camera, đầu đọc thẻ thông minh…, MK Group đã sản xuất ra các thiết bị xác thực không mật khẩu như các USB Token được chứng nhận FIDO2.

Chưa kể, tại Việt Nam, đã có nhiều đơn vị ứng dụng xác thực không mật khẩu như VNPAY, Vingroup và sắp tới sẽ có một số ngân hàng triển khai. Còn với IoT thì có các doanh nghiệp như Pavana… và sẽ có thêm các nhà sản xuất thiết bị router, switch khác.

Ông Phan Anh Thắng, Trưởng bộ phận chuyển đổi xác thực mạnh không mật khẩu, VNPAY cho biết, thông qua giải pháp của VinCSS, đơn vị này đã có thể hỗ trợ, tích hợp và xác thực liền mạch. Theo đó, VNPAY đã phát triển ứng dụng chuyên sâu sử dụng khoá FIDO2 cho mục đích nội bộ.

Thúc đẩy xác thực không mật khẩu chỉ hiệu quả khi tạo sự “trong suốt” cho người dùng

Chia sẻ các bài học khi triển khai xác thực không mật khẩu, ông Trường Nguyễn, Lập trình viên đã từng có 5 năm làm việc tại Money Forward - tập đoàn công nghệ tài chính lớn của Nhật Bản, cho biết, công ty này có rất nhiều nhóm người dùng khác nhau, từ những người có kiến thức cho đến không rành về công nghệ.

Khi sử dụng, họ sẽ đăng nhập vào một cổng đăng nhập chung để xác thực. Vì vậy, khi Money Forward thực hiện bất kì sự thay đổi nào thì sẽ phải cân nhắc rất kỹ trước khi áp dụng, để đảm bảo nền tảng này phải dễ dàng sử dụng, luôn được bảo mật ổn định…

”Money Forward đã quyết định sử dụng phương thức xác thực không mật khẩu (Passkey) khi khách hàng truy cập vào các dịch vụ của mình”, ông Trường nói.

Lý giải về quyết định này của Money Forward, theo ông Trường, đầu tiên Passkey là sự cân bằng giữa trải nghiệm và độ bảo mật. Đồng thời, công nghệ này cũng giúp cải thiện UX/UI (user experience - trải nghiệm người dùng/user interface - giao diện người dùng) của sản phẩm, cho phép người dùng sử dụng vân tay hay một số giao thức sinh trắc học khác một cách nhanh chóng hơn thay vì phải gõ từng ký tự. Chưa kể, nó cũng giúp người dùng không phải rơi vào một số hoàn cảnh như quên mật khẩu và một số thách thức về mặt kỹ thuật khác.

Trước đây, một số giải pháp xác thực không mật khẩu gây cảm giác khó chịu và làm giảm trải nghiệm cho người dùng. Để giải quyết bài toán này, Apple và Google đã giới thiệu giải pháp “Passkey Autofill” được giới thiệu tại WWDC22, Google IO năm 2022.

“Giải pháp này không có sự khác biệt so với việc tự điền mật khẩu, giúp cho quá trình chuyển đổi từ phương thức truyền thống sang phương thức xác thực không mật khẩu dễ dàng hơn”, ông Trường nói.

Bởi vì, chỉ khi người dùng cảm thấy trong suốt, không thấy được sự khác nhau và việc truy cập vẫn hoàn toàn đơn giản như bình thường thì mới có thể thúc đẩy việc sử dụng xác thực không mật khẩu.

“Tôi hi vọng trong thời gian tới, sẽ có những chỉnh sửa trong quá trình đăng nhập thông qua passkey để mọi thứ đơn giản, tiện lợi hơn”, ông Trường nhấn mạnh.

Ông Naohisa Ichihara, Giám đốc An toàn thông tin, nền tảng thương mại điện tử Mercari (Nhật Bản), những lý do khiến đơn vị này quyết định ứng dụng passkey thay thế tin nhắn OTP qua điện thoại, đầu tiên là chống gian lận và giả mạo, trong bối cảnh các cuộc tấn công này đang có xu hướng gia tăng ở Nhật Bản, khi tin tặc lấy thông tin thẻ tín dụng của người mua để trục lợi.

Lý do thứ 2 là để bảo vệ ứng dụng bên trong ứng dụng tốt hơn. Hiện Mercari có các ứng dụng con, đòi hỏi người dùng phải đăng nhập 2 lần. Điều này khiến cho người dùng có những trải nghiệm khó chịu.

Do đó, để tạo tiện lợi cho người dùng và bảo đảm an toàn, Mercari đã ứng dụng phương thức xác thực passkey để bảo đảm tin tặc ngay cả khi có tài khoản Mercari cũng không thể truy nhập được ưng dụng con bên trong.

Cuối cùng, việc triển khai xác thực không mật khẩu đem lại trải nghiệm tốt hơn cho người dùng. Khi mà sau khi ứng dụng phương thức passkey thì tỷ lệ hoàn thành xác thực của ngươi dùng tăng 14,9% so với phương thức SMS truyền thống, từ mức 67,6% lên 82,5%. Còn thời gian xác thực cũng được giảm 20,9 giây, chỉ còn 4,4 giây.

“Do đó, có thể nói, phương thức xác thực không mật khẩu rất hiệu quả so với cách thức truyền thống qua OTP”, ông Naohisa Ichihara nhận định./.