Vai trò của xác thực không mật khẩu với trải nghiệm khách hàng

An toàn thông tin - Ngày đăng : 06:08, 18/08/2022

Theo các chuyên gia, việc bảo đảm an toàn thông tin cho khách hàng là một tiêu chí hàng đầu đối với các doanh nghiệp (DN), nhất là các ngân hàng. Do đó, việc ứng dụng xác thực không mật khẩu được kỳ vọng sẽ tạo ra một phương thức xác thực đơn giản, mạnh mẽ và tạo trải nghiệm liền mạch.

Công nghệ xác thực cần có sự cải tiến trong làn sóng chuyển đổi số

Chia sẻ tại một sự kiện được tổ chức mới đây, ông Cấn Văn Lực, Chuyên gia Kinh tế trưởng Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) kiêm Giám đốc Trường Đào tạo BIDV cho biết, cách đây vài năm, các chuyên gia Australia đã từng đưa ra 4 kịch bản về chuyển đổi số (CĐS) và thảo luận trong báo cáo "Tương lai nền kinh tế số Việt Nam – Hướng tới năm 2030 và 2045" xem Việt Nam nên tiếp cận theo hướng nào. Khi đó, ông Lực cho rằng, Việt Nam nên theo kịch bản CĐS để có sự tăng trường tốt nhất.

Về cấp độ CĐS của DN, theo ông Lực có 3 mức độ cơ bản: CĐS một phần như ứng dụng di động, CĐS một số sản phẩm, dịch vụ hay tự động hóa một số quy trình…; thành lập một khối/trung tâm/bộ phận kinh doanh số như cách một số ngân hàng/DN đang triển khai để có thể phối hợp giữa bộ phận nghiệp vụ và công nghệ; CĐS hoàn toàn. Hiện tại, đa phần các DN mới chỉ CĐS ở mức độ 2.

"Việt Nam phải mất một thời gian nữa mới có thể CĐS ở mức độ 3, như việc xây dựng một ngân hàng số 100%, không có người phục vụ và mọi quy trình thực hiện đều được tự động hoá, giống như cách mà ngân hàng số Kakao triển khai tại Hàn Quốc. Còn với các nước trong khu vực Đông Nam Á, tại Singapore, Malaysia, cơ quan quản lý đã cấp một số giấy phép để triển khai ngân hàng số", ông Lực chia sẻ thêm.

Báo cáo e-Conomy SEA 2021 được Google, Temasek và Bain & Company công bố vào cuối năm 2021 đã đưa ra nhận định nền kinh tế Internet của Việt Nam dự báo trở thành nền kinh tế lớn thứ hai Đông Nam Á, đạt 220 tỷ USD về tổng giá trị hàng hóa (GMV) vào năm 2030. Theo ông Lực, điều này là hoàn toàn có thể, khi mà đối với ngân hàng BIDV, dịch vụ ngân hàng số đang chiếm khoảng 20-25% doanh thu và đặt mục tiêu 30% trong thời gian tới. Hệ thống mobile banking trong năm vừa qua cũng tăng khoảng gần 90% về số lượng và giá trị giao dịch.

"Do đó, có thể nói, COVID-19 là một chất xúc tác tuyệt vời cho quá trình CĐS. Thống kê của McKensey cho thấy, 2 năm vừa qua bằng khoảng 20 năm về CĐS. Đồng thời, các phương thức ngoài mật khẩu như vân tay, mống mắt và không mật khẩu cũng có nhiều bước tiến đáng kể", ông Lực bày tỏ.

Mặc dù vậy, trong số 5 phương thức phổ biến bao gồm xác thực mật khẩu, xác thực nhiều yếu tố, xác thực dựa trên hồ sơ đã đăng ký, xác thực sinh trắc học như khuôn mặt, vân tay, giọng nói, mống mắt va các thực bằng chuỗi mã hoá, thì xác thực thông qua mật khẩu vẫn chiếm một tỷ lệ lớn.

Theo báo cáo "Passwordless – The Future of User Authentication" của IDG (2021), 72% các nhà lãnh đạo CNTT cho rằng mật khẩu là yếu tố xác thực phổ biến nhất được sử dụng như một phần của chiến lược xác thực đa yếu tố (MFA) tại tổ chức của họ. Vì vậy, với việc khoảng 70% các rủi ro lừa đảo liên quan đến lĩnh vực ngân hàng - tài chính, do có nhiều người sử dụng, dễ tống tiền,… ông Lực khẳng định, các công nghệ xác thực mới cần có sự cải tiến để phổ cập mạnh mẽ hơn nữa đến người dùng.

Vai trò của xác thực không mật khẩu với trải nghiệm khách hàng của DN - Ảnh 1.

Ông Cấn Văn Lực: công nghệ xác thực không mật khẩu là xu thế tất yếu và vấn đề hiện nay là hướng đi, cách làm sao cho phù hợp, hiệu quả ở Việt Nam

Nhiều lý do để chuyển sang phương thức xác thực không mật khẩu

Cũng theo khảo sát IDG 2021, 58% số người tại Mỹ nói rằng việc sử dụng mật khẩu yếu đã ảnh hưởng lớn đến tình hình bảo mật của tổ chức, tiếp đến là các vụ tấn công giả mạo (phishing) 52%, chia sẻ thông tin đăng nhập 47%. "Mặc dù người dùng đã có ý thức hơn về việc bảo mật nhưng hành động của họ như thế nào lại là một vấn đề khác. Đây là một vấn đề rất nguy hiểm và cần phải có sự thay đổi", ông Lực bày tỏ.

Chưa kể đến, việc nhớ mật khẩu cũng là vấn đề đối với nhiều người. Thống kê năm 2020 từ Liên minh xác thực trực tuyến thế giới (FIDO Alliance) cho thấy: 45% người dùng tự nhớ mật khẩu, 37% viết mật khẩu ra, 32% để các trình duyệt lưu trữ mật khẩu; 52% sử dụng dưới 5 mật khẩu cho tất cả các tài khoản online, chỉ 5% dùng các mật khẩu khác nhau cho các tài khoản; 76% phải đặt lại lại mật khẩu ít nhất 1 lần trong 6 tháng, 51% trong 3 tháng. "Do đó, phương thức xác thực không mật khẩu sẽ là một "cứu cánh" trong trường hợp này, nhất là với những người già, hay những người dân ở vùng nông thôn, vùng sâu vùng xa", ông Lực chia sẻ.

Về trải nghiệm của khách hàng với các kênh xác thực, theo ông Lực, khách hàng ưa thích các phương pháp xác thực mạnh hơn mật khẩu cho các giao dịch tài chính trực tuyến, vay ngang hàng, thương mại điện từ và các dịch vụ đám mây. Nguyên nhân là do mặc dù thoải mái với mua sắm và sử dụng dịch vụ ngân hàng trực tuyến, khách hàng vẫn lo lắng về các vấn đề bảo mật, rò rỉ thông tin cá nhân, gian lận.

Ngoài ra, trải nghiệm liền mạch và dễ dàng sử dụng ngày càng được người dùng lựa chọn, khoảng 3/4 số lượng khách hàng cho rằng việc được sử dụng các phương thức xác nhận ưa thích của họ và trải nghiệm đăng nhập liền mạch sẽ tăng niềm tin đối với nhà cung cấp dịch vụ. Trong đó, xác thực bằng vân tay và mống mắt để truy cập ứng dụng/website đang là 2 phương thức được ưa chuộng nhất, vì tính liền mạch và dễ sử dụng, so với mật khẩu/PIN.

Vì vậy, nhiều nước thế giới đang hướng đến phương thức xác thực không mật khẩu. Lý giải về việc này, ông Lực đã dẫn chứng báo cáo của HYPR về xác thực không mật khẩu năm 2022, khi 82% người sử dụng cho rằng nó giúp tăng tính bảo mật, 67% khẳng định giúp tăng trải nghiệm khách hàng, 39% cho rằng giúp tuân thủ các quy định, 29% nói rằng giúp tăng tốc CĐS và 21% khẳng định phương thức này tiết kiệm chi phí.

Trên thế giới, các quốc gia cũng đã và đang trong quá trình sử dụng phương thức xác thực mới này, nhất là khu vực châu Á – Thái Bình Dương, 41% khẳng định đã áp dụng phương thức xác thực không mật khẩu, cao hơn so với châu Mỹ (26%), khu vực EMEA gồm châu Âu, Trung Đông và châu Phi (31%).

Cùng quan điểm, ông Andrew Shikiar, Giám đốc điều hành và tiếp thị của FIDO Alliance khẳng định, phần lớn các vụ đánh cắp thông tin do liên quan đến phương thức xác thực yếu. Do đó, cách duy nhất để hạn chế việc này là sử dụng những phương thức xác thực mới không dựa trên mật khẩu. "Trong xu hướng bảo mật năm 2022-2023, các hình thức tấn công lừa đảo vẫn sẽ tiếp tục diễn ra mạnh mẽ khi mà phương thức xác thực thông qua mật khẩu vẫn phổ biến. Đây cũng là phương thức tấn công có chi phí rẻ, hiệu quả cao, khi xác suất thành công chiếm hơn 40%", ông Andrew Shikiar nói.

Do đó, ông Andrew Shikiar tin tưởng rằng, phương thức xác thực không mật khẩu trong các DN sẽ phát triển nhanh chóng, để giảm thiểu những rủi ro liên quan đến yếu tố mật khẩu của các nhân viên. Hiện tại đang là thời điểm để triển khai các phương thức xác thực không mật khẩu khi các nhà sản xuất, các nhà cung cấp dịch vụ đang tích cực áp dụng nó vào sản phẩm.

"Chúng ta cần thay đổi cách xác thực của người dùng với hệ thống, chuyển từ xác thực dựa trên thông tin do người dùng nắm giữ như mật khẩu sang thông tin do người dùng sở hữu như sinh trắc học, không mật khẩu", ông Andrew Shikiar bày tỏ.

Dưới góc nhìn của DN công nghệ, ông Đỗ Ngọc Duy Trác, Tổng Giám đốc Công ty VinCSS khẳng định, công nghệ xác thực không mật khẩu là một xu hướng tất yếu và không thể đảo ngược. Nếu Việt Nam chậm chân trong xu hướng xác thực không mật khẩu, khi các quốc gia trên thế giới từ bỏ hình thức xác thực mật khẩu, các tin tặc sẽ chuyển hướng tấn công vào những vùng trũng mật khẩu, trong đó có Việt Nam. Đó là lý do Việt Nam phải làm chủ công nghệ xác thực không mật khẩu.

Tuy nhiên, một số chuyên gia cũng chỉ ra rằng việc triển khai xác thực không mật khẩu cũng có không ít thách thức. Cụ thể, kinh phí và sự phức tạp để chuyển đổi được xem là hai trong số những rào cản chính cho các tổ chức/DN, trong đó kinh phí cho việc thiết lập xác thực không dùng mật khẩu bao gồm cả chi phí cho phần cứng cũng như chi phí thiết lập và cấu hình. Người dùng muốn xác thực không dùng mật khẩu bằng sinh trắc học phải có điện thoại thông minh, có máy quét, nếu không việc triển khai là không thể…

Về những đề xuất, ông Lực cho rằng, công nghệ xác thực đã thay đổi rất nhanh và vấn đề hiện nay là hướng đi, cách làm sao cho phù hợp, hiệu quả ở Việt Nam. Mặc dù vậy, ông Lực cũng lưu ý một số vấn đề cần được đặt ra như khung pháp lý cho xác thực điện tử (gồm cả có mật khẩu và không mật khẩu) cũng như việc bảo vệ người tiêu dùng, giải quyết tranh chấp trong giao dịch số.

Đại diện Ngân hàng Hàng Hải cũng khẳng định mong muốn có chính sách rõ ràng, tạo điều kiện để DN sớm áp dụng những công nghệ mới như xác thực không mật khẩu, tạo sự tin tưởng và đảm bảo an toàn cho khách hàng khi giao dịch./.

NK