Ngăn chặn việc lạm dụng công nghệ xác thực sinh trắc học
An toàn thông tin - Ngày đăng : 16:28, 27/05/2022
Xác thực sinh trắc học - Xu hướng tất yếu trong tương lai
Khi thế giới ngày càng trở nên số hóa hơn, việc bảo vệ thông tin nhạy cảm cũng trở nên khó khăn hơn. Các biện pháp bảo mật dữ liệu truyền thống như khóa và mật khẩu không còn phù hợp. Trên thực tế, mật khẩu gây ra rủi ro bảo mật cho nhiều hệ thống vì chúng dễ bị bẻ khóa.
Với sự phổ biến của vi phạm bảo mật và trộm cắp danh tính, rõ ràng là bảo mật đòi hỏi các phương pháp xác thực mạnh mẽ hơn. Hệ thống bảo mật sinh trắc học là một trong những cách tiếp cận như vậy. Công nghệ này sử dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh mạch,… để nhận diện, xác thực bảo mật. Nó hứa hẹn một phương pháp hiện đại, tiện lợi, tin cậy và hiệu quả để xác minh danh tính của ai đó.
Theo hãng nghiên cứu Frost & Sullivan, thị trường sinh trắc học được dự kiến sẽ đạt mốc 54,97 tỷ USD vào năm 2025. Nhu cầu về nhận dạng an toàn hơn sẽ thúc đẩy phần lớn xu hướng tăng trưởng này.
So với việc gõ vào số thẻ nhân viên hoặc nhập mã PIN, sinh trắc học hứa hẹn bảo mật nâng cao vì chúng không thể bị mất hoặc quên và không dễ bị giả mạo hoặc sao chép. Sinh trắc học có thể được sử dụng một mình hoặc như là yếu tố xác thực thứ hai. Ví dụ, nhiều ngân hàng sử dụng sinh trắc học giọng nói để xác minh khách hàng trước khi cho phép thực hiện các giao dịch qua điện thoại.
Không có hệ thống nào là hoàn hảo 100%
Trong bối cảnh những gian lận ngày càng gia tăng trên thế giới, xác thực sinh trắc học sẽ mang lại cho các tổ chức, doanh nghiệp và người tiêu dùng lợi nhuận thực sự và an toàn cho các khoản đầu tư của mình.
Xác thực sinh trắc học, sử dụng công nghệ như nhận dạng vân tay, khuôn mặt, hứa hẹn một phương thức hiện đại, tiện lợi, tin cậy và hiệu quả để xác minh danh tính của ai đó. Tuy nhiên, không có hệ thống nào là hoàn hảo. Thực tế đã có những câu chuyện về việc giả mạo dấu vân tay của một người để mở khóa cửa vào nhà hoặc quét khuôn mặt để đánh cắp tiền từ ví kỹ thuật số của người khác.
Ví dụ, một người đàn ông ở Trung Quốc được cho là đã nâng mí mắt của bạn gái cũ đang ngủ để mở khóa điện thoại và truy cập vào ví kỹ thuật số của cô ấy. Một số người được cho là đã sử dụng dấu vân tay được sao chép hoặc một bức ảnh khuôn mặt để đánh lừa cảm biến sinh trắc học.
Một công nghệ phổ biến để ngăn chặn việc này là Liveness Detection. Liveness detection sẽ xác định thời gian thực diễn ra là của khách hàng chứ không phải do robot hay một kẻ mạo danh, cụ thể nó kiểm tra xem khuôn mặt hoặc ngón tay được quét có phải là của người sống hay không, sử dụng ánh sáng hồng ngoại để kiểm tra các mẫu tĩnh mạch bên trong ngón tay hoặc để tính toán cấu trúc 3D của khuôn mặt. Các phương pháp như vậy yêu cầu các cảm biến và thuật toán bổ sung.
Ngoài ra cũng có những lo ngại về việc sử dụng sinh trắc học sẽ vi phạm quyền riêng tư bởi sinh trắc học không chỉ xác định một người nào đó mà còn tiết lộ thông tin về sức khỏe của họ. Ví dụ, các mẫu mống mắt được cho là có khả năng tiết lộ sức khỏe thận của một người.
Vì vậy, nhiều phương thức bảo vệ dữ liệu không cho phép sử dụng sinh trắc học cho các mục đích phụ, bao gồm cả chẩn đoán y tế mà không có sự đồng ý của người đó. Bởi những mục đích phụ như vậy (được gọi là mục đích bổ sung) rất khó phát hiện do có thể được thực hiện rất lâu sau mục đích ban đầu của việc thu thập dữ liệu.
Vậy cần làm gì để giảm thiểu những nguy cơ tiềm ẩn của công nghệ xác thực sinh trắc học?
Đầu tiên là cần yêu cầu một phòng thí nghiệm độc lập được công nhận kiểm tra các lỗ hổng bảo mật và quyền riêng tư trong các sản phẩm sinh trắc học. Hiện chỉ có một số ít phòng thí nghiệm như vậy trên toàn thế giới, bao gồm cả ở Trung Quốc, Úc và Anh.
Nhiều phòng thí nghiệm trong số này được công nhận bởi Liên minh xác thực trực tuyến thế giới FIDO. Đây là tổ chức xác thực bảo mật toàn cầu được thành lập vào năm 2012 với hơn 260 thành viên, gồm các hãng công nghệ hàng đầu như Facebook, Google, Microsoft, Twitter, Amazone, Paypal, RSA, Samsung, VISA…Liên minh FIDO được thành lập nhằm giải quyết các vấn đề về xác thực đăng nhập, khắc phục tình trạng người sử dụng phải tạo và ghi nhớ nhiều tên người dùng và mật khẩu. FIDO đã góp phần đáng kể trong việc loại trừ các nguy cơ bị tấn công giả mạo, tấn công mạng chiếm tài khoản, giảm các rắc rối cho người dùng cũng như chi phí duy trì hệ thống cho các tổ chức.
Ngoài ra, cần có các yêu cầu pháp lý chặt chẽ đối với các hệ thống sinh trắc học được sử dụng, đặc biệt là những hệ thống để xác thực các dịch vụ tài chính hoặc chính phủ.
Một biện pháp bảo vệ người tiêu dùng khác là yêu cầu các công ty tuân thủ các tiêu chuẩn quốc tế. Làm như vậy sẽ đảm bảo khả năng tương thích của các thiết bị sinh trắc học và tạo điều kiện thuận lợi cho việc kiểm tra tính tuân thủ.
Các tổ chức sử dụng hệ thống sinh trắc học tuân thủ các tiêu chuẩn cũng sẽ có nhiều lựa chọn hơn về các dịch vụ bảo mật dữ liệu, do đó tránh được các công nghệ lỗi thời và dễ bị tấn công.
Trung tâm kiểm thử đào tạo tích hợp (ITTC - The Integrated Train Testing Centre) thuộc Ủy ban tiêu chuẩn CNTT Singapore đã tích cực giám sát và đóng góp vào các tiêu chuẩn ISO khác nhau liên quan đến sinh trắc học. Trong nhiều năm, ITTC đã đưa ra các tài liệu tiêu chuẩn và hướng dẫn sử dụng cho các định dạng dữ liệu vân tay, hình ảnh khuôn mặt, mống mắt và giọng nói trên www.singaporestandardseshop.sg
Các thực tiễn hay nhất cũng nên được chia sẻ. Một tổ chức phi lợi nhuận có thể được thành lập để tập hợp các nhà cung cấp và người dùng từ tất cả các lĩnh vực để chia sẻ những gì đã làm và chưa hiệu quả. Điều này sẽ góp phần nâng tầm bảo mật sinh trắc học và ngăn chặn tội phạm mạng, những kẻ có thể lợi dụng sự thiếu hiểu biết của người dùng để thực hiện lừa đảo, tấn công.
Một ví dụ điển hình là Viện Sinh trắc học có trụ sở tại Sydney, bao gồm các cơ quan chính phủ, ngân hàng, hãng hàng không, học giả và quan sát viên từ các tổ chức của Liên Hợp Quốc và Liên minh châu Âu. Viện khuyến khích việc chia sẻ các phương pháp hay nhất và xuất bản các hướng dẫn về việc sử dụng xác thực sinh trắc học có đạo đức và đảm bảo quyền riêng tư.
Và cuối cùng là cần giáo dục người dùng để khai thác hiệu quả những lợi ích của sinh trắc học trong khi giảm thiểu rủi ro của nó./.