Mobile Banking và bài toán xác thực người dùng
An toàn thông tin - Ngày đăng : 12:06, 23/01/2024
Mobile Banking và bài toán xác thực người dùng
Sự bùng nổ Mobile Banking đã đặt ra những thách thức về bảo vệ dữ liệu của khách hàng. Với phương thức xác thực thông qua FIDO sẽ giúp phòng chống hơn 90% tấn công lừa đảo nhắm vào thông tin đăng nhập của người dùng.
Những rủi ro từ thanh toán di động với dữ liệu người dùng
Những năm gần đây, phương thức thanh toán không tiền mặt (KDTM) và thanh toán di động (Mobile Banking) đã trở thành một xu hướng tất yếu của thời đại số. Đây cũng là một trong những làn sóng công nghệ lớn có sức mạnh thay đổi cục diện thị trường tài chính - tiêu dùng, ngày càng lan rộng và được chứng minh bằng những con số ấn tượng.
Theo thống kê của Ngân hàng Nhà nước (NHNN) Việt Nam, tính đến cuối năm 2023, thanh toán KDTM đạt khoảng 11 tỷ giao dịch, tăng gần 50% so với năm 2022.
Các ngân hàng Việt Nam đã chứng kiến sự tăng trưởng mạnh mẽ trong việc sử dụng ngân hàng di động với khối lượng và giá trị giao dịch tăng đáng kể. Điều này đặt ra bài toán lớn về xác thực để bảo vệ thông tin và tài sản của người dùng. Xác thực đa yếu tố, sinh trắc học và FIDO đang là ba phương pháp được quan tâm nhất hiện nay.
Trong đó, xác thực đa yếu tố (MFA) là phương thức quen thuộc khi kết hợp ít nhất 2 trong 3 yếu tố, những thứ mà người dùng biết (như mật khẩu), những thứ mà người dùng sở hữu (như một điện thoại thông minh/khóa bảo mật) và chính bản thân người dùng (như dấu vân tay/gương mặt).
Dù vậy, việc tích hợp MFA yêu cầu người dùng thực hiện nhiều bước xác minh, làm tăng thêm độ phức tạp và thời gian cho quy trình xác thực, thanh toán.
Đứng trước nhu cầu về các biện pháp vừa bảo mật mạnh mẽ, vừa thuận tiện và tối ưu chi phí, sinh trắc học và FIDO được đặt lên bàn cân.
Hiện nay, nhiều ngân hàng hiện nay đã và đang sử dụng sinh trắc học khi yêu cầu khách hàng trình diện dấu hiệu nhận dạng sinh trắc học như khuôn mặt, vân tay, giọng nói để xác thực giao dịch. Điểm mạnh của phương pháp này là sự thuận tiện và tính duy nhất của dữ liệu sinh trắc học. Tuy nhiên, mối quan ngại lớn nhất là việc lưu trữ và xử lý dữ liệu sinh trắc học sao cho an toàn.
Còn đối với phương thức xác thực nhanh trực tuyến (Fast IDentity Online - FIDO), tiêu chuẩn xác thực do Liên minh Xác thực Trực tuyến Thế giới FIDO Alliance ban hành, các ngân hàng lớn trên thế giới và một số ngân hàng tại Việt Nam đã tiên phong sử dụng công nghệ này.
Khác biệt lớn nhất giữa sinh trắc học và FIDO là tính bảo mật. Các dữ liệu sinh trắc học được lưu trữ tập trung, được ví như “món nợ của công nghệ” khi dễ dàng bị rò rỉ ở hiện tại và hack trong tương lai. Khi dữ liệu này bị lộ, người dùng không thể thay đổi sinh trắc học của mình như thay mật khẩu hay khóa bảo mật thông thường.
Trái lại, FIDO tạo ra một quy trình xác thực mà không cần truyền dữ liệu nhạy cảm qua mạng. Với FIDO, dữ liệu xác thực được giữ an toàn trên thiết bị người dùng, giảm thiểu rủi ro bị tấn công. Theo Microsoft, FIDO có khả năng phòng chống hơn 90% tấn công lừa đảo nhắm vào thông tin đăng nhập của người dùng.
FIDO cũng đảm bảo sự đơn giản, thuận tiện và linh hoạt trong trải nghiệm khách hàng. FIDO giúp người dùng không cần nhớ, quản lý nhiều mật khẩu hay thực hiện nhiều bước để xác thực. Đồng thời, FIDO đa dạng hóa các lựa chọn xác thực. Người dùng có thể linh động lựa chọn sử dụng vân tay, mã PIN hay khóa vật lý.
Bước tiến mới trong việc phát triển FIDO ở Việt Nam
Việc phát triển FIDO ở Việt Nam đã có thêm một bước tiến mới, khi mà NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Trong đó, quy định sử dụng FIDO như một phương pháp xác thực tối thiểu cho các giao dịch loại D cho các cá nhân và tổ chức .
Theo các chuyên gia, quyết định này của Ngân hàng Nhà nước như một đòn bẩy đẩy nhanh quá trình FIDO hóa Mobile Banking cho các ngân hàng tại Việt Nam, đặt ra nhu cầu trọng yếu trong việc tìm kiếm các đơn vị cung cấp giải pháp FIDO uy tín.
Với đặc thù đòi hỏi năng lực công nghệ rất cao cùng sự đầu tư nghiêm túc vào nghiên cứu phát triển và nguồn nhân lực, tại Việt Nam và trên thế giới, không nhiều đơn vị dám dấn thân vào lĩnh vực cung cấp các giải pháp FIDO.
VinCSS, một start-up Việt, đã hai lần liên tiếp được Frost & Sullivan công nhận là đơn vị tiên phong trong việc cung cấp các giải pháp FIDO trong nước và khắp khu vực Châu Á - Thái Bình Dương. Là đơn vị đầu tiên tại Việt Nam được FIDO Alliance cấp chứng nhận chuẩn FIDO2 cho các sản phẩm, dịch vụ và nhân sự của mình, VinCSS cung cấp những giải pháp công nghệ bảo mật ưu việt, tối ưu chi phí đầu tư và dễ dàng tương thích với hạ tầng công nghệ của khách hàng.
Trong bối cảnh Việt Nam đang quyết tâm thực hiện mục tiêu chuyển đổi số ngành ngân hàng, nghiên cứu và tích hợp FIDO cho Mobile Banking nói riêng và các ngân hàng nói chung trở nên quan trọng và cấp thiết hơn bao giờ hết./.