Sáng nay 8/7, tôi vừa ra ngân hàng TMCP Ngoại thương Việt Nam (VCB) ở TP. HCM để thực hiện việc cung cấp dữ liệu sinh trắc học cho ngân hàng.

Ở điểm giao dịch, khá đông người đến làm sinh trắc học. Điện thoại của tôi không có NFC và cũng chắc nhiều người không có nếu dùng điện thoại cũ.

Ở ngân hàng, một máy tính bảng có cắm NFC reader được sử dụng để đọc căn cước công dân (CCCD). Sau đó chụp hình, ký vào 2 biên bản cung cấp dữ liệu cho ngân hàng (tuân thủ Nghị định số 13/NĐ-CP ngày 17/4/2023 về bảo về dữ liệu cá nhân). Chừng 3 phút thì hoàn tất. Tôi đã thử chuyển tiền trên 10 triệu thành công với 2 kiểu xác thực khuôn mặt + OTP.

Sinh trắc học: Bước tăng cường tính năng bảo mật cần thiết cho tài khoản ngân hàng

Để bảo mật, phương pháp xác thực đa yếu tố (MFA - Multi-Factor Authentication) đã được sử dụng. Đây là một phương thức bảo mật yêu cầu người dùng phải cung cấp hai (two-factor authentication) hoặc nhiều yếu tố xác thực khác nhau để xác minh danh tính của họ trước khi được phép truy cập vào một hệ thống, dịch vụ hoặc ứng dụng. MFA thường bao gồm:

Yếu tố kiến thức (Knowledge factor): mật khẩu hoặc mã PIN.

Yếu tố sở hữu (Possession factor): điện thoại di động để nhận mã OTP (One-Time Password), hoặc một thiết bị token mà người dùng sở hữu.

Yếu tố nhân dạng (Inherence factor): dấu vân tay, khuôn mặt, hoặc giọng nói (biometric) của người dùng.

Khi thêm yếu tố biometric vào MFA, tính bảo mật của giải pháp được tăng cường bởi vì:

Khó giả mạo: Các đặc điểm sinh trắc học (dấu vân tay, khuôn mặt, giọng nói, v.v.) rất khó bị giả mạo hoặc sao chép so với mật khẩu hoặc mã OTP.

Duy nhất cho mỗi cá nhân: Biometric là duy nhất cho từng người, điều này làm tăng độ tin cậy trong việc xác thực danh tính.

Tiện lợi: Người dùng không cần phải nhớ mật khẩu hoặc mang theo thiết bị xác thực, chỉ cần sử dụng các đặc điểm tự nhiên của họ.

Khả năng kết hợp cao: Biometric có thể dễ dàng được kết hợp với các yếu tố khác (kiến thức và sở hữu), tạo nên một hệ thống xác thực ba yếu tố cực kỳ an toàn.

Vì vậy, một hệ thống MFA có thể yêu cầu người dùng nhập mật khẩu (yếu tố kiến thức), sau đó nhập mã OTP nhận được qua điện thoại (yếu tố sở hữu), và cuối cùng là quét dấu vân tay hoặc khuôn mặt (yếu tố nhân dạng). Với sự kết hợp này, kể cả khi một trong các yếu tố bị lộ, kẻ tấn công vẫn khó có thể vượt qua tất cả các lớp bảo mật để truy cập vào hệ thống.

Như vậy, sinh trắc học là một bước tăng cường tính năng bảo mật cho tài khoản ngân hàng và là một điều cần thiết trong tình trạng lừa đảo, tấn công mạng ngày càng cao hiện nay. Nó không chỉ nâng cao an toàn cho mỗi giao dịch mà còn là đòn bẩy giúp các tổ chức tín dụng ứng dụng công nghệ AI tiên tiến, từ đó giảm thiểu rủi ro và nâng cao hiệu quả hoạt động tổng thể.

Những thách thức trong việc triển khai Quyết định số 2345/QĐ-NHNN

Ngày 18/12/2023, Ngân hàng Nhà nước (NHNN) đã ban hành Quyết định số 2345/QĐ-NHΝΝ về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Theo đó, từ ngày 1/7/2024, người dùng tài khoản ngân hàng trực tuyến yêu cầu xác thực sinh trắc học cho giao dịch trực tuyến và thanh toán thẻ.

Các ngân hàng có 6 tháng chuẩn bị nhưng chỉ có một số ít ngân hàng chuẩn bị nghiêm túc quyết định này. Cho đến gần 1 tháng trước khi quyết định có hiệu lực 1/7/2024, mới nhắn tin cấp tập yêu cầu khách hàng đăng ký sinh trắc học. Và thế là quá tải, dồn ứ và không đủ thời gian để kiểm tra (test) hệ thống triển khai, gây ra nhiều bức xúc cho khách hàng.

Triển khai hiệu quả đòi hỏi sự phối hợp chặt chẽ giữa các cơ quan. NHNN đã hợp tác với Bộ Công an để kết nối cơ sở dữ liệu dân cư quốc gia và với Bộ Thông tin và Truyền thông (TT&TT) để làm sạch, xác thực thông tin tài khoản ngân hàng. Việc thu thập dữ liệu sinh trắc học tạo áp lực và tăng chi phí cho các ngân hàng. Để đảm bảo tiến độ, các ngân hàng chủ động triển khai trước thời hạn 1/7/2024.

Trên thị trường đã có nhiều ngân hàng đã áp dụng xác thực sinh trắc học từ khá sớm. Có thể kể đến một điển hình là ngân hàng MB đã bắt đầu triển khai việc xác thực sinh trắc học từ rất sớm, và từng bước triển khai tới khách hàng ngay từ cuối năm 2023 - khi Quyết định số 2345/QĐ-NHNN ra đời.

Theo số liệu ngân hàng này công bố thì tính đến đầu tháng 6 đầu năm 2024, có khoảng 95% giao dịch chuyển tiền có sử dụng dữ liệu khuôn mặt được thu thập và lưu giữ tại MB đã thực hiện thành công. Số ít khách hàng chưa thực hiện thành công được mời đến các điểm giao dịch để được hỗ trợ trực tiếp. Rõ ràng, sự chuẩn bị kỹ càng sẽ giúp giảm áp lực cho ngân hàng, sớm tăng cường an ninh và còn tạo ra sự tiện lợi cho khách hàng.

Cũng trao đổi thêm, mặc dù công nghệ xác thực sinh trắc học không phải hoàn toàn miễn nhiễm với deepfake, nhưng nó vẫn là một lớp bảo mật quan trọng. Deepfake có thể tạo ra các video hoặc hình ảnh giả mạo, nhưng xác thực sinh trắc học vẫn khó bị làm giả hơn so với mật khẩu hoặc OTP. Đây là một phần của hệ thống MFA, tạo ra một lớp phòng thủ vững chắc.

Lại quay lại ví dụ về MB. Công nghệ của ngân hàng này cho phép có thể ngăn chặn lừa đảo, kể cả khi sử dụng công nghệ deepfake nhờ phát hiện các khuôn mặt không đúng với khuôn mặt người đăng ký, từ chối nhận diện các trường hợp đeo khẩu trang, che mặt, đeo kính râm, hay các hành động cố tình không để lộ rõ khuôn mặt khi xác thực giao dịch.

Người dùng cần đặt an toàn lên trên hết

Theo một số dự báo, khoảng 90% giao dịch chuyển tiền liên ngân hàng dưới 10 triệu đồng, nên việc áp dụng xác thực sinh trắc học từ mức này chỉ ảnh hưởng 10% khách hàng. Các ngân hàng đang tích cực hướng dẫn và hỗ trợ khách hàng thực hiện xác thực.

Mặc dù có thách thức với một số nhóm khách hàng, biện pháp này là cần thiết để đảm bảo an toàn giao dịch trực tuyến. Ngân hàng cần tăng cường giáo dục về an toàn thông tin. Khách hàng nên cẩn trọng, chỉ cập nhật thông tin qua kênh chính thống của ngân hàng.

Tất nhiên, sẽ có một chút phiền hà ở khâu đăng ký nhưng bảo mật luôn là sự đánh đổi (trade-off) giữa tính bảo mật (confidentiality, integrity) và tính khả dụng (availability) cũng như tính tiện dụng (utility). Người dùng cần sẵn sàng hy sinh một chút tiện dụng, khó khăn một chút trong vấn đề xác thực để an toàn trong giao dịch./.

Đào Trung Thành, Chuyên gia tư vấn CĐS, viễn thông, CNTT