Tiên phong xây dựng hệ sinh thái xác thực mạnh không mật khẩu "Make in Viet Nam"

Ra đời để giải quyết các rủi ro về bảo mật khi sử dụng mật khẩu truyền thống 

Cuối tháng 12/2021, sau quá trình nghiên cứu thử nghiệm, Công ty TNHH Dịch vụ An ninh mạng VinCSS (thuộc Tập đoàn Vingroup) đã cho ra đời dòng sản phẩm VinCSS FIDO2® Fingerprint thế hệ tiếp theo. Đây là dòng khóa xác thực mạnh sử dụng sinh trắc học vân tay, giúp người dùng đăng nhập vào các nền tảng/ứng dụng mà không cần nhập mật khẩu (Passwordless). 

VinCSS FIDO2® Fingerprint được hứa hẹn sẽ tạo nên cơn sốt trong thị trường ngay từ thời điểm ra mắt bởi vừa giải quyết được các vấn đề an ninh bảo mật đối với mật khẩu, vừa nâng cao trải nghiệm người dùng. Khóa được nghiên cứu phát triển, thiết kế bo mạch và phát triển phần mềm hoàn toàn tại Trung tâm Nghiên cứu và Phát triển của VinCSS. Phần thiết kế kiểu dáng công nghiệp, sản xuất hàng loạt và hoàn thiện do Công ty VinSmart thuộc tập đoàn Vingroup thực hiện. 

Bắt đầu xuất hiện trên thế giới từ năm 2018, công nghệ xác thực mạnh không mật khẩu theo chuẩn FIDO2 được ví như “kẻ thay đổi cuộc chơi”. Tuy nhiên, tại Việt Nam, công nghệ này vẫn đang trong giai đoạn sơ khai, năm 2019, Công ty TNHH Dịch vụ An ninh mạng VinCSS đã tiên phong nghiên cứu và xây dựng hệ sinh thái xác thực mạnh không mật khẩu “Make in Viet Nam” theo chuẩn quốc tế FIDO2 đầu tiên tại Việt Nam. Để rồi, từ năm 2020, công ty đã lần lượt công bố Hệ sinh thái VinCSS FIDO2 gồm các chủng loại khóa khác nhau (hardkey/softkey), giải pháp xác thực FIDO2 trong nội bộ doanh nghiệp (DN) (On-premise) và giải pháp xác thực tập trung sử dụng nền tảng đám mây cho DN. 

Trong sứ mệnh phổ biến FIDO2 nói riêng và Passwordless nói chung, cũng như củng cố thêm cho hệ sinh thái VinCSS FIDO2, VinCSS còn phát triển các thư viện lập trình và tiện ích giúp DN dễ dàng tiếp cận và tích hợp công nghệ FIDO2. VinCSS cũng cung cấp các dịch vụ tư vấn, hỗ trợ, và các sản phẩm tích hợp công nghệ FIDO2 (điện thoại, xe thông minh, thiết bị IoT). VinCSS FIDO2 cũng đã được cấp 4 chứng chỉ FIDO2 quốc tế, có sản phẩm được Microsoft khuyến nghị sử dụng trên nền tảng Azure AD và VinCSS được chọn là đối tác Định danh năm 2020 của Microsoft. 

Về lý do tại sao lại quyết định chọn phát triển các thiết bị, khóa bảo mật không cần mật khẩu ở Việt Nam, ông Nguyễn Phi Kha, Giám đốc Nghiên cứu và Phát triển Công ty VinCSS cho biết, đội ngũ phát triển đa số đều làm việc lâu năm ở mảng bảo mật nên nhận thấy rất nhiều rủi ro cũng như bất tiện, tốn kém chi phí hỗ trợ cho việc đăng nhập sử dụng mật khẩu. Chưa kể, đội ngũ VinCSS đều rất đau đầu khi thường xuyên phải nghĩ ra một mật khẩu dễ nhớ mà vẫn đủ mạnh để thay đổi thường xuyên theo định kì. “Do đó, việc tìm ra một giải pháp để giảm thiểu các vấn đề này cũng như tăng trải nghiệm người dùng là vấn đề mà đội ngũ VinCSS quan tâm từ lâu”, ông Kha chia sẻ.

Bên cạnh đó, do vào thời điểm năm 2019, công nghệ FIDO2 cũng vừa mới ra đời không lâu. Nhận thấy nhiều công ty lớn về công nghệ đang tham gia xây dựng và hoàn thiện FIDO2, cũng như qua quá trình tìm hiểu, VinCSS thấy rằng công nghệ này hoàn toàn có thể thay thế được các phương thức đăng nhập cũ một cách hoàn hảo để giải quyết các rủi ro về bảo mật khi sử dụng mật khẩu. Do đó VinCSS đã quyết định lựa chọn xây dựng một hệ sinh thái hoàn chỉnh cho công nghệ này từ phần cứng cho đến hệ thống máy chủ và các công cụ hỗ trợ để có thể chuyển đổi nhanh chóng từ phương thức đăng nhập cũ qua hỗ trợ không mật khẩu bằng FIDO2. 

Trong quá trình xây dựng hệ sinh thái, thuận lợi lớn nhất của VinCSS là đã may mắn tập hợp được đội ngũ nhiều kinh nghiệm trong mảng nghiên cứu bảo mật có cùng nhận thức và mong muốn phát triển một giải pháp như vậy. Tuy nhiên, đội ngũ phát triển đã phải học và đọc rất nhiều các tài liệu đặc tả kỹ thuật để phát triển một giải pháp hoàn toàn mới mà chưa ai đã từng có kinh nghiệm làm trước đây. 

“Việc xây dựng một giải pháp được đánh giá là tương lai của phương thức đăng nhập khi công nghệ còn rất mới và chưa có công ty nào trong khu vực quan tâm cũng là một cơ hội lớn VinCSS để đánh cược”, ông Kha nói.

Nhiều rào cản trong việc phổ cập khóa bảo mậthiện nay 

Lý giải về quyết định đánh cược này, theo ông Kha, việc sử dụng mật khẩu đã trở nên lỗi thời bởi nhiều bất cập, đó là việc sử dụng rắc rối, khi mà để đảm bảo an toàn thì người dùng phải đặt mật khẩu dài với những ký tự phức tạp, mỗi tài khoản một mật khẩu khác nhau khiến việc ghi nhớ, quản lý và lưu trữ mật khẩu rất khó khăn, bất tiện.

Các nghiên cứu từ Verizon và Microsoft cho thấy mật khẩu là nguyên nhân của hơn 80% các vụ xâm phạm dữ liệu. Không những thế, việc quản lý mật khẩu được cho là quá tốn kém, LastPass, công ty phát triển giải pháp quản lý mật khẩu hàng đầu thế giới công bố kết quả nghiên cứu của mình như sau: các DN lớn phải bỏ ra trung bình 1 triệu USD hàng năm chỉ cho việc thiết lập lại và quản lý mật khẩu. Bên cạnh đó, các báo cáo của Microsoft chỉ ra rằng việc phải tạo và ghi nhớ nhiều mật khẩu rắc rối khiến người dùng không còn hứng thú sử dụng các phần mềm, tiện ích mà DN cung cấp. 

Trên thế giới hiện nay, Microsoft đã hỗ trợ xác thực không mật khẩu bằng khóa FIDO2 cho hầu hết mọi dịch vụ của mình, còn Apple cũng đã giới thiệu các tính năng xác thực không mật khẩu trên iOS 15 và macOS Monterey… Do đó VinCSS tin rằng các công ty còn lại cũng sẽ dần hỗ trợ xác thực không mật khẩu trong tương lai gần. 

Khi sử dụng các giải pháp này, điểm thuận lợi là người dùng không còn phải nhớ mật khẩu cho các tài khoản của mình. Việc đăng nhập sẽ trở nên dễ dàng hơn với người sử dụng do chỉ cần các thao tác vật lý đơn giản với khóa bảo mật của mình. 

Nói về rào cản đối với quá trình phổ cập khóa bảo mật hiện nay, theo ông Kha, đó là việc chưa có nhiều DN cũng như người dùng biết và hiểu về các điểm mạnh công nghệ FIDO2 do còn quá mới.

Một nguyên nhân khác đến từ việc chưa có nhiều dịch vụ hỗ trợ, chủ yếu là các ứng dụng đến từ nước ngoài. Do đó, việc đầu tư cho một khóa bảo mật ít được sử dụng sẽ không là lựa chọn tối ưu về mặt tối ưu chi phí. Chính vì thị trường có rất ít nhu cầu, nên các đơn vị kinh doanh bán lẻ sẽ không mặn mà lắm trong việc kinh doanh các sản phẩm này. 

Đổi lại, khi đi kèm thêm một khóa bảo mật vật lý có thể dẫn đến nhiều điểm bất tiện, chi phí cho các khóa bảo mật hiện tại còn khá cao với số đông người dùng. Còn việc tích hợp khóa bảo mật trên smartphone sẽ kém hơn phần cứng đi rời nhưng đổi lại chi phí lại rẻ hơn rất nhiều. Vì vậy, nếu xét trên một mức độ nào đó thì việc đánh đổi này vẫn có thể chấp nhận được vì VinCSS tin rằng khả năng hoàn thiện về bảo mật của các hãng sẽ càng ngày càng tốt hơn. Đổi lại, nếu người dùng sử dụng các smartphone chính hãng không bị can thiệp cài đặt những bản rom tuỳ biến hoặc jailbreak/root thiết bị thì phần rủi ro về bảo mật là tương đối thấp.

Nhưng mức độ bảo mật sẽ phụ thuộc hoàn toàn vào chính điện thoại đang sử dụng cũng như các hạn chế về mức độ hỗ trợ khác nhau của từng hãng. Ví dụ iPhone hay Android trước mắt chỉ có thể sử dụng làm khóa FIDO2 cho chính các dịch vụ của hãng. 

Một đơn vị thứ 3 như VinCSS làm khóa bằng phần mềm sẽ gặp rất nhiều hạn chế về kỹ thuật. Điều này dẫn đến việc rất khó để có thể làm ra một giải pháp khóa mềm hỗ trợ đầy đủ các phương thức giao tiếp cho nhiều dịch vụ của bên thứ 3 khác. Hiện nay điện thoại Aris của VSmart có thể là chiếc điện thoại duy nhất hỗ trợ đầy đủ các phương thức giao tiếp để làm một khóa FIDO2 hoạt động như một khóa vật lý khác và có thể sử dụng cho tất cả các dịch vụ có hỗ trợ FIDO2.

Khắc phục những khó khăn này cũng như để việc sử dụng không mật khẩu phổ biến hơn ở trong nước, VinCSS cần educate (đào tạo – PV) cả khách hàng cá nhân và DN. Cụ thể, đối với người dùng thì trước mắt cần nâng cao nhận thức người dùng về việc quan tâm hơn đến vấn đề bảo mật cho các dịch vụ cá nhân của mình. Đối với DN thì các khối công nghệ cần tiếp cận và đánh giá các điểm lợi/hại của giải pháp đăng nhập không mật khẩu để có các kế hoạch chuyển đổi sớm nhằm bảo vệ cho người dùng hoặc nhân viên của mình trước các yếu điểm của việc sử dụng mật khẩu. 

Song song với đó, VinCSS vẫn sẽ liên tục nâng cấp toàn bộ hệ sinh thái để có thể ứng dụng rộng rãi và dễ dàng hơn với các mô hình DN khác nhau.

Còn về vấn đề tài chính, đại diện VinCSS tin rằng, nếu một ngày tất cả các dịch vụ đều hỗ trợ đăng nhập không mật khẩu, thì việc người dùng đầu tư một thiết bị và có thể sử dụng cho hầu hết các tài khoản khác nhau của mình thì yếu tố về chi phí có lẽ sẽ không còn nặng nề vì người dùng có thể nhận thấy việc đầu tư cho thiết bị xứng đáng hơn. “Mặc dù không hi vọng mỗi người sẽ có trên tay một chiếc khóa bảo mật nhưng tôi tin rằng các DN sẽ sớm để ý tới ưu điểm của nó và trang bị cho nhân viên của mình để hạn chế các rủi ro về bảo mật cho DN”, ông Kha chia sẻ thêm.

Không cạnh tranh với các hãng lớn của nước ngoài mà tập trung phát triển hệ sinh thái

Cũng theo ông Kha, ngay từ đầu, VinCSS đã hoạch định rất rõ ràng về chiến lược phát triển giải pháp FIDO2 này. Vì vậy, đội ngũ phát triển không quá đặt nặng cho việc phải cạnh tranh với các sản phẩm khác trên thị trường. Bởi vì, do tiêu chuẩn và đặc điểm của các khóa bảo mật FIDO2 nên về tính năng sẽ không có quá nhiều sự khác biệt, mà chỉ khác nhau mức độ hoàn thiện phần cứng, độ bền, thiết kế và giá cả. Chưa kể, với một công ty còn non trẻ thì cạnh tranh về các sản phẩm phần cứng với các công ty lâu đời trong lĩnh vực này sẽ không đem lại lợi thế gì về lâu dài. 

“Do đó, chúng tôi tập trung xây dựng một giải pháp đầy đủ xoay quanh công nghệ FIDO2 bao gồm cả phần cứng và phần mềm để tạo ra được một hệ sinh thái đầy đủ và dễ dàng nhất. Qua đó, các DN muốn chuyển đổi từ phương thức đăng nhập cũ qua phương thức không mật khẩu bằng FIDO2 với chi phí hợp lý nhất có thể”, ông Kha bày tỏ.

Khi được hỏi với việc tiên phong ở một thị trường còn quá sơ khai, liệu VinCSS đang đi sớm quá hay không, khi không ít sản phẩm “đi trước thời đại” đã thất bại, về vấn đề này, ông Kha cho rằng, đội ngũ phát triển nghĩ mình đang ở thời điểm phù hợp, không quá trễ cũng như không quá sớm. Bởi vì, ở giai đoạn VinCSS hoàn thiện toàn hệ sinh thái thì các tập đoàn lớn trên thế giới như Microsoft, Apple cũng đã và đang triển khai ứng dụng xác thực không mật khẩu cho các sản phẩm của mình. VinCSS tin rằng trong thời gian tới, việc đăng nhập không mật khẩu sẽ ngày càng phổ biến hơn. Qua đó, người dùng và DN sẽ có cơ hội nhìn thấy những lợi ích rõ ràng hơn với giải pháp này. 

Để đẩy nhanh và tạo điều kiện để phát triển phương thức bảo mật mới này, ông Kha cho rằng, các tổ chức hoặc hiệp hội về chuyên môn của ngành IT hoặc bảo mật cần có các nghiên cứu đánh giá về lợi ích của giải pháp và đưa ra các khuyến nghị phù hợp cho các DN thông qua các hội thảo chuyên môn thường niên. 

Còn đối với việc phát triển các sản phẩm “Make in Viet Nam” về phần cứng như khóa bảo mật của VinCSS, ông Kha cho rằng, do hầu hết phải nhập hầu hết các linh kiện từ nước ngoài về nên sẽ rất khó để tạo ra được các sản phẩm nội địa với giá thật rẻ. “Chúng tôi chỉ mong muốn các đơn vị quản lý có thể đơn giản hóa và số hóa nhiều hơn cho việc cung cấp các giấy phép hoặc chứng nhận cho các sản phẩm trong nước để đáp ứng đủ điều kiện kinh doanh”, ông Kha kết luận/.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 6 tháng 6/2022)