Thực trạng sử dụng mật khẩu tại Việt Nam cũng giống các công nghệ mới trong xác thực được những chỉ đạo và chuyên gia ngành an toàn tin tức trao đổi tại tọa đàm Xác thực không mật khẩu “Make in Vietnam”, do Cục An toàn thông tin – Bộ Thông tin và Truyền thông, VinCSS và IEC tổ chức chiều 13/7.
Vấn đề của mật khẩu
Về thực trạng sử dụng mật khẩu tại Việt Nam, ông Nguyễn Thành Phúc, Cục trưởng An toàn tin tức dẫn hoạch toán của NordPass rằng trong năm 2021, 42,1 triệu mật khẩu của người dùng Việt đã bị lộ. Đáng chú ý, thông dụng nhất trong những này là “123456”, với hơn 3,4 triệu lượt sử dụng.
Người đảm nhận ngành an toàn tin tức đánh giá đây là thực trạng đáng lo ngại, trong bối cảnh mọi hoạt động của con người đều có thể xảy ra trực tuyến. Một thống kê của Verizon năm 2021 cho thấy, 80% những vụ vi phạm dữ liệu có liên quan đến lộ mật khẩu hoặc sử dụng mật khẩu yếu.
Trong khi đó, Việt Nam là một trong số quốc gia mục tiêu mà giới tội phạm mạng nhắm đến. Trong 6 tháng đầu năm, Cục An toàn tin tức đã giải quyết 506 website lừa đảo giả mạo tổ chức tài chính ngân hàng và hỗ trợ ngăn ngừa 1,5 triệu lượt người dùng Internet truy cập vào các trang lừa đảo, vi phi pháp luật.
“Khi mọi công việc có thể diễn ra trực tuyến, nguy cơ tin tức đăng nhập bị đánh cắp luôn hiện diện thông qua lỗ hổng hệ thống, thói quen sử dụng mật khẩu và lừa đảo trực tuyến. Mật khẩu hiện nay giống như chìa khóa để truy cập nhiều tin tức có mức giá trị”, ông Phúc nói.
Ông Nguyễn Thành Phúc, Cục trưởng An toàn thông tin, phát biểu tại tọa đàm Xác thực không mật khẩu ngày 13/7.
Ông cũng đánh giá với sự phát triển về năng lực tính toán của máy tính hiện nay, các thuật toán sử dụng để bảo vệ mật khẩu có thể bị bẻ gãy nhanh chóng. Bên cạnh đó, phương thức xác thực này dần thể hiện hạn chế khi người sử dụng phải ghi nhớ mật khẩu phức tạp, nhiều mật khẩu cho nhiều phần mềm khác nhau.
Mật khẩu còn gây áp lực về chi phí. Hiện tại, nhiều tổ chức, doanh nghiệp phải chi một khoản tiền lớn cho chuyện quản lý mật khẩu OTP. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tốn kém gần một triệu USD từng năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể kinh phí thời gian.
Thực trạng này đề ra đòi hỏi về việc cần thay đổi phương thức xác thực, trong đó, xác thực mạnh, xác thực không mật khẩu là một trong những biện pháp cần được phát triển ở Việt Nam.
Xu hướng xác thực không mật khẩu
“Phương thức xác thực bằng tên đăng nhập và mật khẩu hiện dần được thay thế bằng các công nghệ xác thực mạnh. Công nghệ này đang trở thành xu thế và dần trở thành một trong các nền tảng, tiêu chuẩn quan trọng để doanh nghiệp phát triển, cung cấp các hệ thống công nghệ thông tin hiểm yếu và cửa hàng số”, ông Nguyễn Huy Dũng, Thứ trưởng Thông tin và Truyền thông, nói.
“Xác thực mạnh” được hiểu là xác thực không được dùng mật khẩu. Giải thích về phương thức này, ông Andrew Shikiar, Giám đốc điều hành và marketing của Liên minh xác thực trực tuyến thế giới (FIDO Alliance), cho biết việc xác thực sẽ chuyển từ “thông tin do người sử dụng nắm giữ” (như mật khẩu, SMS OTP…) sang “thông tin chỉ người dùng sở hữu”, tỉ dụ các yếu tố sinh trắc học như vân tay.
Ông Andrew Shikiar, Giám đốc Liên minh xác thực trực tuyến thế giới, chia sẻ về biện pháp tại sự kiện.
Khi cần truy cập vào một máy chủ, người dùng sử dụng vân tay, có công năng kích hoạt một khóa bí mật trên thiết bị cục bộ của mình. Khóa bí mật này tương tác với khóa công khai trên FIDO. Hệ thống xác thực FIDO sẽ là trung gian cho công đoạn đăng nhập của người dùng. Cách làm này giúp người dùng giảm thao tác, không cần đến mã OTP vốn có thể bị khai thác, đồng thời ngăn việc người dùng gõ nhầm mật khẩu vào các trang web mạo danh.
Đây cũng chính là khuynh hướng phát triển chung trên thế giới. Trong tuyên bố chung ngày 5/5, Apple, Google, Microsoft cam đoan bổ trợ giải pháp đăng nhập thiết bị điện tử không được dùng mật khẩu thiết lập bởi Liên minh xác thực trực tuyến thế giới và Tổ chức tiêu chí quốc tế chính cho World Wide Web.
Ông Đỗ Ngọc Duy Trác, Tổng giám đốc VinCSS, đánh giá công nghệ không mật khẩu (passwordless) đã trở thành xu hướng chủ đạo, tất yếu và không thể đảo ngược. Công ty hiện xây dựng hệ sinh thái xác thực mạnh theo chỉ tiêu FIDO2 trước mắt tại Đông Nam Á sau 2 năm phát triển.
“Việt Nam cần hành động kịp lúc để không trở thành vùng trũng về xác thực yếu, thành mục đích tấn công của tội phạm mạng”, ông Trác nhận định.
Thứ trưởng Nguyễn Huy Dũng đánh giá biện pháp xác thực người sử dụng “là vấn đề hẹp nhưng có ý nghĩa lớn” vì xác thực là bước đầu tiên người sử dụng tương tác, sử dụng sản phẩm, cửa hàng số. Xác thực mạnh giảm tỷ lệ tấn công lừa đảo, đánh cắp danh tính, tăng hiệu quả trải nghiệm người dùng, để dành chi phí vận hành, tăng tỷ suất chuyển đổi số thành công.
“Điều này cho thấy doanh nghiệp Việt Nam có đủ năng lực nghiên cứu, phát triển và sáng tạo các sản phẩm, công ty đáp ứng các tiêu chuẩn bảo mật quốc tế”, ông Dũng cho biết.
Lưu Quý
Mật khẩu, Xác thực không mật khẩu, VinCSS, Hacker, Bảo mật, Tin
Nội dung Mật khẩu dần lỗi thời tại Việt Nam – Tin Công Nghệ Số hóa được tổng hợp sưu tầm biên tập bởi: Sửa máy tính ITS. Mọi ý kiến vui lòng gửi Liên Hệ cho suamaytinhits.com để điều chỉnh. suamaytinhits.com tks.
