Tuy nhiên, mật khẩu chưa phải là công cụ bảo vệ tối ưu, các vụ tấn công mạng có xu hướng ngày càng tăng, do đó, tại Việt Nam hiện nay một công nghệ xác thực mới đang được xây dựng để hạn chế nguy cơ người dùng bị tấn công mạng.

81% CÁC VỤ TẤN CÔNG MẠNG DO MẬT KHẨU YẾU

Hiện nay, Việt Nam đang phải đối mặt với nhiều thách thức về an toàn thông tin (ATTT), đặc biệt các cuộc tấn công mạng và rò rỉ dữ liệu có diễn biến ngày càng phức tạp. Theo số liệu của Cục ATTT (Bộ Thông tin và Truyền thông), năm 2021, Việt Nam có hơn 800 trang web lừa đảo, giả mạo ngân hàng, nhằm lấy cắp thông tin đăng nhập của người dùng qua email, tin nhắn sms hoặc mạng xã hội. Trong 6 tháng đầu năm 2022, Cục ATTT đã xử lý 506 trang web lừa đảo, giả mạo các tổ chức ngân hàng; xử lý, ngăn ngừa 1,5 triệu lượt người dùng internet đăng nhập vào các trang lừa đảo, vi phạm pháp luật...

Mặc dù tính chất của cuộc tấn công diễn ra ngày càng nghiêm trọng nhưng thực trạng bảo mật tài khoản cá nhân của người dùng còn nhiều hạn chế. Theo thống kê của ứng dụng quản lý tài khoản và mật khẩu NordPass, mật khẩu người Việt Nam sử dụng nhiều nhất trong năm 2021 với khoảng 3,4 triệu lượt sử dụng là 123456; đứng thứ hai là 123456789 với gần 1 triệu lượt dùng... Cục trưởng Cục ATTT Nguyễn Thành Phúc cho biết, ý thức về ATTT khi đặt mật khẩu của người dùng chưa cao. Vì sử dụng nhiều dịch vụ trên môi trường internet nên đa số người dùng chung một mật khẩu cho tất cả các tài khoản, tránh việc phải ghi nhớ nhiều mật khẩu, hay sử dụng mật khẩu đơn giản, dễ đoán... khiến tin tặc dễ dàng bẻ khóa và đánh cấp dữ liệu. Đây là thực trạng chung của công dân toàn cầu khi sử dụng ứng dụng, dịch vụ số. 81% các vụ bị tấn công mạng, đánh cắp dữ liệu hiện nay xảy ra do mật khẩu yếu, bị đánh cắp mật khẩu hoặc sử dụng sai. 

Gần đây, để tăng khả năng bảo mật, một số nền tảng như Google, Facebook... đã yêu cầu người dùng xác thực hai bước (gồm đăng nhập mật khẩu và xác thực qua ứng dụng thứ hai hoặc đăng nhập bằng mã OTP). Tuy nhiên, phương pháp này chưa thật sự an toàn và có thể bị phá hủy bởi các cuộc tấn công Phishing (tấn công giả mạo). Để thực hiện, tin tặc sẽ giả mạo một đơn vị đáng tin cậy để gửi đường dẫn liên kết (link) đến đối tượng muốn tấn công thông qua email, tin nhắn sms... Người nhận khi kích hoạt link sẽ được yêu cầu đăng nhập. Theo ông Andrew Shikiar, Giám đốc Liên minh Xác thực trực tuyến thế giới (FIDO Alliance), nếu đăng nhập, ngay lập tức tin tặc sẽ có được dữ liệu cá nhân của người thực hiện thao tác này. Tấn công Phishing không những rẻ tiền mà còn mang lại hiệu quả cao, với tỷ lệ 40% thành công cho một cuộc tấn công được thiết kế tốt và hầu hết đều vượt qua hàng rào xác thực hai bước.

CÔNG NGHỆ XÁC THỰC KHÔNG DÙNG MẬT KHẨU

Trước thực trạng trên, giới chuyên gia cho rằng, mật khẩu đang lỗi thời và công nghệ xác thực mạnh không mật khẩu đang trở thành xu thế, giúp tiết kiệm chi phí, tăng tính bảo mật, tăng trải nghiệm khách hàng và tăng tốc độ chuyển đổi số. Ông Andrew Shikiar cho biết: “Phương thức xác thực không mật khẩu giúp người dùng có thể xác thực bằng yếu tố sinh trắc học như vân tay, khuôn mặt... Các thông tin này được lưu trữ trong một thiết bị để xác thực cục bộ và có các phương thức xử lý giao thức mật mã cho phép người dùng truy cập tài nguyên, ngăn chặn tin tặc tấn công ở khâu trung gian”. Phương thức xác thực này sẽ được áp dụng với tất cả nền tảng thiết bị phổ biến nhất hiện nay như: Hệ điều hành di động Android và iOS; trình duyệt web như Chrome, Edge và Safari; hệ điều hành máy tính để bàn Windows và macOS.  

Tại Việt Nam, vừa qua, hệ sinh thái xác thực không mật khẩu “Make in Việt Nam” VinCSS FIDO2 Ecosystem do Công ty TNHH Dịch vụ An ninh mạng VinCSS (Tập đoàn Vingroup) sáng lập đã được ra mắt. VinCSS FIDO2 Ecosystem gồm 7 nhóm giải pháp, trong đó có 4 giải pháp đã được chứng nhận FIDO2 (chứng nhận phương thức xác thực cho người dùng an toàn nhất hiện nay) do FIDO Alliance cấp. 

Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Huy Dũng nhận xét, sự ra đời của  hệ sinh thái xác thực không mật khẩu VinCSS FIDO2 Ecosystem là một dấu hiệu tích cực, khẳng định doanh nghiệp Việt Nam có đủ năng lực nghiên cứu, phát triển và sáng tạo các sản phẩm, dịch vụ đáp ứng tiêu chuẩn bảo mật quốc tế.

Đánh giá về tiềm năng phát triển của công nghệ xác thực không mật khẩu trong tương lai, ông Nguyễn Thành Phúc cho biết, Việt Nam đang ở giai đoạn sơ khởi, nhiều cá nhân, tổ chức chưa được tiếp cận công nghệ xác thực không mật khẩu. Chính vì vậy, Cục ATTT đang thúc đẩy doanh nghiệp nghiên cứu giải pháp bảo vệ dữ liệu cá nhân và người dùng, tạo giải pháp xác thực mạnh, bảo vệ dữ liệu cá nhân, tổ chức. “Giải pháp xác thực không mật khẩu cùng với các giải pháp giám sát an ninh mạng, ngăn chặn mã độc, tường lửa, chống DDoS... sẽ góp phần hoàn thiện hệ sinh thái ATTT trong nước, hướng tới mục tiêu không gian mạng Việt Nam an toàn, lành mạnh”, ông Nguyễn Thành Phúc khẳng định.

Trên thực tế, việc triển khai xác thực không mật khẩu đến doanh nghiệp và người dân cũng có không ít thách thức. Kinh phí và sự phức tạp khi chuyển đổi được xem là những rào cản chính đối với các tổ chức, doanh nghiệp. Bên cạnh đó, người dân muốn xác thực bằng sinh trắc học phải có điện thoại thông minh, máy quét... Tuy nhiên, các chuyên gia cho rằng, những rào cản này hoàn toàn có thể được khắc phục được. Đầu tư vào công nghệ xác thực không mật khẩu là khoản đầu tư đúng đắn bởi những lợi ích to lớn và lâu dài mà công nghệ này mang lại sau đó./.

Đoàn Thảo (qdnd.vn)