Xác thực không mật khẩu

Ông Đỗ Ngọc Duy Trác

Ông có nhận định gì về mức độ an toàn của hình thức xác thực bằng mật khẩu/OTP đối với các giao dịch ngân hàng hiện nay?

Tình trạng tin tặc nhằm vào người dùng ngân hàng để tấn công, chiếm đoạt tài sản từ lâu đã luôn ở mức đáng báo động. Bởi các hệ thống xác thực dựa vào mật khẩu/OTP không còn đủ mạnh, nói chính xác là đã lỗi thời.

Khai thác điểm yếu này, tin tặc thậm chí không cần dùng đến các kỹ thuật tấn công phức tạp mà chủ yếu dùng các cuộc gọi, tin nhắn lừa đảo, mạo danh, nhằm lấy thông tin xác thực như OTP/mật khẩu/ thông tin cá nhân.

Trong khi các hình thức phishing - tấn công giả mạo thì ngày một tinh vi, người dùng dù cảnh tỉnh đến mấy cũng khó phân biệt thật - giả để tránh, bởi vậy loại hình tấn công này luôn thành công ở một tỷ lệ nhất định.

Vậy liệu đã đến lúc các ngân hàng loại bỏ phương thức xác thực bằng mật khẩu/OTP để chuyển qua một hình thức xác thực an toàn hơn, thưa ông?

Câu trả lời đã quá rõ ràng, thời điểm này, chúng ta nên tìm cách để triển khai các phương pháp xác thực mạnh, an toàn hơn. Xác thực không mật khẩu đã, đang và sẽ là xu hướng toàn cầu không thể đảo ngược. Năm 2012, Liên minh xác thực trực tuyến thế giới (FIDO Alliance) ra đời với sự góp mặt của hơn 260 thành viên trong đó không chỉ có tất cả tập đoàn công nghệ hàng đầu như Apple, Microsoft… mà các tổ chức tài chính ngân hàng như American Express, US Bank, Paypal… cũng đồng loạt tham gia.

Gartner nhận định, xác thực không mật khẩu là xu hướng công nghệ có ảnh hưởng lớn nhất năm 2022, cần được áp dụng và chuyển đổi ngay từ thời điểm hiện tại. Theo đó các tổ chức chậm chân sẽ phải đối diện áp lực trở thành mục tiêu yếu còn sót lại. Các quốc gia phát triển trên thế giới như Anh, Pháp, Mỹ… cho đến các nước gần chúng ta hơn là Thái Lan, Malaysia, Hàn Quốc… cũng đã triển khai xác thực mạnh không mật khẩu.

Vậy ngân hàng cần chuẩn bị gì khi triển khai hình thức xác thực mới này, thưa ông?

Theo các nghiên cứu từ Security Insider, xác thực không mật khẩu có nhiều lợi thế ưu việt. Thứ nhất là ngăn chặn đến 91% các cuộc tấn công phishing. Thứ hai là giải quyết vấn đề chi phí. Chi phí vận hành doanh nghiệp có thể giảm 14%. Thứ ba, xác thực không mật khẩu giúp tăng 64% hiệu quả trải nghiệm người dùng khi không còn phải tạo, nhớ, nhập hàng chục mật khẩu dài phức tạp rồi lại tiếp tục phải đợi chờ OTP gửi về máy. Với những lợi ích ấy, xác thực không mật khẩu có khả năng khiến doanh nghiệp tăng tỷ lệ chuyển đổi số thành công lên đến 21%.

Về mặt hiệu quả đầu tư, các ngân hàng ứng dụng xác thực không mật khẩu còn có khả năng tăng lợi thế cạnh tranh cho sản phẩm, dịch vụ số nhờ đem lại cho người dùng trải nghiệm liền mạch, đơn giản dễ sử dụng. Từ đó tính gắn kết với sản phẩm và mối quan hệ khách hàng cũng được củng cố đáng kể.

Xác thực không mật khẩu đã được các quốc gia, tổ chức uy tín trên thế giới ứng dụng từ nhiều năm nay. Tuy nhiên tại Việt Nam thì đến 2022, công nghệ này mới nhận được nhiều sự quan tâm do các ngân hàng đã ý thức được tầm quan trọng của xác thực an toàn để bảo vệ người dùng và cũng là bảo vệ chính doanh nghiệp.

Một cách tối ưu nhất để tiếp cận công nghệ này, ngân hàng có thể ngay lập tức liên hệ với các đơn vị cung cấp dịch vụ chuyển đổi lên xác thực không mật khẩu uy tín được chứng nhận quốc tế như VinCSS để được tư vấn lộ trình và triển khai trọn gói. Quá trình chuyển đổi này hoàn toàn không cản trở đến vận hành hiện tại của doanh nghiệp mà được chạy song song, may đo vừa sát với nhu cầu điều kiện của tổ chức. Toàn bộ quá trình này kéo dài không đến 3 tháng, hiệu quả đảm bảo an toàn, tối ưu chi phí vận hành và tăng trải nghiệm sử dụng rõ nét ngay lập tức.

Xin cảm ơn ông!