Việt Nam gia nhập làn sóng xác thực không mật khẩu toàn cầu
Mới đây, Cục An toàn thông tin (Bộ TT&TT) và tập đoàn IEC vừa phối hợp tổ chức tọa đàm Xác thực không mật khẩu Make in Việt Nam tại Hà Nội. Đây là diễn đàn đầu tiên tại Việt Nam nhằm trao đổi toàn diện về các vấn đề liên quan đến xác thực, định danh khách hàng và chia sẻ kinh nghiệm triển khai công nghệ xác thực không mật khẩu.
Toàn cảnh buổi Toạ đàm.
Xác thực bằng mật khẩu vốn phổ biến từ những năm 60 của thế kỷ trước đến nay. Tuy nhiên, phương thức xác thực này ngày càng cho thấy nhiều bất cập. Nghiên cứu của Microsoft cho thấy, 80% các vụ xâm phạm và mất cắp dữ liệu có liên quan đến mật khẩu yếu hoặc lộ mật khẩu.
Bên cạnh đó, việc quản lý mật khẩu vô cùng tốn kém. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần 1 triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian.
Chính bởi những bất cập này, giới bảo mật toàn cầu bắt đầu tiếp cận xu hướng mới và tìm kiếm các giải pháp tốt hơn để có thể thay thế mật khẩu. Đó cũng là lý do công nghệ xác thực không mật khẩu ra đời.
Xác thực bằng mật khẩu vốn phổ biến từ những năm 60 của thế kỷ trước đến nay. Tuy nhiên, phương thức xác thực này ngày càng cho thấy nhiều bất cập. Nghiên cứu của Microsoft cho thấy, 80% các vụ xâm phạm và mất cắp dữ liệu có liên quan đến mật khẩu yếu hoặc lộ mật khẩu.
Bên cạnh đó, việc quản lý mật khẩu vô cùng tốn kém. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần 1 triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian.
Chính bởi những bất cập này, giới bảo mật toàn cầu bắt đầu tiếp cận xu hướng mới và tìm kiếm các giải pháp tốt hơn để có thể thay thế mật khẩu. Đó cũng là lý do công nghệ xác thực không mật khẩu ra đời.
Bình luận về công nghệ xác thực không mật khẩu, theo ông Đỗ Ngọc Duy Trác - Tổng Giám đốc Công ty VinCSS, đây là một xu hướng tất yếu và không thể đảo ngược.
“Nếu Việt Nam chậm chân trong xu hướng xác thực không mật khẩu, khi các quốc gia trên thế giới từ bỏ hình thức xác thực mật khẩu, các tin tặc sẽ chuyển hướng tấn công vào những vùng trũng mật khẩu, trong đó có Việt Nam. Đó là lý do Việt Nam phải làm chủ công nghệ xác thực không mật khẩu”, ông Trác nói.
Ông Nguyễn Thành Phúc, Cục trưởng An toàn thông tin, phát biểu tại tọa đàm Xác thực không mật khẩu ngày 13/7.
Về thực trạng sử dụng mật khẩu tại Việt Nam, ông Nguyễn Thành Phúc, Cục trưởng An toàn thông tin dẫn thống kê của NordPass rằng trong năm 2021, 42,1 triệu mật khẩu của người dùng Việt đã bị lộ. Đáng chú ý, phổ biến nhất trong số này là "123456", với hơn 3,4 triệu lượt sử dụng.
Người phụ trách ngành an toàn thông tin đánh giá đây là thực trạng đáng lo ngại, trong bối cảnh mọi hoạt động của con người đều có thể diễn ra trực tuyến. Một thống kê của Verizon năm 2021 cho thấy, 80% các vụ vi phạm dữ liệu có liên quan đến lộ mật khẩu hoặc sử dụng mật khẩu yếu.
Trong khi đó, Việt Nam là một trong những quốc gia mục tiêu mà giới tội phạm mạng nhắm đến. Trong 6 tháng đầu năm, Cục An toàn thông tin đã xử lý 506 website lừa đảo giả mạo tổ chức tài chính ngân hàng và hỗ trợ ngăn ngừa 1,5 triệu lượt người dùng Internet truy cập vào các trang lừa đảo, vi phạm pháp luật.
"Khi mọi công việc có thể diễn ra trực tuyến, nguy cơ thông tin đăng nhập bị đánh cắp luôn hiện hữu thông qua lỗ hổng hệ thống, thói quen sử dụng mật khẩu và lừa đảo trực tuyến. Mật khẩu hiện nay giống như chìa khóa để truy cập nhiều thông tin có giá trị", ông Phúc nói.
Ông cũng đánh giá với sự phát triển về năng lực tính toán của máy tính hiện nay, các thuật toán sử dụng để bảo vệ mật khẩu có thể bị bẻ gãy nhanh chóng. Bên cạnh đó, phương thức xác thực này dần bộc lộ hạn chế khi người dùng phải ghi nhớ mật khẩu phức tạp, nhiều mật khẩu cho nhiều ứng dụng khác nhau.
Mật khẩu còn gây áp lực về chi phí. Hiện tại, nhiều tổ chức, doanh nghiệp phải chi một số tiền lớn cho việc quản lý mật khẩu OTP. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần một triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian.
Thực trạng này đặt ra yêu cầu về việc cần thay đổi phương thức xác thực, trong đó, xác thực mạnh, xác thực không mật khẩu là một trong những giải pháp cần được phát triển ở Việt Nam.
Chia sẻ tại sự kiện, Thứ trưởng Bộ TT&TT Nguyễn Huy Dũng khẳng định, sự ra mắt hệ sinh thái xác thực không mật khẩu của VinCSS là một dấu hiệu tích cực, một lần nữa khẳng định doanh nghiệp Việt Nam có đủ năng lực nghiên cứu, phát triển và sáng tạo các sản phẩm, dịch vụ đáp ứng các tiêu chuẩn bảo mật quốc tế.
Thứ trưởng Bộ TT&TT Nguyễn Huy Dũng khuyến khích các doanh nghiệp tiếp tục cho ra đời các sản phẩm công nghệ số Make in Việt Nam.
Hệ sinh thái Xác thực không mật khẩu của VinCSS tập trung vào giải quyết một vấn đề hẹp là xác thực người dùng. Theo Thứ trưởng Nguyễn Huy Dũng, tuy đây là vấn đề hẹp nhưng lại có ý nghĩa lớn.
Xác thực chính là bước đầu tiên người dùng tương tác, sử dụng sản phẩm, dịch vụ số. Sản phẩm, dịch vụ số bảo đảm an toàn toàn trình phải được bắt đầu từ việc xác thực người dùng.
Thứ trưởng Nguyễn Huy Dũng nhấn mạnh, chương trình chuyển đổi số quốc gia đã định hướng, khuyến khích doanh nghiệp chuyển dịch từ lắp ráp, gia công sang làm sản phẩm theo hướng Make in Việt Nam - sáng tạo tại Việt Nam, thiết kế tại Việt Nam và sản xuất tại Việt Nam.
Trong đó, các doanh nghiệp cần tập trung nghiên cứu, phát triển, làm chủ công nghệ, sản xuất những thiết bị số để phục vụ nhu cầu của xã hội, đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin mạng.
Quang Minh