Tại sao xác thực không mật khẩu lại cần thiết?

Theo các nghiên cứu từ tập đoàn Verizon và Microsoft, mật khẩu là nguyên nhân của hơn 80% các vụ xâm phạm dữ liệu. Việc quản lý mật khẩu không chỉ tốn kém mà còn tiềm ẩn nhiều rủi ro. Thống kê từ LastPass chỉ ra rằng, các doanh nghiệp lớn phải chi trung bình 1 triệu USD mỗi năm để quản lý và thiết lập lại mật khẩu. Đây là một con số đáng báo động, đặc biệt khi hiệu quả bảo mật của mật khẩu truyền thống đang ngày càng bị nghi ngờ.

Theo phân tích của chuyên gia bảo mật, các hệ thống định danh và xác thực dựa vào mật khẩu hiện nay không đủ mạnh để bảo vệ triệt để người dùng khỏi các kiểu tấn công mạng phổ biến như gửi thông điệp dẫn dụ (phishing) hay lừa đảo (social engineering). Hơn thế nữa, các lỗ hổng trong phương thức xác thực SMS OTP/ password đã quá lỗi thời đã và đang tạo cơ hội để tin tặc khai thác. Điển hình như các vụ việc hàng chục triệu đô la Singapore đã bị đánh cắp trong chiến dịch tấn công lừa đảo nhắm vào người dùng ngân hàng OCBC Singapore; vụ chiếm đoạt hàng tỷ đồng chỉ bằng tin nhắn để đánh cắp mật khẩu, mã OTP hay tiền trong tài khoản “bốc hơi” 400 triệu mà không hề có “dấu vết” giao dịch tại Việt Nam. Các chuyên gia khẳng định đã đến lúc loại bỏ mật khẩu/OTP ra khỏi “cuộc chơi số” của ngành tài chính ngân hàng.

Xác thực mạnh không mật khẩu giúp nâng cao khả năng bảo mật trong kỷ nguyên số.

Việc chuyển đổi sang công nghệ xác thực không mật khẩu có thể mang lại nhiều lợi ích. Nghiên cứu của Công ty Security Insider cho thấy, phương pháp này có thể giúp doanh nghiệp giảm 91% nguy cơ tấn công lừa đảo và đánh cắp danh tính, đồng thời tăng 64% trải nghiệm người dùng, tiết kiệm 14% chi phí vận hành và tăng tỷ lệ chuyển đổi số thành công lên đến 21%.

Xác thực không mật khẩu loại bỏ việc sử dụng mật khẩu truyền thống. Thay vào đó, người dùng có thể xác thực thông qua các phương pháp như quét vân tay, nhận diện khuôn mặt, mã PIN ngắn hoặc thiết bị bảo mật như khóa phần cứng. Công nghệ này đảm bảo rằng thông tin đăng nhập không bị lưu trữ hoặc truyền tải, từ đó giảm thiểu nguy cơ bị tin tặc tấn công.

Hệ sinh thái xác thực không mật khẩu tại Việt Nam

Tại Việt Nam, chương trình chuyển đổi số quốc gia đã thúc đẩy các doanh nghiệp tập trung phát triển sản phẩm công nghệ Make in Vietnam. Một trong những điểm sáng trong lĩnh vực này là VinCSS, doanh nghiệp tiên phong xây dựng hệ sinh thái xác thực mạnh không mật khẩu theo chuẩn FIDO2.

Từ năm 2019, VinCSS bắt đầu nghiên cứu và phát triển hệ sinh thái xác thực mạnh không mật khẩu với 7 giải pháp hoàn thiện. Đây là hệ sinh thái đầu tiên tại khu vực được phát triển hoàn toàn bởi đội ngũ chuyên gia người Việt.

Theo đó, hệ sinh thái VinCSS FIDO2 bao gồm: Khóa phần cứng và phần mềm (hardkey/softkey); Giải pháp xác thực nội bộ doanh nghiệp (On-premise); Giải pháp xác thực tập trung dựa trên nền tảng đám mây; Các thư viện lập trình và tiện ích hỗ trợ doanh nghiệp tích hợp FIDO2.

Đặc biệt, sản phẩm VinCSS đã đạt được 4 chứng chỉ FIDO2 quốc tế, được Tập đoàn Microsoft khuyến nghị sử dụng trên nền tảng Azure AD và trở thành đối tác Định danh năm 2020 của Microsoft.

Trong giai đoạn dịch Covid-19, một doanh nghiệp lớn có trụ sở tại Việt Nam, Mỹ và Canada đã triển khai mô hình làm việc từ xa cho gần 2.000 nhân viên. Hệ thống VPN của doanh nghiệp này đối mặt với nguy cơ bị tin tặc tấn công nếu một tài khoản VPN bị lộ.

VinCSS đã tích hợp công nghệ xác thực mạnh vào hệ thống VPN của doanh nghiệp. Thay vì phải nhập nhiều lớp mật khẩu hoặc mã OTP, nhân viên chỉ cần sử dụng điện thoại quét mã QR và vân tay để đăng nhập. Giải pháp này không chỉ giúp tăng cường bảo mật mà còn giảm đáng kể gánh nặng quản lý cho bộ phận IT.

Được biết, Liên minh Xác thực Trực tuyến (FIDO Alliance) ra đời năm 2012 với mục tiêu giảm sự phụ thuộc vào mật khẩu. Tổ chức này đã phát triển các tiêu chuẩn xác thực mạnh, trong đó chuẩn FIDO2 được xem là "kẻ thay đổi cuộc chơi" trong ngành công nghệ.

FIDO Alliance hiện có hơn 260 thành viên, bao gồm các tập đoàn công nghệ hàng đầu như Google, Microsoft, Amazon, PayPal và Samsung. Công nghệ FIDO2 đã được các thành viên lớn như mạng xã hội Facebook, Twitter tích hợp, thúc đẩy quá trình loại bỏ mật khẩu trên quy mô toàn cầu.

VinCSS, với tư cách là thành viên chính thức của FIDO Alliance, đã nhanh chóng áp dụng và phát triển các giải pháp FIDO2 đáp ứng nhu cầu trong nước và quốc tế. Điều này không chỉ khẳng định năng lực công nghệ của Việt Nam mà còn giúp tăng cường vị thế của ngành công nghệ Việt trên bản đồ thế giới.

Thách thức và cơ hội cho doanh nghiệp Việt Nam

Dù xác thực không mật khẩu đã và đang chứng minh hiệu quả, nhiều doanh nghiệp Việt vẫn chưa tiếp cận được công nghệ này. Họ phải chấp nhận chi phí cao cho dịch vụ OTP và quản lý mật khẩu, trong khi trải nghiệm người dùng vẫn phức tạp và rủi ro bảo mật ngày càng gia tăng.

VinCSS với hệ sinh thái FIDO2 - Make in Vietnam đã chứng minh rằng doanh nghiệp Việt hoàn toàn có thể tự chủ trong lĩnh vực công nghệ cao, đáp ứng các tiêu chuẩn quốc tế. Sự thành công của VinCSS là động lực để các doanh nghiệp khác đổi mới, đồng thời thúc đẩy chương trình chuyển đổi số quốc gia tiến xa hơn.

Xác thực không mật khẩu không chỉ là một giải pháp công nghệ, mà còn là xu hướng tất yếu để đáp ứng nhu cầu bảo mật trong kỷ nguyên số. Với sự phát triển mạnh mẽ của các giải pháp Make in Vietnam như VinCSS FIDO2, Việt Nam đang từng bước khẳng định vị thế trên bản đồ công nghệ toàn cầu. Đây là minh chứng cho tinh thần sáng tạo và khả năng làm chủ công nghệ của người Việt, mở ra cơ hội lớn cho quốc gia trong thời đại chuyển đổi số.