12:56 26/07/2022

Tiến tới làm chủ công nghệ xác thực không mật khẩu

Hồng Vinh

Xu hướng chuyển đổi số cùng các mối đe dọa trên không gian mạng ngày một gia tăng đã đặt ra bài toán lớn cho ngành an toàn thông tin nói chung và quản lý định danh, truy cập nói riêng. Đây là lý do Việt Nam cần làm chủ công nghệ xác thực không mật khẩu...

Tiến tới làm chủ công nghệ xác thực không mật khẩu. (Ảnh minh họa).
Tiến tới làm chủ công nghệ xác thực không mật khẩu. (Ảnh minh họa).

Phương thức bảo mật bằng mật khẩu đã được sử dụng từ những năm 60 của thế kỷ trước. Tuy nhiên, khi tốc độ phát triển của công nghệ và sắp tới là tính toán điện tử ngày càng nhanh, thì việc tiếp tục sử dụng mật khẩu sẽ không còn nhiều ý nghĩa, dễ dàng bị phá vỡ.

80% MẤT CẮP DỮ LIỆU LIÊN QUAN ĐẾN MẬT KHẨU

Mặt khác, khi người dùng sử dụng mật khẩu trên nhiều nền tảng số, có một thực trạng rằng một người phải ghi nhớ rất nhiều mật khẩu và việc này là điều không dễ dàng. Ngoài ra, việc bảo mật thông tin bằng mật khẩu lại càng khó khăn cho người dùng. 

Ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng Trung tâm Giám sát và An toàn không gian mạng quốc gia (NCSC), chia sẻ: “Hiện nay ở Việt Nam và nước ngoài, người sử dụng nói chung chưa biết cách đặt mật khẩu sao cho an toàn. Đa số vẫn đặt mật khẩu theo dạng dãy số dễ nhớ hoặc những điều liên quan đến thông tin cá nhân như ngày sinh, tên người thân… nên hacker có thể dễ dàng đoán ra mật khẩu đó hoặc bẻ khóa mật khẩu thông qua phương thức như dò mật khẩu”.

Theo thống kê của Bộ Thông tin và Truyền thông, có khoảng 3,4 triệu người Việt thường xuyên sử dụng mật khẩu dạng 123456 bởi dễ nhớ, đăng nhập đơn giản, tiện dụng nhưng rõ ràng là mất an toàn vì dễ dàng bị truy nhập, đánh cắp thông tin và mất cắp trong hoạt động mua sắm và giao dịch online. Trên thế giới, các vấn đề với mật khẩu là nỗi lo ngại dai dẳng với mọi tổ chức. Chưa kể, lượng thời gian mà nhóm quản trị công nghệ thông tin trong một tổ chức, doanh nghiệp dành cho việc quản lý mật khẩu và thông tin đăng nhập của người dùng cũng như xử lý sự cố liên quan, gia tăng đều đặn qua từng năm.

Theo khảo sát của LastPass, 95% nhà quản trị hệ thống được hỏi cho biết có những rủi ro khi sử dụng mật khẩu có thể góp phần gây ra các mối đe dọa trong tổ chức của họ, đặc biệt là những hành vi của con người, như sử dụng một mật khẩu cho nhiều tài khoản hoặc mật khẩu quá yếu. Trong khi nghiên cứu của Microsoft cho thấy, 80% các vụ xâm phạm và mất cắp dữ liệu có liên quan đến mật khẩu yếu hoặc lộ mật khẩu. Cùng với đó, việc quản lý mật khẩu vô cùng tốn kém. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần 1 triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian. 

BẢO VỆ LÀN SÓNG CHUYỂN ĐỔI SỐ QUỐC GIA

Tại tọa đàm xác thực không mật khẩu “Make in Việt Nam” mới đây, hầu hết các chuyên gia an ninh mạng đều nhận định: phát triển các ứng dụng, dịch vụ số là một trong những hoạt động chiến lược của Chương trình Chuyển đổi số quốc gia. Tuy nhiên, càng mở rộng tính năng, sự tiện ích của giải pháp số đi đôi với nguy cơ tấn công mạng ngày càng tăng cao. Trong bối cảnh đó, xác thực mạnh không mật khẩu hứa hẹn giúp doanh nghiệp vừa đảm bảo yếu tố an toàn vừa tích hợp để sản phẩm hay hệ thống vận hành được tối ưu hiệu năng, tiện lợi khi sử dụng. 

Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Huy Dũng khẳng định: xác thực mạnh là một trong những nền tảng quan trọng nhất để doanh nghiệp và các hệ thống công nghệ thông tin trọng yếu, dịch vụ số phát triển mạnh mẽ. Trong đó doanh nghiệp, tổ chức cần quan tâm hơn đến người dùng cuối, áp dụng các công nghệ xác thực mạnh tiêu chuẩn quốc tế để giảm thiểu tối đa việc tác nhân xấu trên không gian mạng nhắm mục tiêu trực tiếp vào những người sử dụng sản phẩm.

“Chương trình Chuyển đổi số quốc gia đã định hướng, khuyến khích doanh nghiệp chuyển dịch từ lắp ráp, gia công sang làm sản phẩm theo hướng “Make in Việt Nam”: sáng tạo tại Việt Nam, thiết kế tại Việt Nam và sản xuất tại Việt Nam. Trong đó, các doanh nghiệp cần tập trung nghiên cứu, phát triển, làm chủ công nghệ, sản xuất những thiết bị số để phục vụ nhu cầu của xã hội, đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin mạng”, Thứ trưởng Nguyễn Huy Dũng nhấn mạnh.

Ngày 13/7 vừa qua, Hệ sinh thái xác thực mạnh không mật khẩu “Make in Việt Nam” - VinCSS FIDO2 Ecosystem đã chính thức ra mắt. Đây là hệ sinh thái xác thực mạnh không mật khẩu theo tiêu chuẩn FIDO2 quốc tế đầu tiên tại ASEAN. VinCSS FIDO2 Ecosystem gồm 7 nhóm giải pháp, trong đó có 4 giải pháp đã được chứng nhận FIDO2 do FIDO Alliance (Liên minh xác thực trực tuyến thế giới) cấp. Hệ sinh thái khẳng định năng lực áp dụng, sáng tạo và tự chủ của người Việt trên bản đồ công nghệ an ninh bảo mật toàn cầu.

Ông Đỗ Ngọc Duy Trác, Tổng giám đốc Công ty VinCSS, cho biết công nghệ xác thực không mật khẩu có tiềm năng lớn không chỉ giúp cho doanh nghiệp phát triển mà còn có khả năng bảo vệ các phương diện khác trong chuyển đổi số như chính phủ số, xã hội số giai đoạn hiện nay. Xác thực không mật khẩu giúp tăng cường hiệu năng sản phẩm như mang lại trải nghiệm sử dụng thân thiện tiện lợi, triển khai đơn giản nhanh chóng, dễ dàng tích hợp giữa các hệ thống, thiết bị và nhân rộng tính ứng dụng. Bảo vệ làn sóng chuyển đổi số quốc gia và sự phát triển an toàn, bền vững của doanh nghiệp.

Bên cạnh cung cấp giải pháp, dịch vụ cho doanh nghiệp, VinCSS sẵn sàng tài trợ, hỗ trợ khu vực công, các nền tảng “Make in Việt Nam” để tích hợp công nghệ xác thực mạnh không mật khẩu.

Công nghệ xác thực mạnh không mật khẩu theo chuẩn FIDO2 xuất hiện năm 2018, hứa hẹn tạo ra cách mạng trong xác thực và nhận diện. Việt Nam hiện đang trong giai đoạn sơ khởi, nhiều cá nhân, tổ chức chưa được tiếp cận công nghệ xác thực không mật khẩu, trong khi chi phí quản lý mật khẩu OTP cao, phức tạp.

Chuyên gia Ngô Minh Hiếu cho rằng máy chủ khi sử dụng bảo mật không mật khẩu sẽ đảm bảo được vấn đề về hacker phá vỡ mật khẩu, đồng thời giảm thiểu hơn 90% tấn công, fishing hay lừa đảo qua mạng. Do vậy, những thông tin cá nhân như tài khoản ngân hàng, tài khoản của tổ chức hay cá nhân đều sẽ được bảo vệ trước rủi ro về mật khẩu.

 

Năm lỗi lớn nhất đặt mật khẩu: 

  1. Sử dụng lại cùng một mật khẩu. Nếu bạn gặp khó khăn trong việc ghi nhớ, phần mềm quản lý mật khẩu sẽ trợ giúp trong việc thiết kế và tổ chức thư viện mật khẩu.
  2. Chỉ tạo mật khẩu duy nhất cho các tài khoản rủi ro cao như ngân hàng trực tuyến hoặc các ứng dụng công việc. Do đó, hãy bảo vệ tất cả tài khoản, ngay cả những tài khoản hiếm khi sử dụng bằng mật khẩu độc nhất vô nhị.
  3. Không sử dụng phần mềm quản lý mật khẩu. Ngoài xác thực đa yếu tố, trình quản lý mật khẩu là công nghệ thiết yếu. Một số lựa chọn như 1Password, Bitwarden, Dashlane, LastPass, Kaspersky…
  4. Tạo mật khẩu đơn giản chứa thông tin cá nhân. Việc làm khắc phục là bạn cần thiết kế mật khẩu dài ít nhất 12 ký tự và tránh sử dụng thông tin cá nhân có thể dễ dàng đoán được.
  5. Không tham gia hệ thống xác thực đa yếu tố. Thông thường, điều này được thực hiện thông qua mật khẩu một lần (mã PIN dùng một lần) được gửi cho bạn qua SMS hoặc email.

TS. Võ Văn Khang, Phó chủ tịch Chi hội An toàn thông tin phía Nam (VNISA phía Nam)