'Xác thực truyền thống sẽ không còn đủ an toàn'
Tại Hội nghị FIDO châu Á - Thái Bình Dương 2023 ở Khánh Hòa sáng 29/8, ông Trần Đăng Khoa, Phó Cục trưởng phụ trách An toàn thông tin - Bộ Thông tin và Truyền thông, cho biết mã OTP được nhiều nền tảng sử dụng để xác thực đa lớp nhằm tăng tính an toàn. Tuy nhiên "phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro", do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.
Dẫn báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, ông Khoa cho biết 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu USD mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.
Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ hacker tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.
Theo ông Andrew Shikiar, Giám đốc điều hành Liên minh Xác thực trực tuyến thế giới (FIDO), mật khẩu là phương thức bảo mật ra đời hơn 60 năm, hiện bộc lộ nhiều nhược điểm và cần được thay đổi.
Về tính tiện dụng, ông cho biết nhiều doanh nghiệp mất khách hàng khi người dùng quên mật khẩu của nền tảng. Trong khi về tính an toàn, mật khẩu đã được bổ sung thêm các lớp bảo mật như OTP hoặc phần mềm tạo mã, nhưng đối với hacker, những biện pháp này "không khác gì", bởi có thể dễ dàng vượt qua.
Giải pháp thay thế cho mật khẩu và OTP truyền thống
Theo các chuyên gia, giải pháp để chống lại các cuộc tấn công xâm nhập tài khoản là sử dụng xác thực không mật khẩu cho việc đăng nhập. "Phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn rủi ro và đang dần được thay thế bằng công nghệ xác thực mạnh không mật khẩu và đây là xu thế không thể đảo ngược", ông Khoa nói.
Giải pháp xác thực không mật khẩu là sử dụng thêm một khóa bí mật (private key) vào giữa quá trình xác thực. Khóa này được kích hoạt thông qua những thông tin chỉ người dùng sở hữu, như khuôn mặt, vân tay, mã PIN hoặc một thiết bị phần cứng theo chuẩn FIDO.
Theo giải thích của ông Andrew Shikiar, khi người dùng thực hiện một phiên đăng nhập, quá trình được xử lý cục bộ trên thiết bị, không có thông tin được truyền ra ngoài, vì vậy hacker không thể tấn công từ xa vào hệ thống. Ngoài ra, cách làm này được thực hiện tự động trên các ứng dụng, địa chỉ URL đã được thiết lập, người dùng giảm được thao tác điền mật khẩu, đồng thời ngăn việc đăng nhập nhầm vào các trang web mạo danh.
Cách thức hoạt động của phương thức xác thực không mật khẩu. Ảnh: FIDO
Đại diện Cục An toàn thông tin nhận định xác thực không mật khẩu hiện trở thành xu hướng chủ đạo, được nhiều tổ chức trên thế giới áp dụng. Việt Nam và các quốc gia trong khu vực cũng đang trong quá trình chuyển đổi từ xác thực truyền thống sang xác thực không mật khẩu. Tại sự kiện, Cục An toàn thông tin công bố tham gia Liên minh FIDO, trở thành một trong 10 thành viên cấp chính phủ của liên minh này.
"Để đạt mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, tránh trở thành mục tiêu vừa có giá trị cao vừa dễ tấn công của tội phạm mạng, cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của cơ quan nhà nước và sự tham gia của các doanh nghiệp công nghệ", đại diện Cục nói.
Ông Đỗ Ngọc Duy Trác, CEO VinCSS, đánh giá xác thực không mật khẩu là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực, đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt cho người dùng. Hiện tất cả Big Tech công nghệ như Apple, Amazon, Microsoft, Google, Intel đều ứng dụng giải pháp này trên sản phẩm của mình.
Theo ông, giải pháp thực tế đã hiện diện nhiều trong cuộc sống. Một trong những ứng dụng phổ biến nhất theo chuẩn của FIDO là công nghệ Passkey tích hợp sẵn trong hệ điều hành Android và iOS. Việc người dùng có thể đăng nhập vào tài khoản trên thiết bị thông qua xác thực sinh trắc học như vân tay, khuôn mặt là một trong những ví dụ của phương thức này.
Với việc Việt Nam tham gia Liên minh FIDO, các chuyên gia đánh giá đây là tiền đề để Bộ Thông tin và Truyền thông tiếp cận các xu hướng, giải pháp công nghệ, tiêu chuẩn trong lĩnh vực xác thực không mật khẩu hiện đại trên thế giới, từ đó học tập, nghiên cứu, đề xuất chính sách, quy định và tham mưu việc phát triển, áp dụng sản phẩm dịch vụ xác thực không mật khẩu, phục vụ quá trình chuyển đổi số quốc gia.
Theo vnexpress.net
Tin cùng chuyên mục
- Nokia chuẩn bị triển khai 5G tại Việt Nam 24.09.2024 | 13:58 PM
- Sinh động các chương trình trực tiếp tại Fanpage Báo Tuyên Quang online 03.01.2023 | 08:16 AM
- Thực hiện quy định về chuẩn hóa thông tin thuê bao di động 31.03.2023 | 16:13 PM
- Hưởng ứng ngày Chuyển đổi số quốc gia 10/10Chuyển đổi số vì một cuộc sống tốt đẹp hơn 09.10.2022 | 21:42 PM
- Sở Thông tin và Truyền thông: Diễn tập ứng phó sự cố an toàn thông tin mạng năm 2022 04.10.2022 | 17:30 PM
- Hướng dẫn trẻ em sử dụng mạng internet an toàn và hiệu quả 05.08.2022 | 08:27 AM
- Người dùng nên cập nhật Chrome 92 ngay để vá 9 lỗ hổng nghiêm trọng 21.08.2021 | 15:47 PM
- UBND tỉnh nghe báo cáo dự thảo đề án chuyển đổi số tỉnh Thái Bình giai đoạn 2021 - 2025, định hướng đến năm 2030 21.07.2021 | 19:16 PM
- Thiết bị đầu tiên chuyển suy nghĩ thành câu nói 19.07.2021 | 09:47 AM
- Tại sao không gộp các ứng dụng chống dịch thành một 'super app' 19.07.2021 | 09:48 AM
Xem tin theo ngày
- Kỳ họp HĐND tỉnh khóa XVII, nhiệm kỳ 2021 - 2026 để giải quyết công việc phát sinh đột xuất
- Họp Ban Chỉ đạo phòng, chống tham nhũng, tiêu cực tỉnh
- Khai mạc hội diễn nghệ thuật quần chúng Hội tụ sông Hồng
- Thường trực HĐND tỉnh: Thông qua kết quả thẩm tra một số tờ trình
- Dâng hương tưởng niệm Chủ tịch Hồ Chí Minh và các anh hùng liệt sĩ
- Đồng chí Trần Cẩm Tú, Ủy viên Bộ Chính trị, Thường trực Ban Bí thư, Chủ nhiệm Ủy ban Kiểm tra Trung ương: Dự ngày hội đại đoàn kết toàn dân tộc thôn Trung, xã Đông Phương
- Kiểm tra toàn diện việc thực hiện nhiệm vụ quân sự, quốc phòng địa phương năm 2024
- Hội nghị Ban Thường vụ Tỉnh ủy
- Quốc hội thông qua Nghị quyết về dự toán ngân sách nhà nước, phương án phân bổ ngân sách trung ương năm 2025
- Tuyên truyền, phổ biến các văn bản pháp luật đất đai