Xác thực không mật khẩu - xu hướng tất yếu và không thể đảo ngược

Chiều 13.7, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin (Bộ TT-TT) cùng Công ty CP Dịch vụ an ninh mạng VinCSS và tập đoàn IEC tổ chức Tọa đàm "Xác thực không mật khẩu Make in Việt Nam".

Mật khẩu – nỗi lo dai dẳng

Trên thế giới, các vấn đề với mật khẩu là nỗi lo ngại dai dẳng với mọi tổ chức. Chưa kể, lượng thời gian mà nhóm quản trị CNTT trong một tổ chức, doanh nghiệp dành cho việc quản lý mật khẩu và thông tin đăng nhập của người dùng cũng như xử lý sự cố liên quan, gia tăng đều đặn qua từng năm.

Theo khảo sát của LastPass, 95% nhà quản trị hệ thống được hỏi cho biết có những rủi ro khi sử dụng mật khẩu có thể góp phần gây ra các mối đe dọa trong tổ chức của họ, đặc biệt là những hành vi của con người như sử dụng một mật khẩu cho nhiều tài khoản hoặc mật khẩu quá yếu.

Nghiên cứu của Microsoft cho thấy, 80% các vụ xâm phạm và mất cắp dữ liệu có liên quan đến mật khẩu yếu hoặc lộ mật khẩu. Cùng với đó, việc quản lý mật khẩu vô cùng tốn kém. Theo một báo cáo của Forrester, trung bình một tổ chức lớn phải tiêu tốn gần 1 triệu USD mỗi năm để chi trả cho nhân sự cũng như cơ sở hạ tầng nhằm giải quyết vấn đề mật khẩu, chưa kể chi phí thời gian.

85% các chuyên gia bảo mật và CNTT đồng ý rằng tổ chức của họ nên tìm cách giảm số lượng mật khẩu mà các cá nhân sử dụng hàng ngày, cũng như khuyến khích người dùng trong hệ thống chuyển sang sử dụng các hình thức xác thực không mật khẩu. 92% số người được hỏi tin rằng xác thực không mật khẩu chính là phương án tối ưu nhất cho mọi cá nhân, tổ chức, doanh nghiệp trong tương lai.

Phải làm chủ công nghệ

Theo ông Nguyễn Huy Dũng - Thứ trưởng Bộ TT-TT, xác thực là bước đầu tiên người dùng tương tác, sử dụng sản phẩm, dịch vụ số. Một sản phẩm, dịch vụ số bảo đảm an toàn một cách toàn trình mà chúng ta hướng tới phải được bắt đầu từ khâu đầu tiên là xác thực người dùng.

Thứ trưởng phân tích rằng trước đây mọi người quen với việc sử dụng tên đăng nhập và mật khẩu để đăng nhập sử dụng dịch vụ, nhưng điều này chưa thực sự an toàn, thuận tiện cho người dùng. Việc phải ghi nhớ nhiều mật khẩu cũng tiềm ẩn rủi ro đối với các tổ chức và không đảm bảo an toàn trước các cuộc tấn công mạng hiện đại. Do đó, phương thức xác thực bằng tên đăng nhập và mật khẩu dần được thay thế bằng các công nghệ xác thực mạnh hơn.

Cục trưởng Cục An toàn thông tin Nguyễn Thành Phúc cho biết lộ lọt dữ liệu người dùng đang diễn ra phức tạp ở Việt Nam và thế giới. Cụ thể, vào tháng 4.2021, hơn 500 triệu tài khoản Facebook bị rò rỉ dữ liệu; tháng 9.2021, 500.000 tài khoản và mật khẩu người dùng trên 200.000 thiết bị Fortinet VPN toàn cầu bị tiết lộ.

Theo đó, ông Phúc cho biết xuất hiện năm 2018, công nghệ xác thực mạnh không mật khẩu theo chuẩn FIDO2 hứa hẹn tạo ra cách mạng trong xác thực và nhận diện. Tại Việt Nam, đang giai đoạn sơ khởi, nhiều cá nhân, tổ chức chưa được tiếp cận công nghệ xác thực không mật khẩu, trong khi chi phí quản lý mật khẩu OTP cao, phức tạp.

Ông Đỗ Ngọc Duy Trác, Tổng giám đốc Công ty VinCSS, nhận định đây là một xu hướng tất yếu và không thể đảo ngược. Nếu Việt Nam chậm chân trong xu hướng xác thực không mật khẩu, khi các quốc gia trên thế giới từ bỏ hình thức xác thực mật khẩu, các tin tặc sẽ chuyển hướng tấn công vào những vùng trũng mật khẩu, trong đó có Việt Nam. Đó là lý do Việt Nam phải làm chủ công nghệ xác thực không mật khẩu.

Thứ trưởng Nguyễn Huy Dũng nhấn mạnh Chương trình chuyển đổi số quốc gia đã định hướng, khuyến khích doanh nghiệp chuyển dịch từ lắp ráp, gia công sang làm sản phẩm theo hướng Make in Việt Nam - sáng tạo tại Việt Nam, thiết kế tại Việt Nam và sản xuất tại Việt Nam. Trong đó, các doanh nghiệp cần tập trung nghiên cứu, phát triển, làm chủ công nghệ, sản xuất những thiết bị số để phục vụ nhu cầu của xã hội, đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin mạng.