Singapore sắp trở thành quốc gia 'không mật khẩu'

“Không mật khẩu” liệu có phải phương pháp xác thực an toàn hơn? Ảnh: Shutterstock

Hiện nay, tội phạm mạng đang ngày càng trở nên lão luyện trong việc phá vỡ và hack mật khẩu (password). Mặc dù hầu hết công ty đã yêu cầu xác thực 2 lớp bảo mật nhưng rõ ràng, password vẫn là một liên kết yếu, theo Tech Wire Asia.

Trên thực tế, brute force, một kỹ thuật hack được tội phạm mạng sử dụng để bẻ khóa mật khẩu yếu, có thể mang đến hậu quả đáng báo động. Ví dụ, nếu mật khẩu đơn giản, hacker có thể thử kết hợp 2,18 nghìn tỷ mật khẩu trên một tài khoản người dùng trong 22 giây và sau đó dễ dàng xâm phạm. Hay một phương pháp khác là nhồi nhét thông tin xác thực, lợi dụng các tài khoản không bao giờ thay đổi mật khẩu sau khi bị rò rỉ.

Tại Đông Nam Á, báo cáo của Kaspersky cho thấy 47,8 triệu cuộc tấn công tài khoản ngân hàng đã nhắm vào những người làm việc tại nước ngoài trong khoảng 6 tháng đầu năm 2022. Số lượng tấn công trung bình lên tới 265 nghìn cuộc mỗi ngày.

Singapore đã chứng kiến sự gia tăng đặc biệt các cuộc tấn công như vậy, bao gồm nhiều chiến dịch lừa đảo mà khách hàng của ngân hàng OCBC đã trải qua vào năm ngoái. Nhiều nạn nhân thiệt hại tới hơn 8,5 triệu SGD (tương đương 6,2 triệu USD). Sau hàng loạt sự cố không đáng có, các nhà chức trách đã đưa ra một số biện pháp bảo mật mới bao gồm cấm các liên kết trong email và SMS ngân hàng.

Tuy nhiên gần đây, quốc đảo này ghi nhận sự gia tăng trái phép các khoản phí đối với thẻ ghi nợ và thẻ tín dụng một cách bất thường. Theo The Straits Times, nhiều giao dịch trái phép đã được báo cáo. Cơ quan An ninh mạng Singapore tuyên bố rằng các giao dịch nhỏ có thể giúp tội phạm mạng xác thực chi tiết thẻ trước khi thực hiện các giao dịch lớn hơn và người tiêu dùng nên xem xét cẩn thận khi phát hiện loại giao dịch này trong tài khoản.

Một trường hợp khác mới đây ở Singapore liên quan đến Mediacorp, đài truyền hình quốc gia của đất nước. Theo đó, khoảng 14.000 người dùng tài khoản meCONNECT của Mediacorp đã phải đặt lại mật khẩu sau khi tài khoản bị phát hiện truy cập bởi một chủ thể không xác định. Những thông tin đăng nhập này được sử dụng để truy cập các dịch vụ của Mediacorp như nền tảng phát trực tuyến meWatch. Ngay sau khi nhận được nghi vấn, Mediacorp đã thông báo cho tất cả các chủ tài khoản bị ảnh hưởng và yêu cầu đặt lại mật khẩu để giữ an toàn thông tin.

ĐÃ ĐẾN LÚC LOẠI BỎ MẬT KHẨU?

Đối với ông David Hope, Phó Chủ tịch cấp cao khu vực Châu Á Thái Bình Dương và Nhật Bản tại ForgeRock, sự gia tăng gần đây về phí thẻ ghi nợ và thẻ tín dụng trái phép càng cho thấy lỗ hổng của hệ thống xác thực dựa trên mật khẩu truyền thống. Do đó, Phó chủ tịch David tin rằng điều quan trọng hơn bao giờ hết là áp dụng các giải pháp không cần mật khẩu để đảm bảo an toàn cho người dùng và bảo mật tốt hơn.

"Danh tính kỹ thuật số là trọng tâm truy cập các dịch vụ như ngân hàng trực tuyến và thương mại điện tử. Thông tin cá nhân người dùng được sử dụng để truy cập đã cung cấp một số lượng lớn danh tính kỹ thuật số cho tội phạm mạng. Để tối ưu hóa bảo mật và giảm thiểu những rủi ro, các tổ chức cần loại bỏ xác thực bằng mật khẩu. Phải có các biện pháp xác thực thông minh hơn trong hệ sinh thái công nghệ để bảo vệ chính tổ chức và người dùng khỏi gian lận và các mối đe dọa tiềm ẩn", ông David nhấn mạnh.

Thông qua cách tiếp cận mới này, các tổ chức Singapore có thể kiểm soát tốt hơn số lượng cuộc tấn công ngày càng tăng, cải thiện trải nghiệm người dùng, tăng hiệu quả hoạt động và tiết kiệm chi phí từ việc thường xuyên đặt lại mật khẩu.

"Khi Singapore tiếp tục dẫn đầu về tốc độ số hóa trên toàn khu vực, nhu cầu truy cập an toàn cũng như xác thực ủy quyền tăng cao. Các tổ chức phải tập trung vào việc cải thiện hệ thống ngay hôm nay để chứng minh lợi thế cạnh tranh trong tương lai và chứng minh đủ khả năng bảo vệ người dùng của họ", ông nói thêm.

XÁC THỰC “KHÔNG MẬT KHẨU” NGHĨA LÀ GÌ?

Xác thực không mật khẩu được cho là phương pháp tốt nhất hiện nay để xác minh danh tính của người dùng mà không cần đến dãy ký tự password. Thay vào đó là các các lựa chọn an toàn hơn như sinh trắc học.

Để hoạt động, dữ liệu xác thực (thường là dấu vân tay hoặc nhận dạng khuôn mặt) cần phải khớp với dữ liệu được lưu trữ trong cơ sở. Nếu không có sẵn dữ liệu sinh trắc học, người dùng có thể sử dụng mật khẩu hoặc xác thực đa yếu tố thông qua thiết bị cá nhân.

Xác thực đa yếu tố trên thiết bị cá nhân đã được thực hiện bởi một số nhà cung cấp dịch vụ tài chính, theo đó danh tính của người dùng được xác nhận thông qua dấu vân tay hoặc quét võng mạc trên thiết bị di động.

Ví dụ, đón đầu xu hướng, Liên minh FIDO (Fast IDentity Online) được tạo ra nhằm thúc đẩy các tiêu chuẩn xác thực mở và giảm việc sử dụng mật khẩu như một hình thức xác thực. FIDO2 là tiêu chuẩn mới nhất kết hợp với tiêu chuẩn xác thực web (WebAuthn). FIDO cho phép người dùng và tổ chức tận dụng cơ sở dữ liệu để đăng nhập vào tài nguyên mà không cần tên người dùng, mật khẩu hay khóa ứng dụng được tích hợp trong thiết bị.

NHỮNG THÁCH THỨC

“Không mật khẩu” cũng mang tới một số thách thức. Điều quan trọng nhất là sự chấp nhận và thói quen của người dùng. Như đã đề cập ở trên, việc chuyển từ hình thức mật khẩu sang “không mật khẩu” có thể gây nhầm lẫn cho một bộ phận người dùng, đặc biệt là thế hệ cũ đã quen với việc sử dụng password để đăng nhập trình duyệt.

Các tổ chức giới thiệu phương pháp xác thực mới có thể phải thay đổi tư duy người dùng để được chấp nhận sử dụng rộng rãi. Ngoài ra, việc triển khai giải pháp không mật khẩu thường đòi hỏi những thay đổi đáng kể từ hệ thống và cơ sở hạ tầng hiện có. Những vấn đề về khả năng tương thích có thể phát sinh khi tích hợp với hệ thống cũ được thiết lập chỉ để sử dụng mật khẩu truyền thống.

Các phương pháp xác thực không cần mật khẩu vừa phải ưu tiên trải nghiệm người dùng liền mạch trong khi vẫn phải đảm bảo khả năng tiếp cận cho người dùng khuyết tật. Cân bằng các yêu cầu bảo mật với tính năng dễ sử dụng và đáp ứng nhu cầu đa dạng của khách hàng cũng là một thách thức.

Một khó khăn nữa là quá trình khôi phục và quản lý tài khoản sẽ hoàn toàn thay đổi. Thay vì chỉ đặt lại mật khẩu như trước đây, các tổ chức cần phát triển cơ chế thay thế để người dùng lấy lại quyền truy cập vào tài khoản trong trường hợp mất thiết bị, thay đổi sinh trắc học hoặc một số trường hợp khác.

SINGAPORE CÓ THỂ TRỞ THÀNH QUỐC GIA “KHÔNG MẬT KHẨU”?

Do cơ sở hạ tầng trong nước hiện có, việc triển khai các hệ thống không mật khẩu sẽ rất phức tạp. Tuy nhiên, các phương pháp tân tiến như vậy chắc chắn có thể trở thành hiện thực trong tương lai với tốc độ phát triển kỹ thuật số của đảo quốc sư tử. Câu hỏi duy nhất hiện nay là liệu công chúng có sẵn sàng với những thay đổi như vậy không? Mặc dù một số hình thức xác thực không mật khẩu đã được triển khai diện rộng, nhưng có thể phải mất một khoảng thời gian nhất định trước khi phương pháp mới này được đồng bộ toàn diện.

Bảo Ngọc