CEO VinCSS Đỗ Ngọc Duy Trác: Đã đến lúc cho “mật khẩu” vào viện bảo tàng

Tổng Giám đốc Công ty Công ty TNHH Dịch vụ An ninh mạng VinCSS (Tập đoàn Vingroup), ông Đỗ Ngọc Duy Trác đã chia sẻ về hành trình “khó không tưởng” mà những kỹ sư Việt Nam đã băng qua thành đạt và khiến các hacker phải “đau đầu”.

Xóa mật khẩu chỉ với sót lại “chìa khóa”

VinCSS vừa ghi dấu ấn trong giới công nghệ toàn cầu khi cho chào đời sản phẩm khoá xác thực “VinCSS FIDO2 Authenticator” đạt tiêu chí FIDO2. Ông có thể giải thích 1 cách dễ hiểu nhất FIDO2 tức là gì?

FIDO2 là thuật ngữ cho bộ thông số kỹ thuật mới nhất của Liên minh Xác thực trực tuyến ngoài nước (FIDO Alliance). Với FIDO2, thay vì nhiều tên đăng nhập và mật khẩu ở các hệ thống, phần mềm khác nhau, người dùng chỉ xác thực một lần duy nhất với khóa, cũng đều có thể bằng vân tay hay khuôn mặt. Khóa này còn cũng có thể dạng vật lý hoặc dạng khóa mềm (ứng dụng trên các thiết bị di động). Khóa và máy chủ sẽ “nói chuyện” bằng thuật toán để xác nhận việc đăng nhập.

Vì sao chúng ta phải thay đổi cách dùng mật khẩu – điều được không ít người tin tưởng là lớp bảo vệ của riêng mình? Với chuẩn FIDO2, người dùng sẽ có lợi gì, thưa ông?

hai mươi năm qua, người dùng truy cập vào các ứng dụng, hệ thống theo cách: gõ tên, mật khẩu, trình duyệt sẽ gửi tin tức lên máy chủ để so sánh. Nếu trùng khớp, hệ thống sẽ cho người dùng đăng nhập. Cách làm này rất bất tiện vì người sử dụng phải nhớ nhiều mật khẩu và dễ bị tin tặc tấn công, ăn cắp mật khẩu.

Bởi thế, Liên minh FIDO (Fast IDentity Online) Alliance đã quyết định phải “xóa sổ” mật khẩu rời khỏi thế giới này, cả ở phía người sử dụng và trên hệ thống máy chủ. Với một cái khóa duy nhất mà chỉ mình người sử dụng có và chỉ kích hoạt được bằng các đặc điểm nhận dạng như vân tay, tròng mắt.., người sử dụng sẽ không phải ghi nhớ mật khẩu nữa. Thậm chí, chỉ trong vài năm tới, mật khẩu sẽ có cho vào… viện bảo tàng. Vì người sử dụng sẽ dần quên lãng và không còn định nghĩa mật khẩu trong đầu. Người dùng không cần ghi nhớ mật khẩu nên khỏi bị phising (giả mạo để lừa người dùng chia sẻ mật khẩu) hay cài ứng dụng độc hại để trộm mật khẩu. Ngoài ra, giữa khóa và máy chủ sẽ trò chuyện bằng thuật toán, không hề có dữ liệu người dùng. Tin tặc can thiệp vào cuộc nói chuyện này cũng không thể nhận được gì.

“Vượt khó” để sánh vai người khổng lồ

VinCSS đã phải trải qua những gì để băng qua tiêu chuẩn của Liên minh FIDO Alliance, thưa ông?

Đầu tiên chúng tôi băng qua rào cản tâm lý tự ti, vượt qua chính mình để chinh phục các thử thách và về đích trong vòng 9 tháng!

Kế đến là các thử thách công nghệ. Tiêu chuẩn FIDO2 xác thực yêu cầu sự chuẩn xác rất là nghiêm ngặt, với sai số thiết bị cực thấp. Ví dụ khi đang thử nghiệm, nhóm kỹ sư muốn lắp thêm một đèn led siêu nhỏ nhưng phát hiện, chỉ sự thay đổi điện thế cực kì nhỏ của chiếc đèn led đã gây sai số cả hệ thống. Sản phẩm sau đó phải trải qua công đoạn kiểm tra vô cùng chặt chẽ của FIDO Alliance. Đầu tiên là “Vòng tương thích công nghệ” để chắc chắn khóa có thể hoạt động với mọi ứng dụng, hệ thống máy chủ, trình duyệt bổ trợ FIDO trên thế giới. Để vượt qua vòng này, sản phẩm phải băng qua 180 bài test, mỗi bài chọn tình cờ một máy chủ, một ứng dụng để kiểm tra. Sản phẩm chỉ cần thất bại 1 trong 180 bài test sẽ bị trả về. Trong 2 ngày liên tục, chúng tôi cực kì căng thẳng, mọi thứ cùng tập trung vượt từng bài test. Chỉ khi mặt hàng của VinCSS xuất sắc đạt kết quả tuyệt đối vượt 180/180 bài test thì tất cả chúng tôi mới có thể thở phào nhẹ nhõm!

Vòng 2 là “Vòng sát hạch”, một hội đồng của FIDO Alliance sẽ kiểm tra, đem ra đồng loạt câu hỏi rất là chi tiết, hóc búa mà chỉ những người làm thật mới hiểu và trả lời được. Vượt qua vòng sát hạch, chúng tôi phải chuẩn bị và trình một bộ giấy tờ đặc tả mọi tham số kỹ thuật để hội đồng đánh giá.

Chính vì khó khăn như vậy nên trong đợt cấp chứng thực năm nay, chỉ có VinCSS của Việt Nam và tập đoàn KDDI của Hàn Quốc là thành viên mới lọt được vào danh sách các công ty và tập đoàn đang sở hữu chứng thư FIDO2 cho sản phẩm khoá xác thực.

Việt Nam bây giờ mới có mặt hàng theo chuẩn FIDO2 liệu có muộn không thưa ông?

So với thế giới, Việt Nam nằm ở phía trong nhóm nhanh và đi sớm. Chúng ta là quốc gia thứ 13 tự làm chủ công nghệ và sản xuất được sản phẩm theo chuẩn FIDO2 cùng theo với Mỹ, PCI, Canada, Anh, Đức…

Tháng 2/2019, hệ điều hành Android của Google tiền phong đạt chuẩn và bổ trợ FIDO2 trên hàng tỷ thiết bị di động chạy hệ điều hành này. Mới đây, tháng 9/2019, Apple vừa cập nhật bổ trợ chuẩn FIDO2 trong iOS 13.3 và hệ điều hành MacOS Catalina mới nhất. Tháng 10/2019, Microsoft cũng mới đạt chuẩn xác thực FIDO2 cho ứng dụng Windows Hello và bổ trợ FIDO2 trên nền tảng Azure. Ngay sau đó, tháng 12/2019, VinCSS đã chính thức đạt chuẩn FIDO2 cho sản phẩm khoá xác thực của riêng mình.

Là doanh nghiệp Việt trước mắt làm chủ công nghệ này, VinCSS có dự định gì trong thời gian tới?

Vấn đề an toàn mật khẩu của các doanh nghiệp thế giới nói chung và Việt Nam kể riêng vẫn rất lỏng lẻo. Với Việt Nam, nhiều doanh nghiệp lớn nội địa đang rất hứng thú với công nghệ của chúng tôi. Trước đó, biết bao nơi muốn làm khóa xác thực theo chuẩn mới nhưng dịch vụ này chưa có ở Việt Nam.

Sản phẩm trước mắt của chúng tôi – VinCSS FIDO2 Authenticator là phiên bản USB sẽ ra mắt năm 2020. Đây sẽ là bước khởi đầu trong chuỗi dịch vụ chuyển đổi hệ thống xác thực do VinCSS cung cấp cho dù là khoá xác thực cứng bổ trợ bluetooth, NFC, vân tay dưới nhiều hình thức như vòng đeo tay, nhẫn công nghệ cao,… hoặc khóa mềm dưới hình thức ứng dụng. Chúng tôi sẽ chia sẻ và phối hợp với các cơ quan, tố chức Việt Nam với chi phí rất hợp lý do đã làm chủ tận gốc mọi công nghệ.

Bên cạnh việc kinh doanh, theo định hướng phát triển mảng công nghệ của Tập đoàn Vingroup, chúng mình cũng muốn truyền cảm hứng để thúc đẩy các doanh nghiệp an toàn, an ninh mạng tham gia nghiên cứu phát triển. Bên cạnh đó, chúng tôi sẽ không ngừng nỗ lực vươn lên sớm hình thành nền công nghiệp an ninh mạng tự chủ, đủ năng lực vươn ra cạnh tranh trên thị trường thế giới.

C ảm ơn ông!