Việt Nam đã có bảo mật không… mật khẩu

Sản phẩm đầu tiên – VinCSS FIDO2 Authenticator là phiên bản USB sẽ ra mắt năm 2020

Thẻ ATM trong tay, tiền vẫn chưa cánh… bay

Những ngày cuối năm 2019, dân sinh mạng được phen xôn xao vì nhiều đoạn video clip mẫn cảm của 1 ca sỹ nổi tiếng bất ngờ xuất hiện trên mạng xã hội. Theo hình ảnh được phát tán, nhiều khả năng đoạn clip kẻ xấu có được do đột nhập camera cá nhân. Nguyên nhân có thể xuất phát từ việc chủ nhà dùng mật khẩu cho tài khoản camera rất dễ đoán và không thay đổi thường xuyên.

Vụ việc chưa có hồi kết này khiến nhiều người nhớ tới buổi lễ trước đó vài tháng, một tài khoản trên diễn đàn Raidforums cho thấy đang nắm giữ tin tức 2 triệu người sử dụng của một ngân hàng tại Việt Nam.

Thông tin mới đầu được người này ban bố bao gồm tên khách hàng, số chứng minh nhân dân, ngày sinh, giới tính, công việc, điện thoại, địa chỉ, email. Tài khoản trên dọa sẽ sớm tải lên bản đầy đủ tin tức của 2 triệu tài khoản này và cho dù là cả người dùng nhiều ngân hàng khác.

Trước đó, một sự kiện tương tự từng gây rúng động là một hacker nước ngoài bất thần công bố đã có trong tay thông tin 5 triệu khách hàng của TGDĐ. Những tin tức này cho dù là email, lịch sử giao dịch và thậm chí cả thẻ tín dụng.

Ít lâu sau, hệ thống bán lẻ FPT Shop cũng bị hacker tung hàng loạt tin tức về phiếu mua hàng, đơn đăng ký thành viên và các dữ liệu cá nhân của của khách hàng.

Không chỉ lộ thông tin, có những vụ việc mà người dùng phải chịu cảnh “khóc dở mếu dở” vì tiền trong tài khoản không cánh mà bay. Còn nhớ, hồi đầu năm 2019, một khách hàng ở Hà Nội đã lên tiếng việc số chi phí hơn 39 triệu vnd trong tài khoản bị kẻ gian rút trộm trong khoảng gần đầy 10 phút, dù thẻ ATM vẫn nằm ở phía trong túi. Một người phụ nữ cũng từng mất gần 30 triệu đồng theo phương pháp tương tự.

Theo các chuyên gia công nghệ, những khách hàng này có thể đã bị kẻ xấu dùng camera để lén ghi lại mật khẩu khi người sử dụng đăng nhập tại những điểm sử dụng thẻ. Một trong các thủ đoạn thông dụng khác là phishing (giả mạo), nghĩa là hacker lập ra các trang web giả, lừa người dùng truy cập sau đó ăn cắp tên đăng nhập và mật khẩu.

Kỳ vọng vào kỷ nguyên đăng nhập không mật khẩu

Việc rò rỉ dữ liệu chẳng những xuất phát từ phía người dùng. Vụ việc 419 triệu giấy tờ người dùng Facebook bị lộ trong đấy có 50 triệu tài khoản ở Việt Nam mới này là một ví dụ. Theo đánh giá, nhiều khả năng, hệ thống máy server được bảo quản bằng mật khẩu còn thiếu chặt chẽ nên dữ liệu đã bị nhiều người tải xuống.

Đó là những nguyên nhân mà của Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) đã kêu gọi xóa khỏi mật khẩu khỏi thế giới. Thuật ngữ FIDO2 sinh ra sau đây chính là bộ thông số kỹ thuật mới nhất của liên minh này với mong muốn người dùng bỏ hẳn khái niệm mật khẩu và chỉ xác thực một lần duy nhất ở mọi hệ thống với khóa xác thực.

Khóa này còn có thể dạng vật lý hoặc dạng khóa mềm (ứng dụng trên các thiết bị di động), người dùng chỉ cần xác thực với khoá đang cầm trên tay, khóa và máy server sẽ “nói chuyện” bằng thuật toán xác thực để xác nhận việc đăng nhập, vai trò của mật khẩu truyền thống không còn nữa và cũng có thể có thể dẹp bỏ.

Với người trong ngành công nghệ như ông Nguyễn Phi Kha, Giám đốc Nghiên cứu & Phát triển Công ty TNHH Dịch vụ An ninh mạng VinCSS (thuộc Tập đoàn Vingroup), đó là việc làm tận gốc mới tạo nền tảng đảm bảo an ninh mạng vượt trội. Theo ông, khi người sử dụng không hề nắm bắt mật khẩu thì chẳng thể bị phishing (giả mạo để lừa người dùng chia sẻ mật khẩu) hay bị cài ứng dụng độc hại để đánh cắp mật khẩu. Đặc biệt, khóa và máy chủ “nói chuyện” bằng thuật toán, không hề có dữ liệu người dùng. Bởi thế, cho dù tin tặc can thiệp vào cuộc chuyện trò này thì cũng chẳng thể thu được bất cứ tin tức nào.

Ông khẳng định, ngoài nước đang sẵn có làn sóng dịch chuyển hùng cường sang FIDO2, ví dụ, hồi tháng 9/2019, Apple đã cập nhật khóa bảo mật chuẩn FIDO2 để cải thiện quy trình xác thực. Tháng 10/2019, Microsoft cũng mới ứng dụng chuẩn xác thực FIDO2 vào phần mềm Windows Hello.  

Đáng nói là tháng 12/2019, mặt hàng khoá xác thực “VinCSS FIDO2 Authenticator” của VinCSS cũng đã chính thức đạt chuẩn FIDO2. Thông tin một doanh nghiệp Việt thực hiện được điều này đã khiến giới công nghệ không khỏi ngỡ ngàng.

Chuyên gia an ninh mạng Triệu Trần Đức thừa nhận, FIDO2 là chuẩn phức tạp và không nhiều công ty trên toàn cầu có đủ năng lực để làm ra mặt hàng đạt chuẩn này. Trước Việt Nam, chỉ có 12 quốc gia làm chủ được công nghệ và sản xuất sản phẩm theo chuẩn FIDO2 với các tên tuổi lớn như: Google, Apple, Microsoft, Fujitsu, Kensington,…  

“Một công ty của Việt Nam trong 1 thời gian tính bằng tháng có thể nghiên cứu, sản xuất và chứng nhận đạt chuẩn FIDO2 là việc chưa từng có và tôi nghĩ cũng khó có thể lặp lại”, chuyên gia Triệu Trần Đức lên tiếng.

Vị chuyên gia này khẳng định: kỷ nguyên đăng nhập chẳng cần mật khẩu sẽ sớm phổ biến. Với ông, loại bỏ mật khẩu sẽ xử lý nhiều vấn đề cơ bản của an ninh, an toàn thông tin.

Đồng tình, ông Nguyễn Minh Đức, nhà sáng lập – Giám đốc Công ty Cổ phần An toàn thông tin CyRadar thừa nhận, việc doanh nghiệp Việt Nam nghiên cứu và sản xuất thành công mặt hàng đạt chỉ tiêu quốc tế là một bước tiến lớn trên con đường đưa Việt Nam trở thành nước mạnh về an toàn, an ninh mạng.

“Sự kiện này tạo động lực và niềm tin để hệ sinh thái mặt hàng an toàn tin tức nội địa cùng nhau hướng tới thị trường toàn cầu”, ông Đức đánh giá.

Về phần mình, ông Nguyễn Phi Kha tiết lộ, ngay tại Việt Nam, biết bao doanh nghiệp lớn trong nước đang tỏ ra hứng thú với mặt hàng mới của VinCSS. Các doanh nghiệp, tổ chức muốn triển khai xác thực theo chuẩn mới nhưng vẫn không biết làm như ra sao vì dịch vụ này chưa xuất hiện ở Việt Nam.

Giám đốc R&D VinCSS cũng khẳng định, mặt hàng trước mắt – VinCSS FIDO2 Authenticator là phiên bản USB sẽ ra mắt năm 2020. Tuy nhiên, đây chỉ là bước khởi đầu.”Điều mà VinCSS hướng tới là chuỗi dịch vụ chuyển đổi hệ thống xác thực kể cả các chủng loại khoá xác thực cứng hỗ trợ bluetooth, NFC (Near-field communication – cấp phép hai thiết bị ở khoảng cách 4cm sẽ kết nối và giải quyết theo lập trình), vân tay hoặc khóa mềm qua phần mềm di động”, ông Kha cho biết.