Sinh trắc học chưa thể thay thế mật khẩu

Với tất cả những lời hứa hẹn mà kỷ nguyên mới về xác thực đã đưa ra với sinh trắc học, khóa mã hóa, khóa truy cập và phân tích hành vi, thì mật khẩu vẫn chưa bị truất ngôi vương và tiếp tục là cơ chế xác thực đáng tin cậy nhất.

Bất kỳ ai biết đến câu chuyện cổ tích hàng thế kỷ “Alibaba và bốn mươi tên cướp” hoặc câu thần chú “vừng ơi, mở ra” đều biết rằng mật khẩu đã tồn tại từ thời xa xưa. Từ những người La Mã, họ đã biết sử dụng khẩu lệnh để xác định những chiến binh có là thành viên của một đơn vị quân đội hay không, cho đến các quán rượu bí mật, chỉ có thể vào bằng câu lệnh nhất định, nền văn minh nhân loại đã sử dụng mật khẩu như một phương tiện xác thực cá nhân liên tục trong suốt nhiều năm.

Với tất cả những tiến bộ công nghệ mà cuộc cách mạng kỹ thuật số đã mang lại, và với tất cả những lời hứa hẹn mà kỷ nguyên mới về xác thực đã đưa ra với sinh trắc học, khóa mã hóa, khóa truy cập và phân tích hành vi, thì mật khẩu vẫn chưa bị truất ngôi vương và tiếp tục là cơ chế xác thực đáng tin cậy nhất. Tại sao lại như thế, đó là điều quan trọng cần được đặt vấn đề..

Mặc dù hiện nay chúng ta đã quen với việc mở khóa điện thoại di động bằng việc quét dấu vân tay hoặc tính năng nhận diện khuôn mặt tích hợp, nhưng việc sử dụng mật khẩu thường xuyên vẫn là điều không tránh khỏi. Điều này là do phương thức xác thực mới, mặc dù tiện lợi, nhưng lại có tỷ lệ thất bại đáng kể. Tỷ lệ thất bại này không tồn tại đối với trường hợp là mật khẩu, tỷ lệ bỏ sót lý tưởng của NIST cho quét sinh trắc học là 0,001%. Ngay cả những máy quét sinh trắc học tốt nhất trên thị trường hiện nay cũng chưa đạt được tiêu chuẩn này.

Trên thực tế, khi nói đến việc bảo mật quyền truy cập vào các ứng dụng, sinh trắc học không có tác dụng thực tế và chỉ đóng vai trò như một mặt tiền tiện lợi. Mật khẩu vẫn là nền tảng để hình thành các hình thức xác thực mới này. Cho dù đó là sinh trắc học, khóa mật khẩu hay TOTP, danh tính kỹ thuật số đều được liên kết với một mật khẩu dạng văn bản đơn giản, truyền thống.

Tuy nhiên, tính hiệu quả không phải là lý do duy nhất khiến mật khẩu vẫn tiếp tục là trụ cột của lĩnh vực xác thực. Có một vài lý do phức tạp hơn nữa.

 

Nhiều người dùng điện thoại thông minh đặt sự tiện lợi lên trên bảo mật, bỏ qua sự uy tín mà phương pháp mật khẩu đã được áp dụng cho đến nay. Tuy nhiên, trái ngược với thực tế này, nhóm người dùng này cũng không phải là những người ngay lập tức áp dụng các phương pháp xác thực mới hơn do thiếu sự quen thuộc với các công nghệ này.

Một nghiên cứu gần đây cho thấy chỉ có 25% người dùng tin rằng sinh trắc học là một phương án thay thế an toàn hơn. Điều này cho thấy rằng, bất kể các hình thức xác thực mới dễ dàng hơn như thế nào trong hoạt động đăng nhập hàng ngày của một người, người dùng trung bình đều được lập trình để tin rằng mật khẩu là hình thức xác thực an toàn nhất. Mặt khác, báo cáo khảo sát Chỉ số Thanh toán 2022 của Mastercard cho thấy tại Việt Nam, hơn 3/4 người tiêu dùng sử dụng công nghệ xác thực sinh trắc học để xác minh danh tính (78%) và thanh toán (76%). Tỷ lệ này vượt qua việc sử dụng mã PIN, mật khẩu và các phương thức xác thực khác. Tuy nhiên, lo ngại về quyền riêng tư cản trở phần lớn người dùng, với 71% người trả lời bày tỏ lo lắng đến việc các đơn vị có quyền truy cập dữ liệu sinh trắc học của họ.

Đội ngũ CNTT doanh nghiệp, được thúc đẩy bởi nhu cầu đáp ứng các tiêu chuẩn tuân thủ và ưu tiên bảo mật CNTT, có xu hướng áp dụng phần mềm an toàn nhất có sẵn. Do đó, họ cởi mở hơn trong việc thử nghiệm các công nghệ xác thực mới hơn khi chúng xuất hiện. Tuy nhiên, ngay cả đối với những nhóm này, các cơ chế xác thực mới nhất cũng đặt ra những thách thức cho việc triển khai toàn diện. Tính khả thi của việc kết hợp các công nghệ này không hoàn toàn thực tế, khi xem xét các yếu tố như chi phí và nhu cầu đào tạo nhân viên.

Doanh nghiệp sẽ không loại bỏ hoàn toàn mật khẩu, ít nhất là chưa.

Mật khẩu ở quy mô doanh nghiệp dễ triển khai hơn nhiều so với các cơ chế xác thực mới hơn. Chiến lược bảo mật dựa trên mật khẩu toàn diện có thể được triển khai trên toàn bộ doanh nghiệp ở mọi quy mô mà không cần thêm phần cứng nào. Phần cứng cấp doanh nghiệp cho dấu vân tay hoặc nhận dạng khuôn mặt rất đắt tiền và do đó khó mở rộng quy mô hơn mà không làm hao hụt ngân sách CNTT.

Ngoài ra, việc áp dụng các hình thức xác thực mới liên quan đến sự thay đổi hoàn toàn so với hiện trạng, đòi hỏi nhân viên phải nội bộ hóa sự thay đổi triệt để đó thông qua đào tạo, nếu thiếu đào tạo sẽ dẫn đến khó khăn trong việc triển khai. Các doanh nghiệp quy mô lớn vẫn sử dụng các máy chủ ứng dụng (mainframe application) để lưu trữ dữ liệu trong nhiều thập kỷ chỉ đơn giản vì việc chuyển chúng sang một nơi khác sẽ tốn kém hơn việc duy trì các ứng dụng. Tương tự, việc chuyển đổi toàn diện từ mật khẩu sang các hình thức xác thực khác trên phạm vi toàn doanh nghiệp hoàn toàn mang theo rủi ro sai sót tài chính, ngay cả trong trường hợp tốt nhất.

Hơn nữa, các cơ chế xác thực dựa trên mật khẩu, do có mặt từ lâu, có sẵn hỗ trợ kỹ thuật tốt nhất và hầu hết các vấn đề có thể phát sinh khi nhóm CNTT doanh nghiệp xử lý mật khẩu đã có sẵn. Do đó, mật khẩu cho phép giải quyết các yêu cầu hỗ trợ từ xa, nhanh chóng.

Điều đó cho thấy, mật khẩu vẫn sẽ được sử dụng. Do tính quen thuộc và tính linh hoạt mà chúng mang lại, việc sử dụng mật khẩu sẽ tiếp tục nổi bật trong số các phương pháp xác thực mới hơn. Mặc dù không chắc mật khẩu sẽ biến mất ngay lập tức, vì các hình thức xác thực mới hơn vẫn đang ở giai đoạn đầu, mật khẩu sẽ đóng vai trò quan trọng trong việc hỗ trợ người dùng áp dụng các phương pháp xác thực sắp tới.

Có thể bạn quan tâm
Bảo vệ nhiều lớp, nâng cao nhận thức người dùng là cách tốt nhất phòng chống lừa đảo trên mạng

Ứng dụng công nghệ AI xuyên suốt toàn bộ quá trình sử dụng ứng dụng nhằm phát hiện các dấu hiệu bất thường, từ đó cảnh báo và ngăn chặn ngay từ đầu các hình thức tấn công, cũng như nâng cao nhận thức là cách MoMo đang làm triệt để nhằm bảo vệ tài sản và dữ liệu cá nhân của người dùng.

Ra mắt Amazon Q, trợ lý AI thúc đẩy phát triển phần mềm và khai thác dữ liệu nội bộ doanh nghiệp

Amazon Web Services (AWS) vừa công bố bản thương mại Amazon Q, dịch vụ trợ lý trí tuệ nhân tạo (AI) giúp các doanh nghiệp rút ngắn thời gian phát triển phần mềm và tận dụng dữ liệu nội bộ hiệu quả.

Ba yếu tố để đảm bảo chiến lược AI hiệu quả

Với việc trí tuệ nhân tạo (AI) được thiết lập để hỗ trợ hầu hết mọi ngành công nghiệp, có một điều rõ ràng mà các công ty, tổ chức doanh nghiệp cần phải nghĩ tới đó là: Đã đến lúc bắt đầu suy nghĩ về cách để đảm bảo chiến lược AI hiệu quả vào doanh nghiệp của bạn.

Hiểu AI để làm giàu hành trang nghề nghiệp

Gần 2.000 sinh viên tại TPHCM được trải nghiệm thực tế các sản phẩm AI hữu ích của Google và tham gia phiên đào tạo trong hội thảo “Hiểu AI làm giài hành trang nghề nghiệp” kéo dài cả ngày.

3 xu hướng nổi trội sẽ định hình tương lai thanh toán tại Việt Nam

Diễn đàn Thanh toán Mở (Open Payments Forum) của Visa vừa mở ra, đã phác lên bức tranh tương lai thanh toán tại Việt Nam, nêu bật những công nghệ thanh toán mới trong bối cảnh tiêu dùng thương mại điện tử ngày một gia tăng.

Hội nghị và Triển lãm Biztech Việt Nam 2024: Chuyển đổi xanh – Tăng trưởng bền vững

Hội nghị và Triển lãm Biztech Việt Nam 2024 chủ đề “Chuyển đổi số xanh – Tăng trưởng bền vững” đã được khai mạc hôm nay 10/5/2024. Đây là lần thứ hai chương trình được tổ chức bởi Hiệp hội Phần mềm và Dịch vụ CNTT Việt Nam (VINASA) nhằm mục đích kết nối B2B, B2B2C, thúc đẩy chuyển đổi số trong khối doanh nghiệp.

Chỉ sau 12 ngày triển khai trên Zalo, Mini App của Bà Rịa – Vũng Tàu thu hút 18.000 người dùng

Sau 12 ngày triển khai mini app trên Zalo, BR-VT Smart của tỉnh Bà Rịa – Vũng Tàu ghi nhận gần 18.000 người dùng mới và 22.000 lượt truy cập.

Lập trình viên FPT Software thích thú sử dụng trợ lý GitHub Copilot, giúp code nhanh và chính xác

Cũng giống như nhiều lĩnh vực khác trong xã hội, trí tuệ nhân tạo (AI) đang đóng vai trò ngày một quan trọng trong việc phát triển phần mềm khi giúp các lập trình viên gia tăng đáng kể năng suất, hiệu quả và tính sáng tạo.

Amazon Bedrock ra mắt tính năng mới, giúp doanh nghiệp xây dựng, mở rộng ứng dụng AI tạo sinh an toàn

Ngày 6/5, Amazon Web Services (AWS) công bố ra mắt các tính năng mới của Amazon Bedrock nhằm cung cấp cách thức dễ dàng, nhanh chóng và an toàn nhất cho khách hàng trong việc phát triển các ứng dụng và trải nghiệm trí tuệ nhân tạo (AI) tạo sinh tiên tiến.

FPT IS và ngân hàng SHBFinance hoàn thành đánh giá cấp chứng chỉ PCI DSS 4.0 ở mức độ cao nhất

Vượt qua 12 yêu cầu khắt khe trong tiêu chuẩn bảo mật dữ liệu thanh toán PCI DSS, SHBFinance đã nhận được chứng chỉ bảo mật quốc tế PCI DSS 4.0 Level 1. Chứng chỉ được cấp bởi FPT IS – đơn vị QSA (Qualified Security Assessor) được công nhận bởi Hội đồng PCI SSC.