Xác thực bằng mật khẩu và OTP tiềm ẩn nhiều rủi ro, có thể bị đánh cắp

Theo Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Huy Dũng, phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro, do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.

Rời khỏi vùng trũng về xác thực

Ngày 17.10, Bộ Thông tin và Truyền thông (Bộ TTTT) phối hợp với các cơ quan liên quan tổ chức hội thảo “Vai trò của chữ ký số cá nhân trong giao dịch thanh toán điện tử“.

Phát biểu tại hội thảo, ông Nguyễn Huy Dũng, Thứ trưởng Bộ TTTT cho biết, vấn đề đảm bảo an toàn trong các giao dịch, đặc biệt là giao dịch điện tử, thanh toán điện tử của khách hàng và các nhà đầu tư trong ngành tài chính ngân hàng, bảo hiểm, chứng khoán vẫn luôn được đặt lên ưu tiên hàng đầu.

Tuy nhiên, phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro, do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.

Theo báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu đô la Mỹ mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.

Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ hacker tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.

“Để đạt mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của các cơ quan nhà nước và sự tham gia tích cực của hiệp hội các ngân hàng và doanh nghiệp công nghệ.

Chữ ký số là giải pháp được quốc tế và Việt Nam công nhận về tính pháp lý, có thể giải quyết triệt để các nguy cơ an ninh trong giao dịch trực tuyến đặc biệt là giao dịch ngân hàng điện tử“, ông Dũng cho biết.

4 thách thức cản trở việc sử dụng chữ ký số

Tại hội thảo, ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội Ngân hàng Việt Nam cho biết, trên thực tế chữ ký điện tử đã được sử dụng phổ biến trong lĩnh vực tài chính ngân hàng để ký kết và xác thực hợp đồng điện tử; ký số cho hoá đơn điện tử; xác minh danh tính của khách hàng khi thực hiện các giao dịch trực tuyến, mở tài khoản mới hoặc truy cập vào dịch vụ trực tuyến.

Ngoài sử dụng chữ ký điện tử trong hoạt động ngân hàng, các ngân hàng còn thỏa thuận với khách hàng sử dụng phương thức xác thực là mật khẩu đăng nhập kết hợp với mã xác thực được ngân hàng gửi tới khách hàng để xác thực khách hàng (OTP, Token OTP…) trong các giao dịch ngân hàng trực tuyến.

Tuy nhiên, theo ông Hùng, hiện tại, hầu hết chữ ký số mới chỉ được sử dụng trong các giao dịch nội bộ ngân hàng hoặc giao dịch của các doanh nghiệp mà chưa áp dụng rộng rãi đến với khách hàng cá nhân, vốn chiếm đa số trong các giao dịch của ngành ngân hàng.

Theo báo cáo sơ bộ của các ngân hàng, chỉ ghi nhận 5% tổng số khách hàng giao dịch là đã có và đang sử dụng chữ ký số. Nguyên nhân đầu tiên là chi phí cho chữ ký số cá nhân vẫn còn khá lớn nên đa phần người dân chưa có chữ ký số cá nhân. Ngân hàng cũng cần chi phí đầu tư để tích hợp hệ thống, mua chữ ký số cho cán bộ nhân viên, chi phí hạ tầng cho các nền tảng ký số, xác thực chữ ký số.

Nguyên nhân thứ 2 là việc tiếp cận, mua và sử dụng chữ ký số còn chưa thực sự thuận tiện với khách hàng. Hệ thống hạ tầng của các nhà cung cấp chữ ký số cũng chưa đảm bảo.

Nguyên nhân thứ 3 là nhiều khách hàng vẫn chưa quen với việc ký số, quan ngại về giá trị pháp lý của chữ ký số, nhất là khi xảy ra tranh chấp, tham gia thủ tục tố tụng tại tòa.

Nguyên nhân cuối cùng là việc áp dụng chữ ký số với các giao dịch ngân hàng, nhất là với số lượng khổng lồ các giao dịch giá trị nhỏ có thể làm hệ thống trở nên nặng nề và làm ảnh hưởng đến chất lượng dịch vụ và tính phổ cập các dịch vụ điện tử ngân hàng đòi hỏi tốc độ nhanh trong công tác xử lý.

Khánh An