Table of Contents
Công nghệ xác thực ra đời, nhằm bảo vệ tài khoản người dùng khỏi những cuộc đột nhập trái phép. Hiện nay, có các cách xác thực phổ biến nào? Đâu là phương thức xác thực tốt nhất dành cho các cá nhân và tổ chức?
Xác thực là gì?
Tưởng tượng có một sự kiện chỉ mở cửa cho những người được mời. Bạn tới đó, bằng mọi cách phải chứng minh cho bảo vệ bạn là người được mời. Có thể bằng việc cung cấp thư mời, căn cước công dân, đọc mật khẩu, hoặc thậm chí sẽ có camera kiểm tra nhận diện khuôn mặt xem có trùng khớp.
Xác thực trên môi trường số cũng giống như vậy. Xác thực là quá trình kiểm tra và xác nhận danh tính của một người dùng trước khi cho phép truy cập vào một hệ thống hoặc dịch vụ. Xác thực nhằm đảm bảo dữ liệu và tài sản của bạn được truy cập và sử dụng an toàn.
4 phương thức xác thực phổ biến nhất hiện nay
- Xác thực bằng mật khẩu
- Xác thực bằng sinh trắc học
- Xác thực 2 yếu tố 2FA và đa yếu tố MFA
- Xác thực không mật khẩu FIDO2
1. Xác thực bằng mật khẩu
Mật khẩu hay mật mã vốn đã được ra đời và sử dụng từ thời cổ đại khi quân lính buộc phải ghi nhớ khẩu hiệu bí mật mới được tiếp cận những khu vực quan trọng. Vào thế kỷ 20, khi công nghệ phát triển, mật khẩu kỹ thuật số được phát minh và cho đến nay công nghệ xác thực này đã tồn tại gần một thế kỷ.
Mật khẩu là một “bí mật được ghi nhớ”, tạo thành một tập hợp chuỗi chữ cái, con số và ký tự đặc biệt. Chẳng hạn, mật khẩu đăng nhập vào Facebook của bạn là “$@6688abc”.
| Ưu điểm | Nhược điểm |
| Quen thuộc: Mật khẩu xuất hiện từ hơn 60 năm trước và là phương thức đăng nhập thông dụng nhất hiện nay. Dễ triển khai: Triển khai hệ thống xác thực dựa trên mật khẩu tương đối đơn giản, không có nhiều yêu cầu đặc biệt về phần cứng hay phần mềm. Linh hoạt: Người dùng có thể tự tạo hay tự thay đổi mật khẩu dễ dàng. | Dễ bị tấn công: Mỗi giây trôi qua, 1728 mật khẩu bị hack, tương đương 111 triệu mật khẩu bị lộ mỗi ngày. Cơ chế bảo mật của mật khẩu từ lâu đã được chứng minh khó chống lại các tấn công mạng điển hình. Phiền phức: Người dùng phải ghi nhớ rất nhiều mật khẩu cùng một lúc, và thường xuyên phải xử lý sự cố do quên mật khẩu. Lãng phí: Sử dụng và quản lý mật khẩu gây lãng phí thời gian, nhân lực và tài nguyên hạ tầng, ảnh hưởng đến hiệu suất công việc của cá nhân và tổ chức. |
2. Xác thực bằng sinh trắc học
Các đặc điểm sinh trắc học được coi là một trong những cách thức xác thực tài khoản an toàn nhất hiện nay. Xác thực bằng sinh trắc học có thể chia thành hai nhóm chính: dựa trên thuộc tính vật lý và dựa trên hành vi.
Xác thực thông qua thuộc tính vật lý chính là các yếu tố nhận dạng độc nhất trên cơ thể mỗi người, như khuôn mặt, dấu vân tay, hình dạng bàn tay, võng mạc, mống mắt, giọng nói,… được coi là phổ biến nhất.
Với sinh trắc học hành vi, hệ thống nhận diện và xác minh người dùng bằng cách theo dõi và phân tích cử chỉ, hành động đặc trưng, không thể bắt chước được như dáng đi, tốc độ gõ phím, chuyển động của bàn tay khi ký tên,…
Thậm chí ngày nay, một số hệ thống còn có khả năng nhận diện người qua mùi hương cơ thể.
| Ưu điểm | Nhược điểm |
| Không thể bị mất: Bạn có thể quên mật khẩu nhưng dấu vân tay thì không, bởi sinh trắc học là yếu tố luôn gắn liền với người dùng. Dễ sử dụng: Bạn không cần ghi nhớ như mật khẩu hay mang theo thiết bị xác thực nào, chỉ cần dùng gương mặt, vân tay,… vốn sẵn có trên cơ thể. Dễ tích hợp: Các công nghệ sinh trắc học có thể dễ dàng tích hợp vào các thiết bị di động, máy tính, hoặc các hệ thống, ứng dụng. | Không thể thay đổi: Mật khẩu có thể sửa đổi, nhưng đặc điểm sinh trắc thì không. Một khi dữ liệu sinh trắc học bị lộ lọt vào tay tin tặc, người dùng sẽ không thể thay đổi để bảo vệ tài khoản của mình. Có thể bị giả mạo: Đã có nhiều công nghệ tinh vi có khả năng đánh lừa máy quét sinh trắc học. Đơn cử, công nghệ deepfake dựa trên AI có thể giả giọng nói hay gương mặt, được tin tặc sử dụng ngày một rộng rãi nhằm. Vấn đề quyền riêng tư: Sinh trắc học là dữ liệu cá nhân nhạy cảm. Việc thu thập và lưu trữ sinh trắc học có thể liên quan đến quyền riêng tư và an ninh dữ liệu. Chi phí triển khai: Chi phí triển khai và vận hành hệ thống sinh trắc học thường cao do cần nhiều thiết bị và công nghệ phức tạp để thu thập và xử lý dữ liệu. |
3. Xác thực 2 yếu tố 2FA (Two-Factor Authentication) và đa yếu tố MFA (Multi-Factor Authentication)
Thay vì chỉ xác thực qua một bước như nhập mật khẩu, 2FA và MFA yêu cầu bạn cung cấp hai hoặc nhiều hơn trong số ba yếu tố bảo mật căn bản, bao gồm:
- Yếu tố kiến thức (Something you know): Thứ mà chỉ bạn biết, như mật khẩu, mã PIN hoặc câu hỏi bảo mật,…
- Yếu tố sở hữu (Something you have): Thứ mà bạn sở hữu, như điện thoại di động, thẻ thông minh, khóa bảo mật,…
- Yếu tố vốn có (Something you are): Yếu tố sinh trắc học duy nhất của bạn, như vân tay, khuôn mặt, mống mắt, giọng nói,…
Ví dụ, khi thực hiện lệnh chuyển tiền online, ứng dụng ngân hàng yêu cầu bạn nhập mật khẩu (yếu tố kiến thức), sau đó quét gương mặt (yếu tố vốn có) mới xác thực thành công.
Lưu ý: Hai hay đa yếu tố trong 2FA và MFA phải thuộc các nhóm hoàn toàn khác nhau. Ví dụ, bạn đăng nhập vào tài khoản mạng xã hội bằng cách nhập mật khẩu và trả lời một câu hỏi bảo mật (như liên hệ gần đây nhất của bạn là ai). Dù gồm hai bước thực hiện riêng biệt nhưng đây vẫn là xác thực một yếu tố, bởi mật khẩu và câu hỏi bảo mật thực ra đều thuộc cùng nhóm Yếu tố kiến thức (Something you know).
| Ưu điểm | Nhược điểm |
| Thêm lớp bảo mật: 2FA và MFA cung cấp một lớp bảo mật bổ sung cho tài khoản. Dễ triển khai: 2FA và MFA trở nên phổ biến bởi có thể dễ dàng triển khai trên điện thoại, máy tính và các thiết bị bảo mật. Linh hoạt và tùy chỉnh: Các cá nhân và tổ chức có thể lựa chọn và kết hợp các yếu tố xác thực tuỳ theo nhu cầu và sở thích. | Thêm thao tác, cồng kềnh: Bạn phải thực hiện thêm thao tác và mất thêm thời gian đăng nhập. Điều này có thể gây phức tạp và khó sử dụng với một số người dùng. Lỗi kỹ thuật: Các lỗi kỹ thuật có thể làm gián đoạn quá trình xác thực. |
4. Xác thực không mật khẩu FIDO2
Xác thực mạnh không dùng mật khẩu theo chuẩn FIDO2 được ví như cuộc cách mạng về xác thực. Được phát triển bởi Liên minh Xác thực Trực tuyến Thế giới FIDO Alliance phát triển với hơn 250 thành viên là các ông lớn công nghệ toàn cầu như PayPal, VISA, Microsoft, FIDO2 hứa hẹn sẽ thiết lập tương lai bảo mật mới khi cho phép người dùng đăng nhập không cần mật khẩu một cách an toàn, tiện lợi và nhanh chóng.
Sử dụng hạ tầng khóa công khai PKI (Public Key Infrastructure), xác thực mạnh không mật khẩu FIDO2 loại bỏ việc cung cấp và phát tán các thông tin đăng nhập nhạy cảm như mật khẩu, mật mã, thông tin sinh trắc học,… giúp giảm thiểu 99,99% nguy cơ bị lộ lọt thông tin và tấn công mạng.
Thay vì nhập password, FIDO2 sử dụng passkey (khóa bảo mật) để đăng nhập và xác thực. Hiện có hai loại passkey phổ biến:
a. Khóa truy cập (synced passkey)
Synced passkey cho phép các thiết bị như điện thoại, máy tính, máy tính bảng trở thành một chiếc khóa bảo mật. Synced passkey sẽ được hợp sẵn trên trình duyệt và ứng dụng phổ biến như Google, Microsoft, TikTok,… Sau khi đăng ký xác thực bằng sycned passkey, bạn chỉ cần quét khuôn mặt, ấn vân tay, nhập mã PIN là có thể đăng nhập.
b. Khóa bảo mật vật lý (device bound passkey)
Khóa bảo mật vật lý là thiết bị phần cứng cỡ nhỏ, dùng để hỗ trợ giữ bảo mật cho tài khoản của bạn. Các khóa này sẽ được kết nối với thiết bị qua cổng USB, lightning, bluetooth hoặc NFC. Khóa bảo mật vật lý là hình thức xác thực có độ bảo mật cao nhất hiện nay. Hiện nhiều ngân hàng và tổ chức công nghệ tài chính lớn trên thế giới đều yêu cầu bắt buộc người dùng phải sử dụng khóa bảo mật vật lý để bảo vệ tài khoản và tài sản của mình. Nhiều doanh nghiệp lớn cũng yêu cầu toàn bộ nhân sự, đặc biệt là nhân sự cấp cao sử dụng khóa bảo mật để hạn chế tôi đa việc bị tấn công và xâm nhập vào hệ thống nội bộ.
| Ưu điểm | Nhược điểm |
| Bảo mật cao: Cơ chế mã hoá dựa trên cặp khoá công khai – khóa riêng tư tạo nên tính bảo mật gần như tuyệt đối của công nghệ FIDO2. Trong đó, khoá riêng tư dùng để xác thực sẽ luôn lưu trữ trong thiết bị của người dùng, không được truyền tới server hay lọt vào bên thứ 3 nào khác.Microsoft cho biết xác thực không mật khẩu giúp giảm 99,9% nguy cơ bị tấn công lừa đảo đánh cắp danh tính. Tiện lợi và nhanh chóng: Người dùng không cần phải ghi nhớ hay thay đổi thường xuyên mật khẩu, thay vào đó là vài giây thực hiện các thao tác xác thực đơn giản như quét gương mặt, vân tay. Đa nền tảng: FIDO2 hỗ trợ trên nhiều nền tảng và thiết bị. Khả năng mở rộng quy mô: FIDO2 là một tiêu chuẩn mở, cho phép các doanh nghiệp và tổ chức triển khai dễ dàng và linh hoạt theo sự thay đổi quy mô. Với FIDO2, doanh nghiệp có thể mang lại trải nghiệm đăng nhập an toàn, bảo mật cao và tiện lợi cho nhân viên, khách hàng và đối tác. | Chưa quen thuộc với người dùng: Thói quen sử dụng mật khẩu và ngại thay đổi của người dùng khiến công nghệ xác thực FIDO2 chưa phổ biến như các phương thức truyền thống khác. Tuy nhiên, những năm gần đây, thế giới đang chứng kiến làn sóng đăng nhập “không mật khẩu” với FIDO2 diễn ra toàn cầu, đi đầu là Apple, Google và Microsoft. Vấn đề triển khai: Việc triển khai FIDO2 tại doanh nghiệp vẫn cần tư vấn từ phía các nhà cung cấp dịch vụ, đòi hỏi quá trình đào tạo, chuyển đổi, tuỳ chỉnh lại hệ thống và hỗ trợ từ các bên liên quan. |
Cách xác thực nào là tốt nhất?
Việc lựa chọn phương thức xác thực tốt nhất phụ thuộc vào nhu cầu cụ thể cũng như những ưu tiên riêng của từng người dùng cá nhân và doanh nghiệp. Dưới đây là các tiêu chí quan trọng để đánh giá và quyết định đâu là phương thức bảo mật tài khoản phù hợp nhất.
Tính bảo mật
Bảo mật là yêu cầu tối quan trọng với bất cứ cá nhân, doanh nghiệp nào, đặc biệt trong môi trường số ngày càng phức tạp như hiện nay.
Hiện nay, xác thực mạnh không mật khẩu theo tiêu chuẩn quốc tế FIDO2 được giới chuyên gia đánh giá có mức độ bảo mật vượt trội. Giao thức sử dụng cặp khóa công khai và khóa bí mật của FIDO2 được chứng minh đã tạo ra thay đổi bước ngoặt trong cách mã hoá thông tin, giúp khắc phục tối đa lỗ hổng bảo mật so với các phương thức xác thực trước đó
Trải nghiệm người dùng
Phương thức xác thực hiệu quả phải thỏa mãn tính tiện lợi khi sử dụng, không nên có quá nhiều bước xác thực hay yêu cầu kỹ thuật phức tạp. Đó là lý do công nghệ xác thực FIDO2 ra nhằm xoá bỏ sự phụ thuộc vào mật khẩu, giúp quá trình đăng nhập nhanh hơn gấp nhiều lần so với phương thức cũ.
Bên cạnh đó, cần xem xét phương thức đó xác thực có hỗ trợ trên đa nền tảng, hay có khả năng đồng bộ hoá khi truy cập nhiều thiết bị khác nhau không. Điều này giúp quá trình đăng nhập vào dịch vụ nhanh chóng và thuận tiện hơn.
Với doanh nghiệp, cần phải chọn cách xác thực dễ quản lý, vận hành, lược bỏ các thao tác thủ công cồng kềnh cho nhân sự và đội ngũ công nghệ thông tin.
Chi phí
Khi lựa chọn phương thức xác thực, bên cạnh khả năng bảo mật và các tính năng khác, doanh nghiệp cũng cần đặc biệt cân nhắc ngân sách triển khai để chọn phương án phù hợp nhất với nguồn lực tài chính và nhân lực hiện có.
Các công nghệ xác thực hiện đại có thể đòi hỏi đầu tư cao hơn so với các phương thức cũ. Tuy nhiên, dù mật khẩu truyền thống có thể coi là triển khai rẻ nhất hiện nay, nhưng nếu tính toán dựa trên thực tế, thời gian quản lý mật khẩu và xử lý các rủi ro do mật khẩu gây ra tốn kém rất nhiều chi phí và nhân lực, đồng thời ảnh hưởng lớn đến năng suất lao động nói chung.
Khả năng mở rộng
Nên lựa chọn phương thức xác thực có khả mở rộng linh hoạt để phù hợp với quy mô của doanh nghiệp, thể hiện qua khả năng xử lý số lượng lớn người dùng và tải trọng cao mà không ảnh hưởng đến hiệu suất hoặc trải nghiệm người dùng.
Bảng đánh giá tổng thể các phương thức xác thực phổ biến dựa trên các tiêu chí trên sẽ giúp bạn có phép so sánh toàn diện nhất.
| Phương thức xác thực | Tính bảo mật | Trải nghiệm người dùng | Chi phí | Khả năng mở rộng |
| Mật khẩu | Thấp | Thấp | Thấp | Thấp |
| Sinh trắc học | Trung bình | Cao | Cao | Trung bình |
| 2FA & MFA | Trung bình | Trung bình | Trung bình | Cao |
| Không mật khẩu FIDO2 | Cao | Cao | Trung bình | Cao |
Hiểu rõ ưu và nhược điểm của từng phương thức xác thực là căn cứ quan trọng để chọn lựa phương thức tốt nhất và đáp ứng sát nhất với nhu cầu cá nhân và doanh nghiệp. Công nghệ xác thực FIDO2 đã được chứng minh là một trong những phương thức tốt nhất hiện nay bởi tính bảo mật, tiện lợi, linh hoạt, phù hợp với nhu cầu cá nhân và nhu cầu mở rộng của doanh nghiệp ở bất kỳ quy mô nào.
VinCSS đã xây dựng thành công hệ sinh thái xác thực không mật khẩu đầu tiên tại ASEAN và hai lần được công nhận là công ty dẫn đầu về xác thực mạnh không mật khẩu tại Đông Nam Á và APAC.
Các sản phẩm khoá bảo mật FIDO2 của VinCSS đã đến tay hàng chục ngàn người dùng. Là một trong 13 công ty đầu tiên trên thế giới sản xuất khóa bảo mật được chứng nhận đạt chuẩn FIDO2, VinCSS cung cấp hai dòng khóa VinCSS FIDO2 ® Touch 1 và VinCSS FIDO2 ® Fingerprint. VinCSS FIDO2 ® Touch 1 hoàn hảo cho những ai cần một khóa bảo mật nhỏ gọn và tiết kiệm, trong khi VinCSS FIDO2 ® Fingerprint hiện đại, thời trang cùng nhiều tính năng cao cấp.
Giải pháp FIDO2 phát triển bởi VinCSS cũng đã được triển khai ở nhiều doanh nghiệp lớn, do đội ngũ chuyên gia bảo mật đạt chứng chỉ quốc tế thiết kế, “may đo” theo yêu cầu riêng của từng tổ chức. Đặt lịch demo sản phẩm VinCSS FIDO2 tại đây.
