Table of Contents
Sự bùng nổ của Mobile Banking không chỉ mang lại tiện ích mà còn đặt ra những thách thức mới về bảo vệ dữ liệu và tài sản của khách hàng. Đâu là câu trả lời an toàn nhất cho bài toán xác thực người dùng trên ngân hàng di động?
Làn sóng Mobile Banking tại Việt Nam
Mobile Banking (ngân hàng di động) là dịch vụ tài chính được cung cấp thông qua các ứng dụng di động trên điện thoại hoặc thiết bị thông minh. Mobile Banking cho phép người dùng thực hiện các giao dịch tài chính và quản lý tài khoản một cách thuận tiện.
Ngân hàng di động ở Việt Nam đang có sự tăng trưởng đáng kể. Tỷ lệ sử dụng điện thoại thông minh cao (trên 70%) và ảnh hưởng của đại dịch COVID-19 đã đẩy nhanh quá trình chuyển đổi sang giao dịch không dùng tiền mặt. Theo số liệu của Ngân hàng Nhà nước, đến cuối năm 2022, Việt Nam có gần 1,2 tỷ giao dịch qua Mobile Banking. Tỷ lệ thâm nhập ngân hàng di động đạt 69% vào năm 2022, thuộc hàng cao nhất Đông Nam Á.
Các ngân hàng Việt Nam đã chứng kiến sự tăng trưởng mạnh mẽ trong việc sử dụng ngân hàng di động với khối lượng và giá trị giao dịch tăng đáng kể. Điều này đặt ra bài toán lớn về xác thực để bảo vệ thông tin và tài sản của người dùng. Xác thực đa yếu tố, sinh trắc học và FIDO đang là ba phương pháp được quan tâm nhất hiện nay.
Xác thực đa yếu tố liệu đã đủ?
Xác thực đa yếu tố (MFA) là phương thức quen thuộc nhưng mang đến nhiều trở ngại về trải nghiệm người dùng, mức độ bảo mật và chi phí vận hành.
Việc tích hợp MFA yêu cầu người dùng thực hiện nhiều bước xác minh, làm tăng thêm độ phức tạp và thời gian cho quy trình xác thực, thanh toán.
Hơn nữa, mật khẩu một lần (OTP) vốn thường bị nhầm lẫn là giải pháp MFA. Trên thực tế, OTP không phải là loại bảo mật an toàn. OTP có thể bị chặn hoặc chuyển hướng bởi tin tặc thông qua các phương pháp như hoán đổi SIM hoặc tấn công lừa đảo, khiến chúng kém an toàn hơn giả định. OTP cung cấp thêm một bước bảo mật nhưng chúng không mạnh mẽ như MFA thực sự. MFA thực sự vốn phải được kết hợp ít nhất hai trong ba yếu tố: những thứ mà người dùng biết (như mật khẩu), những thứ mà người dùng sở hữu (như một điện thoại thông minh/khóa bảo mật) và chính bản thân người dùng (như dấu vân tay/gương mặt).
Không những vậy, mỗi OTP, thường được gửi qua SMS, khi nhân với hàng triệu giao dịch kéo theo một khoản chi phí trung bình khoảng vài trăm tỷ/năm cho một ngân hàng.
Đứng trước nhu cầu về các biện pháp vừa bảo mật mạnh mẽ, vừa thuận tiện và tối ưu chi phí, sinh trắc học và FIDO được đặt lên bàn cân.
Sinh trắc học hay FIDO?
Nhiều ngân hàng hiện nay đã và đang sử dụng sinh trắc học. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Mobile Banking yêu cầu khách hàng trình diện dấu hiệu nhận dạng sinh trắc học như khuôn mặt, vân tay, giọng nói để xác thực giao dịch. Điểm mạnh của phương pháp này là sự thuận tiện và tính duy nhất của dữ liệu sinh trắc học. Tuy nhiên, mối quan ngại lớn nhất là việc lưu trữ và xử lý dữ liệu sinh trắc học sao cho an toàn.
Các ngân hàng lớn trên thế giới và một số ngân hàng tại Việt Nam đã tiên phong sử dụng FIDO. FIDO là tiêu chuẩn xác thực do Liên minh Xác thực Trực tuyến Thế giới FIDO Alliance ban hành. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Mobile Banking yêu cầu khách hàng sử dụng thiết bị/phần mềm/trình duyệt xác thực đáp ứng tiêu chuẩn FIDO2. Sau khi người dùng nhập mã truy cập hoặc sinh trắc học, thiết bị/phần mềm/trình duyệt đó sẽ tự động giao tiếp với máy chủ để xác thực địa chỉ website Internet Banking và giao dịch. Tiêu chuẩn FIDO2 an toàn nhờ giao thức khóa công khai (Public Key Infrastructure).
Khác biệt lớn nhất giữa sinh trắc học và FIDO là tính bảo mật. Các dữ liệu sinh trắc học được lưu trữ tập trung, được ví như “món nợ của công nghệ” khi dễ dàng bị rò rỉ ở hiện tại và hack trong tương lai. Khi dữ liệu này bị lộ, người dùng không thể thay đổi sinh trắc học của mình như thay mật khẩu hay khóa bảo mật thông thường. Trái lại, FIDO tạo ra một quy trình xác thực mà không cần truyền dữ liệu nhạy cảm qua mạng. Với FIDO, dữ liệu xác thực được giữ an toàn trên thiết bị người dùng, giảm thiểu rủi ro bị tấn công. Theo Microsoft, FIDO có khả năng phòng chống hơn 90% tấn công lừa đảo nhắm vào thông tin đăng nhập của người dùng.
FIDO cũng đảm bảo sự đơn giản, thuận tiện và linh hoạt trong trải nghiệm khách hàng. FIDO giúp người dùng không cần nhớ, quản lý nhiều mật khẩu hay thực hiện nhiều bước để xác thực. Đồng thời, FIDO đa dạng hóa các lựa chọn xác thực. Người dùng có thể linh động lựa chọn sử dụng vân tay, mã PIN hay khóa vật lý.
Ngày 18/12/2023 vừa qua, Thống đốc Ngân hàng Nhà nước đã ban hành Quyết định số 2345/QĐ-NHNN, trong đó quy định sử dụng FIDO như một phương pháp xác thực tối thiểu cho các giao dịch loại D cho các cá nhân và tổ chức.
Tìm kiếm đơn vị cung cấp giải pháp FIDO uy tín
Quyết định của Ngân hàng Nhà nước như một đòn bẩy đẩy nhanh quá trình FIDO hóa Mobile Banking cho các ngân hàng tại Việt Nam, đặt ra nhu cầu trọng yếu trong việc tìm kiếm các đơn vị cung cấp giải pháp FIDO uy tín.
Với đặc thù đòi hỏi năng lực công nghệ rất cao cùng sự đầu tư nghiêm túc vào nghiên cứu phát triển và nguồn nhân lực, tại Việt Nam và trên thế giới, không nhiều đơn vị dám dấn thân vào lĩnh vực cung cấp các giải pháp FIDO.
VinCSS đã hai lần liên tiếp được Frost & Sullivan công nhận là đơn vị tiên phong trong việc cung cấp các giải pháp FIDO trong nước và khắp khu vực Châu Á – Thái Bình Dương. Là đơn vị đầu tiên tại Việt Nam được Liên minh Xác thực Trực tuyến Thế giới FIDO Alliance cấp chứng nhận chuẩn FIDO2 cho các sản phẩm, dịch vụ và nhân sự của mình, VinCSS cung cấp những giải pháp công nghệ bảo mật ưu việt, tối ưu chi phí đầu tư và dễ dàng tương thích với hạ tầng công nghệ của khách hàng. Tìm hiểu thêm tại https://vincss.net/.
Trong bối cảnh Việt Nam đang quyết tâm thực hiện mục tiêu chuyển đổi số ngành ngân hàng, nghiên cứu và tích hợp FIDO cho Mobile Banking nói riêng và các ngân hàng nói chung trở nên quan trọng và cấp thiết hơn bao giờ hết.
