Sinh trắc học (biometrics) sử dụng vân tay, khuôn mặt, mống mắt, giọng nói… từ lâu đã là một phương thức xác thực phổ biến. Theo một báo cáo gần đây nhất về trải nghiệm xác thực trên ứng dụng ngân hàng tại Việt Nam, sinh trắc học hiện đang vượt xa các hình thức khác như mật khẩu, mã OTP… và chiếm vị trí trung tâm trong xu hướng xác thực số.
Tuy nhiên, báo cáo cũng ghi nhận cứ 3 người dùng lại có 1 người lo lắng bị đánh cắp và làm giả sinh trắc học. Hầu hết người dùng mọi lứa tuổi đều đặt lo ngại hàng đầu về việc dữ liệu mô tả khuôn mặt, vân tay của họ… sẽ đi về đâu, lưu trữ ở đâu, quản lý như thế nào và liệu có thể rơi vào tay đối tượng xấu. Nhiều người dùng cho rằng xác thực bằng sinh trắc học không đủ để bảo vệ tài sản số của họ, nhất là trong bối cảnh gia tăng các cuộc tấn công sử dụng AI, xâm phạm dữ liệu và quyền riêng tư hiện nay.
Theo các chuyên gia đến từ Công ty Cổ phần Dịch vụ An ninh Mạng VinCSS, một phần nguyên nhân xuất phát từ việc chưa phân biệt rõ vai trò, cách thức triển khai, và bối cảnh sử dụng sinh trắc học trong hệ thống xác thực hiện đại.
Sinh trắc học không phải lúc nào cũng là chìa khóa chính. Tùy thuộc vào cách tích hợp, sinh trắc học có thể là hình thức xác thực độc lập hoặc bổ trợ.
Nếu được sử dụng như hình thức xác thực độc lập, sinh trắc học sẽ trực tiếp quyết định truy cập, ví dụ như quét vân tay để mở cửa phòng, hoặc nhận diện khuôn mặt để mở thiết bị. Mô hình này phổ biến trong các hệ thống ngoại tuyến, vật lý. Hình thức sinh trắc học nhằm xác thực độc lập này cũng phổ biến đối với các hệ thống trực tuyến lưu trữ tập trung dữ liệu mô tả sinh trắc học tại các máy chủ công khai. Lúc này, mỗi lần người dùng xác minh danh tính, hệ thống sẽ so sánh dữ liệu sinh trắc học do người dùng vừa quét với dữ liệu mô tả sinh trắc học được đăng ký và lưu trữ tập trung trước đó.
Tuy nhiên trong nhiều trường hợp, sinh trắc học chỉ đóng vai trò như hình thức xác thực bổ trợ để xác minh cục bộ, tức là một lớp giao diện đầu vào để người dùng mở khóa một cơ chế xác thực khác đang hoạt động phía sau. Ví dụ như nhiều ứng dụng hiện nay đang dùng sinh trắc học để tự động đăng nhập. Người dùng quét sinh trắc học nhằm tự động gửi tên đăng nhập và mật khẩu đã lưu trước đó lên hệ thống để xác minh danh tính và đăng nhập thành công.
Vì vậy, rủi ro sinh trắc học không nằm ở bản thân công nghệ, mà nằm ở ngữ cảnh ứng dụng. Cốt lõi của mọi tranh cãi về sinh trắc học thường xoay quanh khả năng bị đánh cắp, làm giả hoặc vượt qua. Tuy nhiên, cần phân biệt rõ rằng trong môi trường ngoại tuyến kiểm soát bằng thiết bị phần cứng vật lý, nguy cơ giả mạo sinh trắc học thường thấp hơn do yêu cầu hiện diện và tiếp xúc trực tiếp, kiểm tra nhiều lớp. Trái lại, trong môi trường trực tuyến, nguy cơ bị giả mạo bằng AI (deepfake, voice clone) cao hơn. Đặc biệt nếu như sinh trắc học được sử dụng như một hình thức xác thực độc lập, mức độ rủi ro sẽ gia tăng đáng kể.
Để giải quyết bài toán này, VinCSS đưa ra khuyến nghị kết hợp sinh trắc học với xác thực không mật khẩu theo chuẩn FIDO2. Trong các hệ thống xác thực hiện đại chuẩn FIDO2, sinh trắc học chỉ được sử dụng như một hình thức xác thực bổ trợ, để mở khóa cục bộ khóa riêng tư (private key), được lưu trữ an toàn trong thiết bị của người dùng. Dữ liệu sinh trắc học không bao giờ rời khỏi thiết bị hay lưu trữ tập trung trong môi trường trực tuyến, giúp giảm thiểu rủi ro bị đánh cắp hoặc sử dụng sai mục đích. Khi đó, sinh trắc học không còn là điểm yếu dễ bị khai thác, mà trở thành một lớp bảo vệ tăng cường, tiện lợi, mạnh mẽ và riêng tư cho người dùng cuối. Đây là cách triển khai tối ưu hiện nay.
Không chỉ làm rõ bản chất của sinh trắc học, báo cáo của VinCSS cũng tìm ra những nhu cầu tiên quyết trong trải nghiệm xác thực của từng nhóm tuổi, cũng như mức độ hài lòng của người dùng đối với từng loại hình ngân hàng khác nhau.
Bà Annie Quỳnh Anh – Head of Marketing VinCSS chia sẻ:
“Báo cáo này không chỉ là dữ liệu, mà là tiếng nói từ chính những người trực tiếp đối mặt với rủi ro bảo mật mỗi ngày. VinCSS hy vọng đây sẽ là tài liệu hữu ích để các ngân hàng, nhà phát triển, nhà hoạch định chính sách và cả người dùng cuối cùng cùng nhau nhìn lại và nâng cấp trải nghiệm xác thực – một trong những yếu tố then chốt xây dựng niềm tin số hiện nay.”
