Tội phạm mạng đang ngày càng trở nên thành thạo trong việc đánh cắp mật khẩu của người dùng. Trên thực tế, kiểu tấn công Brute Force, một kỹ thuật phá mật khẩu được tội phạm mạng sử dụng để bẻ khóa các mật khẩu yếu đã gióng lên hồi chuông cảnh báo cho người dùng.
Theo đó, một nghiên cứu cho thấy, tin tặc có thể thử 2,18 nghìn tỷ phép thử kết hợp mật khẩu/tên người dùng trong 22 giây và nếu mật khẩu đơn giản, tài khoản có thể dễ dàng bị đánh cắp. Một phương pháp khác mà tội phạm mạng cũng thường sử dụng để đánh cắp thông tin người dùng là nhồi nhét thông tin xác thực (Credential stuffing), tức là tin tặc sẽ sử dụng các tài khoản và mật khẩu bị lộ lọt ra bên ngoài để có được truy cập trái phép vào các tài khoản người dùng thông qua các yêu cầu đăng nhập được tự động hóa và thực hiện trên diện rộng.
Tại khu vực Đông Nam Á, một báo cáo của hãng sản xuất và phân phối phần mềm bảo mật Kaspersky của Nga cho thấy, có 47,8 triệu cuộc tấn công nhắm vào những người làm việc từ xa từ tháng 1 đến tháng 6 năm 2022, tức là trung bình có khoảng 265 nghìn cuộc tấn công xảy ra mỗi ngày.
Đặc biệt, Singapore đã chứng kiến sự gia tăng các cuộc tấn công như vậy. Chúng bao gồm các chiến dịch lừa gạt mà khách hàng của Ngân hàng OCBC đã trải qua vào năm ngoái, khiến nạn nhân phải chịu thiệt hại hơn 8,5 triệu Đô la Singapore. Sau khi dịch bệnh bùng phát, các nhà chức trách đã đưa ra các biện pháp bảo mật mới bao gồm lệnh cấm liên kết trong email và SMS ngân hàng.
Gần đây hơn, đã có sự gia tăng các khoản phí trái phép đối với thẻ ghi nợ và thẻ tín dụng ở quốc đảo này. Theo tờ The Straits Times (Singapore), nhiều giao dịch trái phép đã được báo cáo. Cơ quan An ninh mạng Singapore tuyên bố rằng, những giao dịch nhỏ này có thể được tội phạm mạng thử nghiệm để xác định hoặc xác thực chi tiết thẻ ghi nợ và thẻ tín dụng trước khi thực hiện các giao dịch lớn hơn và họ khuyên người tiêu dùng nên đặt cảnh báo cho các giao dịch đó trên tài khoản của họ.
Một vụ tấn công mạng khác gần đây ở Singapore liên quan đến Đài Truyền hình quốc gia Mediacorp. Các báo cáo chỉ ra rằng, khoảng 14.000 người dùng tài khoản meconnect của Mediacorp đã phải đặt lại mật khẩu sau khi tài khoản của họ bị phát hiện truy cập trái phép bởi một chủ thể bên ngoài không xác định. Những thông tin đăng nhập này được sử dụng để truy cập các dịch vụ của Mediacorp như nền tảng phát trực tuyến meWatch. Mediacorp đã thông báo cho tất cả chủ tài khoản bị ảnh hưởng về vấn đề này và đặt lại mật khẩu của họ.
Đã đến lúc loại bỏ mật khẩu?
Theo David Hope, Phó Chủ tịch cấp cao khu vực Châu Á - Thái Bình Dương và Nhật Bản tại công ty phần mềm quản lý truy cập và nhận dạng đa quốc gia ForgeRock, có trụ sở tại San Francisco (Mỹ), sự gia tăng gần đây về phí thẻ tín dụng và ghi nợ trái phép càng cho thấy rõ các lỗ hổng liên quan đến hệ thống xác thực dựa trên mật khẩu truyền thống. Vì vậy, Phó Chủ tịch David Hope tin rằng, điều quan trọng hơn bao giờ hết là áp dụng các giải pháp không cần mật khẩu để đảm bảo an toàn và bảo mật tốt hơn.
“Danh tính kỹ thuật số là trọng tâm trong cách chúng tôi truy cập các dịch vụ như ngân hàng trực tuyến và bán lẻ một cách an toàn. Sự thay đổi này, cùng với lượng thông tin cá nhân được sử dụng để truy cập các dịch vụ đó, đã cung cấp diện tích bề mặt kỹ thuật số lớn hơn cho tội phạm mạng khai thác. Để tối ưu hóa khả năng bảo mật dễ dàng và giảm thiểu những rủi ro mạng này, các tổ chức cần loại bỏ mật khẩu. Họ phải nhúng các biện pháp xác thực và xác minh thông minh hơn trong hệ sinh thái công nghệ của mình để bảo vệ bản thân và người dùng khỏi gian lận, đồng thời, đảm bảo dễ dàng xác định các mối đe dọa tiềm ẩn”, ông David Hope nhấn mạnh.
Xác thực không cần mật khẩu và các giải pháp bảo vệ khỏi mối đe dọa do trí tuệ nhân tạo (AI) điều khiển khác tạo ra các biện pháp bảo mật chính xác hơn để bảo vệ thông tin nhận dạng kỹ thuật số. Thông qua cách tiếp cận này, các tổ chức ở Singapore có thể điều hướng tốt hơn trước số lượng các cuộc tấn công ngày càng tăng, cải thiện trải nghiệm người dùng, giảm sự thiếu hiệu quả trong hoạt động và tiết kiệm chi phí từ việc đặt lại mật khẩu thông thường.
“Khi Singapore tiếp tục dẫn đầu về số hóa trên toàn khu vực, nhu cầu truy cập an toàn và xác thực được ủy quyền sẽ tiếp tục tăng lên và các tổ chức phải tập trung vào việc cải thiện hệ thống của họ ngay hôm nay để chứng minh lợi thế cạnh tranh trong tương lai và bảo vệ người dùng của họ”, ông David Hope cho biết thêm.
Xác thực không mật khẩu có nghĩa là gì?
Xác thực không mật khẩu được cho là phương pháp tốt nhất hiện nay để xác minh danh tính người dùng mà không cần sử dụng mật khẩu. Thay vào đó, các phương pháp không mật khẩu sử dụng các lựa chọn thay thế an toàn hơn như sinh trắc học.
Để hoạt động, dữ liệu xác thực (thường là dấu vân tay sinh trắc học hoặc nhận dạng khuôn mặt) cần khớp với dữ liệu được lưu trữ trong cơ sở dữ liệu. Nếu không có sinh trắc học, có thể sử dụng mật mã hoặc xác thực đa yếu tố thông qua thiết bị cá nhân.
Xác thực đa yếu tố trên thiết bị cá nhân đã được một số nhà cung cấp dịch vụ tài chính triển khai, theo đó, danh tính của người dùng được xác nhận thông qua dấu vân tay hoặc quét võng mạc trên thiết bị di động.
Để đón đầu xu hướng này, Liên minh FIDO (Fast IDentity Online) được tạo ra nhằm thúc đẩy các tiêu chuẩn xác thực mở và giảm việc sử dụng mật khẩu như một hình thức xác thực. FIDO2 là tiêu chuẩn mới nhất kết hợp với tiêu chuẩn xác thực web (WebAuthn). FIDO cho phép người dùng và tổ chức tận dụng cơ sở dữ liệu để đăng nhập vào tài nguyên mà không cần tên người dùng, mật khẩu hay khóa ứng dụng được tích hợp trong thiết bị.
Những thách thức của việc không sử dụng mật khẩu
Việc không sử dụng mật khẩu mang lại một số thách thức cần được giải quyết để triển khai thành công. Điều quan trọng nhất là sự chấp nhận và thói quen của người dùng. Như đã đề cập ở trên, việc người dùng chuyển từ thói quen sử dụng mật khẩu sang không sử dụng mật khẩu có thể gây nhầm lẫn cho một số bộ phận người dùng, đặc biệt là thế hệ cũ đã quen với việc sử dụng mật khẩu để đăng nhập các ứng dụng.
Việc đưa ra các phương pháp xác thực mới có thể phải thay đổi tư duy người dùng để được chấp nhận sử dụng rộng rãi. Ngoài ra, việc triển khai các giải pháp không cần mật khẩu thường đòi hỏi những thay đổi đáng kể đối với hệ thống và cơ sở hạ tầng hiện có. Các vấn đề tương thích có thể phát sinh khi tích hợp với các hệ thống cũ được thiết kế để hoạt động với mật khẩu, điều này có thể cản trở việc áp dụng các phương pháp không cần mật khẩu.
Các phương pháp xác thực không cần mật khẩu cũng phải ưu tiên trải nghiệm người dùng liền mạch, đồng thời, đảm bảo khả năng truy cập cho người dùng khuyết tật. Việc cân bằng các yêu cầu bảo mật với tính dễ sử dụng và đáp ứng nhu cầu đa dạng của người dùng có thể là một thách thức.
Một thách thức khác là quá trình khôi phục và quản lý tài khoản, sẽ hoàn toàn khác. Thay vì chỉ đặt lại mật khẩu, các tổ chức cần phát triển các cơ chế thay thế để người dùng lấy lại quyền truy cập vào tài khoản của mình trong trường hợp mất thiết bị, thay đổi sinh trắc học hoặc các trường hợp khác.
Liệu Singapore có thể trở thành quốc gia không mật khẩu?
Với cơ sở hạ tầng trong nước hiện có, việc triển khai các hệ thống không mật khẩu sẽ rất phức tạp. Tuy nhiên, với khả năng kết nối đồng bộ, tốc độ phát triển kỹ thuật số nhanh chóng, việc triển khai các giải pháp để trở thành quốc gia không mật khẩu chắc chắn có thể trở thành hiện thực trong tương lai ở Singapore.
Câu hỏi duy nhất hiện nay là liệu công chúng có sẵn sàng với những thay đổi như vậy không? Mặc dù một số hình thức xác thực không mật khẩu đã được triển khai diện rộng, nhưng có thể phải mất một khoảng thời gian nhất định trước khi phương pháp mới này được chấp nhận rộng rãi.
