Công nghệ bảo mật sinh trắc học lên ngôi
Đến năm 2020, sẽ có khoảng 2,5 tỉ người sử dụng 4,8 tỉ thiết bị đăng nhập bằng sinh trắc học.
"Người dùng có thể quên mật khẩu, nhưng rõ ràng không thể quên mang theo ngón tay của mình”. Đó là khẩu hiệu quảng cáo của các ngân hàng khi bắt đầu áp dụng các phương thức đăng nhập hiện đại nhất. Cuối cùng, những thước phim giả tưởng ngày xưa đang dần trở thành hiện thực khi người dùng chỉ cần nháy mắt, chạm tay, hoặc nói một hai câu là “cánh cửa” thông với ngân hàng mở toang.
Hệ thống ngân hàng tại Việt Nam cũng không kém cạnh trong cuộc chạy đua những ứng dụng mới. Gần đây, Citi Việt Nam công bố khả năng nhận diện giọng nói khách hàng cá nhân với những cuộc gọi của khách hàng. Sau khi lưu trữ giọng nói ở ngân hàng, hệ thống sẽ tự động nhận diện hồ sơ của khách hàng, bỏ qua các bước xác thực thông tin như trước đây. Điều này tiết kiệm đến 45 giây so với các kiểu xác thực truyền thống, Citi Việt Nam cho biết.
Mặc dù Citi Việt Nam là ngân hàng đầu tiên triển khai công nghệ giọng nói, nhưng giải pháp đăng nhập bằng vân tay đầu tiên phải kể đến Eximbank, khi ngân hàng này cho phép người dùng nếu muốn có thể xác thực bằng vân tay ở quầy và kiểm tra thêm dấu vân tay ở các máy ATM.
Giọng nói, đôi mắt, vân tay và cả mạch máu là những phương pháp xác thực người dùng được gọi chung là sinh trắc học, tức mang những đặc điểm nhận dạng riêng của từng người. Chính vì thế, các chuyên gia bảo mật tin rằng các dấu hiệu sinh trắc học mới là câu trả lời chính xác cho câu hỏi “Ai đang giao dịch?” thay vì những dòng mật khẩu mà bất kỳ người nào cũng có thể gõ vào.
Trên thế giới, sinh trắc học ngày càng được ứng dụng nhiều hơn. Đầu năm ngoái, ATM giao dịch bằng “mắt” đang được nghiên cứu và có thể sớm được các ngân hàng giới thiệu trong thời gian tới. Trong lĩnh vực thanh toán, Liquid (một công ty khởi nghiệp Nhật được sự hỗ trợ của chính phủ Nhật và các ông lớn như Mizuho, NTT DoCoMo) mới đây đã thử nghiệm công nghệ xác thực thanh toán trực tiếp các giao dịch bằng dấu vân tay.
Liquid giải quyết được bài toán rút ngắn thời gian tra cứu dữ liệu (để so sánh với hệ thống dữ liệu vân tay khổng lồ). Kết quả khá khả quan khi nhiều người yêu thích sự mới mẻ, tiện lợi và cho rằng quẹt dấu vân tay dù sao vẫn an toàn hơn là quẹt thẻ.
Thực tế, công nghệ xác thực bằng sinh trắc học này đã ra đời từ lâu, nhưng chủ yếu ứng dụng ở cấp chính phủ, ngành an ninh và công nghiệp quốc phòng. Ở những lĩnh vực này, sinh trắc học đã được chứng minh là đáng tin cậy, chủ yếu là vì các trang thiết bị tối tân và đắt tiền nhất. Còn ngày nay, sự ra đời của các loại điện thoại cảm ứng có công nghệ đăng nhập bằng vân tay đang mở đầu cho trào lưu mới về thay đổi xác thực thông tin chủ tài khoản, cho dù trước đó các loại máy tính xách tay đã mở khóa bằng công nghệ này.
Các chuyên gia cũng khá lạc quan về xu hướng sinh trắc học. Acuity Market Intelligence tin rằng đến năm 2020, sẽ có khoảng 2,5 tỉ người sử dụng 4,8 tỉ thiết bị đăng nhập bằng phương pháp sinh trắc học.
Nhờ các thiết bị đầu cuối (chủ yếu là điện thoại thông minh) có công nghệ xác thực bằng vân tay phổ biến hơn, người dùng cá nhân có cơ hội sử dụng công nghệ này trong các ứng dụng. Theo số liệu của hãng bảo mật Kaspersky, năm ngoái, người dùng đã cài đặt khoảng 6 triệu ứng dụng di động có hỗ trợ chức năng đăng nhập bằng dấu vân tay. Theo Juniper Research, vào năm 2019 sẽ có khoảng 770 triệu ứng dụng tương tự như thế.
Các ngân hàng và tổ chức trung gian thanh toán cũng không thể bỏ qua thị trường này. Theo báo cáo “Top 10 xu hướng ngành ngân hàng năm 2016” của Capgemini, lượng đăng nhập bằng sinh trắc học sẽ đạt 1 tỉ người vào năm tới, từ mức 450 triệu người của năm 2015.
Ở Việt Nam, gần đây, Ngân hàng Nhà nước đang lấy dự thảo về phương pháp bảo mật giao dịch, trong đó có sinh trắc học, dự kiến có hiệu lực vào tháng 3 năm sau. Theo đó, các giao dịch có giá trị quy mô lớn nhất (200 triệu đồng trở lên), ngân hàng buộc phải có một trong các giải pháp gồm chữ ký số, dấu hiệu nhận dạng sinh trắc học (gồm khuôn mặt, ánh mắt, giọng nói, mạch máu...) và các giải pháp khác có tính năng bảo mật thậm chí còn cao hơn và được sự chấp thuận của cơ quan quản lý.
Các giao dịch có giá trị thấp hơn có thể sử dụng phương pháp OTP truyền thống (SMS, token, hoặc phần mềm cài trên thiết bị di động). Các giao dịch ngân hàng vốn dĩ rất nhạy cảm. Lĩnh vực tài chính gánh chịu các đợt tấn công mạng gấp 3 lần so với những lĩnh vực khác, với chi phí trung bình hằng năm ước khoảng 13,5 triệu USD ở các công ty cung cấp dịch vụ tài chính, theo Kaspersky.
Giới ngân hàng lẫn các cơ quan quản lý ngân hàng trên thế giới cũng đang bắt đầu quan tâm đến tính bảo mật thực tế và rủi ro an ninh mạng. Ở Việt Nam, thời gian qua, vấn đề bảo mật tài khoản cá nhân lại được đặc biệt quan tâm sau những sự cố mất tiền trong tài khoản ở một số ngân hàng. Nhưng liệu sinh trắc học có là giải pháp duy nhất?
Có thể thấy, các ngân hàng, đặc biệt là ngân hàng bán lẻ, đang quảng bá phương pháp bảo mật sinh trắc học vì muốn tăng lòng tin của các khách hàng cá nhân. Nhưng thực ra, sinh trắc học vẫn đang trong giai đoạn phát triển ban đầu, số lượng giao dịch còn ít, nên chưa phải là đích nhắm tới của tội phạm mạng.
Hơn nữa, công nghệ sinh trắc học cũng không hoàn toàn an toàn, bởi sự xuất hiện và phát triển của các công nghệ mới như công nghệ in 3D (có khả năng “in” ra mọi thứ), công nghệ về giọng nói (một loại “bot” đang được phát triển có khả năng học hỏi ngôn ngữ, nói và “nhái” giọng người). Ở trường hợp khác, kho dữ liệu dấu vân tay được sử dụng rộng rãi trên các thiết bị đầu cuối cũng dễ gặp rủi ro bị đánh cắp.
Quan trọng hơn, phương pháp bảo mật bằng sinh trắc học chưa hề cải thiện tính an toàn cốt lõi của hệ thống ngân hàng: bảo mật cơ sở dữ liệu nhiều lớp của ngân hàng trước rủi ro bị tấn công từ lõi dữ liệu trên máy chủ. Đây là một nguy cơ lớn và đã được chứng minh qua các vụ tấn công mạng làm bốc hơi hàng trăm triệu USD trên thế giới gần đây.
Trong lúc chờ đợi sự phổ biến của những phương pháp mới và an toàn hơn, ắt hẳn người dùng vẫn cảm thấy lo ngại về những lớp bảo mật hiện nay ở ngân hàng. Theo Ngân hàng Trung ương châu Âu (ECB) và nhiều tổ chức khác, hệ thống xác thực được đánh giá là mạnh mẽ khi yếu tố sử dụng trong các lần xác thực (thường là xác thực 2 lớp) độc lập với nhau, không thể tái sử dụng, không thể lặp lại hoặc bị ăn trộm trên mạng internet.