Các phương thức xác thực điện tử hiện tại, hoặc tiềm ẩn rủi ro…
Xác thực và định danh điện tử (người sử dụng) là các quy trình thiết lập sự tin tưởng đối với danh tính người dùng hiện diện điện tử trước một hệ thống thông tin. Việc xác thực một đối tượng được thực hiện dựa trên các nhân tố xác thực, bao gồm 3 loại: (1) Nhân tố nhận biết, những gì chỉ đối tượng biết như mật khẩu, câu trả lời cho các câu hỏi bảo mật, mã PIN; (2) Nhân tố sở hữu, những gì chỉ đối tượng có như điện thoại di động, máy tính cá nhân, token; (3) Nhân tố sinh trắc học, những gì thuộc về sinh trắc của đối tượng như vân tay, mống mắt, khuôn mặt, giọng nói, …
Hiện nay, sử dụng tên đăng nhập và mật khẩu là hình thức xác thực và định danh phổ biến nhất trong các hệ thống thông tin điện tử. Tuy nhiên, ý thức sử dụng mật khẩu của người dùng tại Việt Nam chưa cao. Thói quen tạo mật khẩu ngắn, dễ đoán, tùy tiện nhập thông tin tài khoản vào các website, đường link lạ hay sử dụng chung một mật khẩu cho nhiều tài khoản là những thói quen người dùng cần thay đổi để đảm bảo an toàn. Việc lộ các thông tin tài khoản sử dụng thư điện tử và mật khẩu sẽ tạo điều kiện cho tin tặc sử dụng tài khoản, mật khẩu đó để dò thông tin và đăng nhập nhiều hệ thống thông tin khác, đánh cắp dữ liệu, hoặc chiếm đoạt tài sản của chủ tài khoản thông qua các dịch vụ trực tuyến.
Để tránh các vấn đề xác thực với mật khẩu sử dụng lại thông thường, mật khẩu dùng một lần OTP được phát triển và ứng dụng rộng rãi. OTP là mật khẩu dùng một lần và chỉ có giá trị cho một phiên đăng nhập hoặc giao dịch. OTP được sử dụng tại hầu hết các ngân hàng ở Việt Nam, được nhiều nhà cung cấp dịch vụ thư điện tử như Google hay mạng xã hội Facebook cũng sử dụng. Tuy nhiên, sự cố mất hàng trăm triệu đồng trong các giao dịch Internet Banking tại một số ngân hàng gần đây đã dấy lên nỗi lo lắng rằng việc lấy được mã OTP hay tấn công vào giao thức SMS là rất dễ dàng.
....hoặc khá đắt đỏ
Trong khi đó, sử dụng chữ ký số và dịch vụ chứng thực chữ ký số được coi là một trong các giải pháp xác thực và định danh điện tử có mức độ đảm bảo an toàn cao. Phương pháp này được ứng dụng phổ biến ở nhiều nước trên thế giới. Tại Việt Nam, hiện nay, đã có 09 tổ chức được Bộ Thông tin và Truyền thông cấp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng. Theo số liệu thống kê đến 31/12/2017, các CA công cộng đã cấp 1.710.149 chứng thư số công cộng, trong đó số lượng chứng thư số đang hoạt động là 800.171 (chiếm 46.79%).
Số lượng chứng thư số này được sử dụng chủ yếu trong các dịch vụ công trực tuyến như khai và nộp thuế qua mạng, kê khai hải quan điện tử và các dịch vụ bảo hiểm xã hội điện tử. Ngoài ra, các Bộ, cơ quan ngang Bộ, cơ quan quản lý Nhà nước đã tăng cường ứng dụng chữ ký số trong hoạt động nghiệp vụ và quản lý nội bộ cũng như trong các dịch vụ công trực tuyến phục vụ người dân và doanh nghiệp.
Tuy nhiên, hầu hết thuê bao sử dụng chữ ký số cho xác thực tại Việt Nam là các doanh nghiệp, cơ quan, tổ chức. Số thuê bao là cá nhân người dân chiếm tỷ lệ rất nhỏ, chưa đến 5%. Lý do chính của tình trạng này là chữ ký số và các ứng dụng chữ ký số tương đối phức tạp, giá thành thiết bị token cao. Mặt khác, nhiều hệ thống thông tin chỉ cần xác thực điện tử đơn giản, không yêu cầu tính bảo mật cao thì không nhất thiết đòi hỏi sử dụng chữ ký số mà có thể dùng các hình thức xác thực khác đơn giản, phù hợp hơn.
Trong những năm gần đây, hàng loạt công nghệ sinh trắc học được phát triển để xác thực thông tin người dùng. Đây là một công nghệ sử dụng những thuộc tính vật lý hoặc các mẫu hành vi, các đặc điểm sinh học đặc trưng như dấu vân tay, mẫu mống mắt, giọng nói, khuôn mặt, dáng đi,... để nhận diện con người. Việc ứng dụng sinh trắc học trong xác thực là một lựa chọn để tăng cường mức độ an toàn thông tin, giảm sự phụ thuộc vào những nhược điểm của mật khẩu truyền thống.
Tuy nhiên, phương pháp này cũng có những hạn chế. Công nghệ sinh trắc học có một vai trò đáng kể trong việc đảm bảo an toàn thông tin. Nhưng nếu chỉ sử dụng riêng công nghệ này thì sẽ là không đủ để đảm bảo an toàn, vì thế tốt nhất nên sử dụng trong môi trường bảo mật đa yếu tố, đảm bảo mức độ an toàn thông tin sẽ cao hơn.
Hoàn thiện khuôn khổ pháp lý về xác thực và định danh điện tử
Đến nay, đối với hình thức xác thực điện tử bằng chữ ký số và dịch vụ chứng thực chữ ký số, hệ thống văn bản pháp luật của Việt Nam đã tương đối hoàn chỉnh, với Luật Giao dịch điện tử năm 2005 và các văn bản hướng dẫn thi hành. Tuy nhiên, hiện tại vẫn chưa có quy định cụ thể về xác thực và định danh điện tử. Nhiều đơn vị vẫn chưa quy định rõ về vị trí vai trò đặc điểm, phạm vi, cách thức triển khai các hình thức xác thực và định danh điện tử, cũng như trách nhiệm trong việc triển khai quản lý, đảm bảo an toàn cho giao dịch điện tử. Điều này dẫn đến rất nhiều địa phương lúng túng trong việc phối hợp triển khai Cổng Dịch vụ công quốc gia, Hệ thống thông tin một cửa điện tử cấp bộ, cấp tỉnh hỗ trợ xác thực thông tin công dân, doanh nghiệp.
Chính vì thế, để giải quyết các vấn đề nêu trên, Bộ Thông tin và Truyền thông đề nghị xây dựng Nghị định quy định về xác thực và định danh điện tử, nhằm tạo hành lang pháp lý cho các hình thức xác thực, định danh điện tử sử dụng trong giao dịch điện tử, đồng thời nâng cao tính tin cậy của các giao dịch điện tử, thông qua đó thúc đẩy triển khai, áp dụng các hình thức xác thực và định danh điện tử.
