Lo lắng bị đánh cắp và làm giả sinh trắc học

Theo báo cáo trải nghiệm xác thực trên ứng dụng ngân hàng tại Việt Nam do Công ty CP Dịch vụ an ninh mạng VinCSS công bố ngày 15-9, sinh trắc học đang chiếm vị trí trung tâm trong xu hướng xác thực số tại Việt Nam. 

Không chỉ được sử dụng nhiều nhất, sinh trắc học cũng được người dùng ở mọi lứa tuổi đánh giá là phương thức xác thực thuận tiện nhất hiện nay.

Dùng nhiều nhất, lo lắng nhất

Cụ thể, theo báo cáo, 58,3% người dùng đang sử dụng phương thức xác thực sinh trắc học. Con số này vượt xa phương pháp phổ biến thứ hai là SMS OTP (tin nhắn SMS xác thực một lần) với chỉ 12,1%. Tiếp theo sau là các phương pháp: mã pin (9,8%), Smart OTP (6,6%), mật khẩu (5,8%)…

Thế nhưng, 3 lý do hàng đầu khiến người dùng không hài lòng về trải nghiệm xác thực trên ứng dụng ngân hàng hiện nay đều liên quan đến sinh trắc học. 

Cụ thể, cứ 3 người dùng thì có 1 người lo lắng bị đánh cắp và làm giả sinh trắc học; cứ 6 người lại có 1 người cho rằng sinh trắc học không nhạy. 

Bên cạnh đó, 1/4 người dùng lo ngại thông tin đăng nhập bị đánh cắp.

Đặc biệt, trong 37 người dùng thì có 1 người cho biết họ từng bị hack tài khoản vì lý do xác thực. Tỉ lệ này cao hơn ở người cao tuổi khi 19 người thì có 1 người từng bị hack tài khoản với cùng lý do.

Theo báo cáo, hầu hết người dùng mọi lứa tuổi đều đặt lo ngại hàng đầu về việc dữ liệu mô tả khuôn mặt, vân tay của họ… sẽ đi về đâu, lưu trữ ở đâu, quản lý như thế nào và liệu có thể rơi vào tay đối tượng xấu.

Nhiều người dùng cho rằng xác thực bằng sinh trắc học không đủ để bảo vệ tài sản số của họ, nhất là trong bối cảnh gia tăng các cuộc tấn công sử dụng AI, xâm phạm dữ liệu và quyền riêng tư hiện nay.

Do ngữ cảnh, không phải do công nghệ

Theo các chuyên gia đến từ VinCSS, một phần nguyên nhân xuất phát từ việc chưa phân biệt rõ vai trò, cách thức triển khai, và bối cảnh sử dụng sinh trắc học trong hệ thống xác thực hiện đại. Sinh trắc học không phải lúc nào cũng là chìa khóa chính. Tùy thuộc vào cách tích hợp, sinh trắc học có thể là hình thức xác thực độc lập hoặc bổ trợ.

Nếu được sử dụng như hình thức xác thực độc lập, sinh trắc học sẽ trực tiếp quyết định truy cập, ví dụ như quét vân tay để mở cửa phòng, hoặc nhận diện khuôn mặt để mở thiết bị. Lúc này, mỗi lần người dùng xác minh danh tính, hệ thống sẽ so sánh dữ liệu sinh trắc học do người dùng vừa quét với dữ liệu mô tả sinh trắc học được đăng ký và lưu trữ tập trung trước đó.

Tuy nhiên trong nhiều trường hợp, sinh trắc học chỉ đóng vai trò như hình thức xác thực bổ trợ để xác minh cục bộ, tức là một lớp giao diện đầu vào để người dùng mở khóa một cơ chế xác thực khác đang hoạt động phía sau.

Ví dụ nhiều ứng dụng hiện nay đang dùng sinh trắc học để tự động đăng nhập. Người dùng quét sinh trắc học nhằm tự động gửi tên đăng nhập và mật khẩu đã lưu trước đó lên hệ thống để xác minh danh tính và đăng nhập thành công.

Vì vậy, các chuyên gia VinCSS cho rằng rủi ro sinh trắc học không nằm ở bản thân công nghệ, mà nằm ở bối cảnh ứng dụng. Cốt lõi của mọi tranh cãi về sinh trắc học thường xoay quanh khả năng bị đánh cắp, làm giả hoặc vượt qua.