Sinh trắc học: Không chỉ để tăng sức bảo mật
Thứ Bảy,  14/4/2018, 15:22 

Sinh trắc học: Không chỉ để tăng sức bảo mật

H. Minh

Hãng bảo mật BioCatch (Mỹ) chuyên cung cấp công cụ giúp công ty tìm hiểu hành vi số của nhân viên.

(TBVTSG) - Ngày càng có nhiều công ty từ bỏ mật khẩu, chuyển sang sử dụng dấu vân tay và những phương pháp sinh trắc học khác để ngăn chặn tin tặc xâm nhập vào hệ thống. Xu hướng chuộng phương thức bảo mật mới này được cho là an toàn hơn nhưng cũng góp phần làm thay đổi cách thức quản trị nhân sự trong doanh nghiệp.

Phương thức xác thực sinh trắc học sử dụng công nghệ quét khuôn mặt, dấu vân tay hoặc mống mắt để nhanh chóng xác nhận danh tính của một người. Hiện có không ít người tiêu dùng từng sử dụng phương thức này để mở khóa điện thoại. Còn tại nơi làm việc, nhân viên đang tăng cường việc sử dụng phương thức sinh trắc học để đăng nhập vào điện thoại và máy tính, đồng thời truy cập dữ liệu lưu trữ trên những thiết bị này và trong đám mây. “Chúng ta đang chứng kiến sự tiến hóa rất nhanh từ những gì được sử dụng làm mật khẩu, rồi đến thẻ thông minh và giờ đây là sinh trắc học”, ông Alex Simons, chuyên gia bộ phận nhận dạng của Microsoft, nhận định.

Xuất hiện nhiều chuẩn xác thực mới

Các đại công ty công nghệ, như Microsoft và Facebook, đang nỗ lực loại bỏ hoàn toàn kiểu đăng nhập bằng mật khẩu truyền thống.

Vào năm 2015, Microsoft giới thiệu tính năng Windows Hello đi cùng với hệ điều hành Windows 10. Phần mềm mới này cho phép người dùng sử dụng cách quét gương mặt hoặc dấu vân tay để đăng nhập vào các thiết bị Windows. Đến nay, đã có hơn 50 triệu người sử dụng Windows Hello để đăng nhập vào máy tính cá nhân ở nhà lẫn tại văn phòng. Theo hãng Microsoft, bản cập nhật Windows 10 sắp tới sẽ gồm một chuẩn xác thực mới được phát triển cùng với các công ty công nghệ khác, trong đó có Google. Chuẩn mở có tên gọi là FIDO 2.0 này sẽ cho phép người dùng Windows sử dụng nhiều thiết bị – như khóa bảo mật của bên thứ ba hoặc một màn hình bảo mật theo dõi nhịp tim của bạn – để tự động đăng nhập vào máy tính của họ mà không cần mật khẩu. “Mật khẩu là mắt xích yếu, chúng có những đặc tính kém, rất khó theo dõi và gây tốn kém cho các công ty”, ông Simons nhận định. Ông Simon cũng cho biết thêm Microsoft chi hơn 2 triệu đô la mỗi tháng cho các cuộc gọi giúp khách hàng thay đổi mật khẩu của họ.

Dĩ nhiên là mật khẩu truyền thống vẫn còn được sử dụng phổ biến và vẫn có điều tiện lợi là người ta sẽ dễ dàng thay đổi mật khẩu nếu nó bị đánh cắp. Còn các dữ liệu sinh trắc học về khuôn mặt hoặc dấu vân tay không thể thay đổi trong khi các dữ liệu sinh trắc học này cũng có nguy cơ bị đánh cắp. Một sự cố bảo mật tại Văn phòng quản lý nhân sự Liên bang Mỹ vào năm 2015 đã khiến dấu vân tay của 5,6 triệu người bị rò rỉ.

Người ta vẫn chưa rõ tin tặc có thể làm gì với những dấu vân tay này.

Về phía các chuyên gia bảo mật, họ còn lo lắng hơn khi phương thức xác thực bằng dấu vân tay trở thành một xu hướng phổ biến vì điều này có thể dẫn đến nạn trộm cắp danh tính. Nỗi lo này không phải vô cớ khi các nhà nghiên cứu đã chứng tỏ có thể sử dụng dấu vân tay giả để mở khóa điện thoại thông minh. Họ cũng lừa được công nghệ nhận biết khuôn mặt bằng cách sử dụng một bức ảnh để mở khóa một số thiết bị Windows cũ hơn và một mẫu điện thoại thông minh của Samsung.

Trong bối cảnh điện thoại thông minh trở thành trung tâm của cuộc sống số và chứa đựng nhiều thông nhạy cảm về người sử dụng (vị trí ngôi nhà, số thẻ tín dụng…), không có gì lạ khi thiết bị này cần phải càng an toàn càng tốt. Không chỉ người tiêu dùng mà cả doanh nghiệp cũng đang lo lắng về khả năng bên thứ ba sẽ tiếp cận hình ảnh quét khuôn mặt của người khác thông qua những thiết bị, như điện thoại iPhone X.

Cuộc rượt đuổi trong bảo mật

Chưa đặt trọn niềm tin

Theo bản khảo sát của Spiceworks, gần 90% số doanh nghiệp sẽ sử dụng phương thức xác thực sinh trắc học vào năm 2020, tăng so với tỷ lệ 62% hiện nay. Quét vân tay hiện là phương thức xác thực sinh trắc học phổ biến nhất khi được 57% số doanh nghiệp sử dụng, trong khi chỉ có 14% sử dụng công nghệ nhận biết khuôn mặt. Với hai công nghệ quét mống mắt và nhận biết giọng nói, tỷ lệ tương ứng là 3% và 2%.

Cũng theo bản khảo sát, 46% số doanh nghiệp sử dụng sinh trắc học để xác thực nhân viên trên điện thoại thông minh, 25% trên máy tính xách tay và 22% trên máy tính bảng. Những ứng dụng khác của sinh trắc học là xác thực danh tính nhân viên khi ra vào phòng máy chủ, sử dụng ứng dụng có dữ liệu nhạy cảm, thiết bị mang trên người và e-mail

Dù xác thực sinh trắc học tại doanh nghiệp đang phổ biến, nhiều nhân viên công nghệ thông tin vẫn chưa đặt nhiều niềm tin vào công nghệ này. Chỉ có 23% số người được hỏi tin rằng phương thức này sẽ thay thế mật khẩu truyền thống trong 2-3 năm tới. Một trong những lý do của sự ngờ vực này là các nhà cung cấp vẫn chưa đủ minh bạch về những lỗ hổng bảo mật tiềm tàng của hệ thống sinh trắc học, cũng như không nói rõ sẽ làm gì với số dữ liệu thu thập được hoặc sẽ lưu trữ chúng ở đâu.

Hãng Apple vào năm ngoái đã giới thiệu tính năng mở khóa điện thoại bằng công nghệ nhận biết khuôn mặt trên iPhone X. Sức mạnh bảo mật có tăng lên đến đâu chưa biết nhưng những nhà hoạt động vì quyền riêng tư bắt đầu chộn rộn lên vì vấn đề quyền riêng tư của người sử dụng có nguy cơ bị xâm phạm. Ở góc độ của người sử dụng, người ta cũng thấy phát mệt vì kiểu rượt đuổi công nghệ bảo mật này, hễ một phương thức bảo vệ mới được giới thiệu đều thấy xuất hiện những dự báo về các phương thức nhăm nhe bẻ gãy lớp bảo mật đó cùng với nhiều chuyện lằng nhằng về các loại quyền của con người cần phải xét đến.

Một số chuyên gia bảo mật gần đây khẳng định rằng dữ liệu khuôn mặt dùng để mở khóa iPhone X được lưu trữ an toàn ngay trên thiết bị này. Tuy nhiên, khả năng này không được bảo đảm đối với hàng ngàn nhà phát triển ứng dụng sẽ được tiếp cận dữ liệu khuôn mặt để phát triển tính năng giải trí cho người sử dụng iPhone X. Apple cho phép nhà phát triển tiếp cận một số dữ liệu loại này miễn là họ tìm kiếm sự cho phép của khách hàng và không bán chúng cho bên thứ ba.

Trong khi đó, ông Simons cũng tìm cách trấn an người tiêu dùng khi nhấn mạnh dữ liệu sinh trắc học thu thập bởi Windows được lưu trữ trực tiếp trên thiết bị và không được chia sẻ lên đám mây hoặc với các công ty bên thứ ba khác. Đối với những người cảm thấy không yên tâm với việc chia sẻ đặc điểm cơ thể, Microsoft cung cấp cho họ sự tùy chọn sử dụng số PIN thay vì quét sinh trắc học.

Một số bang ở Mỹ có luật lệ hạn chế thu thập dữ liệu sinh trắc học, từ đó cũng làm hạn chế các công cụ, ứng dụng quét mặt và vân tay. Chẳng hạn như bang Illinois năm 2008 đã thông qua luật yêu cầu các công ty phải báo với nhân viên mỗi khi thu thập những dữ liệu loại này và cách họ sử dụng chúng. Ngoài ra, cần phải có sự chấp thuận của người sử dụng trước khi thu thập và lưu trữ những dữ liệu đó. Một năm sau, bang Texas cũng đưa vào thực thi một đạo luật tương tự. Còn tại Liên minh châu Âu, những quy định về bảo vệ dữ liệu sắp có hiệu lực, theo đó cũng yêu cầu có sự chấp thuận của người có liên quan trước khi xử lý dữ liệu sinh trắc học.

Tăng cường sự quản lý nhân sự

Bất chấp những nỗi lo nói trên, ngày càng có nhiều doanh nghiệp sử dụng công nghệ sinh trắc học tại nơi làm việc vì những lợi ích rõ ràng. Chẳng hạn việc theo dõi nhân viên diễn ra được an toàn và chính xác hơn trong lúc giảm thiểu nguy cơ bị mạo danh và ăn cắp tính danh. Ngoài ra, người đi làm không cần phải nhớ mật khẩu, mật mã hoặc mang theo thẻ nhân viên. Tóm lại, môi trường làm việc tại công ty trở nên an toàn hơn trong lúc việc quản lý nhân viên trở nên tiện lợi và ít tốn thời gian hơn. Về lâu dài, sinh trắc học có lẽ sẽ trở thành một phần của chiến lược an ninh rộng hơn, như được dùng bên cạnh mật khẩu để tăng cường sức bảo mật.

Theo cuộc khảo sát mới đây của Spiceworks, một mạng nghề nghiệp cho người làm việc trong ngành công nghiệp công nghệ thông tin, hầu hết nhân viên công nghệ thông tin tin rằng xác thực sinh trắc học an toàn hơn những phương thức xác thực truyền thống, như mật khẩu, số PIN, câu hỏi bảo mật… Tuy nhiên, chỉ 10% số người được hỏi tin rằng sinh trắc học đủ an toàn để được sử dụng như phương thức xác thực duy nhất.

Các doanh nghiệp khác thậm chí đang dựa vào hành vi của nhân viên để phát hiện lỗ hổng bảo mật. Hãng bảo mật BioCatch (Mỹ) chuyên cung cấp công cụ giúp công ty tìm hiểu hành vi số của nhân viên và xác định khi nào một người không có thẩm quyền đang cố gắng truy cập thông tin. Các công ty có thể thêm phần mềm BioCatch vào ứng dụng và trang web. Ứng dụng sẽ xây dựng “hồ sơ hành vi” của người sử dụng và nhận biết những hoạt động như cách cầm điện thoại, sử dụng bàn phím bằng một hoặc hai tay, cách cuộn hoặc chuyển đổi giữa các màn hình.

Không có gì lạ khi các ngân hàng và ngành công nghiệp dịch vụ tài chính quan tâm nhất đến công nghệ sinh trắc học hành vi. “Nền kinh tế kết nối đang buộc phải xác định lại danh tính số và dựa vào những cách thức mới để đảm bảo không có sự giả mạo nào. Việc biết tên một ai đó và tên vật cưng của họ không bảo đảm họ là người thật”, ông Frances Zelazny, Phó chủ tịch BioCatch, giải thích.

Người ta có thể ít nhiều sự lo ngại khi thấy hành vi của mình bị theo dõi nhưng xu hướng sinh trắc học được dự báo sẽ tiếp tục phát triển. Ông Simons cho biết: “Khi chúng tôi giải thích rõ hơn về cách thức hoạt động của phần mềm và giúp việc thiết lập, sử dụng nó dễ dàng hơn, ngày càng có nhiều người sử dụng nó. Thay vì tìm cách thuyết phục mọi người rằng chúng tôi đúng, BioCatchchỉ cố gắng cung cấp nhiều sự chọn lựa phù hợp và làm tất cả để bảo vệ sự riêng tư của người sử dụng”.

(CNN, Reuters, Spiceworks)
 

TIN BÀI LIÊN QUAN
Chia sẻ:
   
CÙNG CHUYÊN MỤC
Giấy phép Báo điện tử số: 2302/GP-BTTTT, cấp ngày 29/11/2012