Vingroup đạt chuẩn FIDO2 thứ hai cho máy chủ xác thực mạnh

CEO VinCSS: 'Đã đến lúc không cần ghi nhớ mật khẩu'

CEO Công ty TNHH Dịch vụ An ninh mạng VinCSS (thuộc Tập đoàn Vingroup) vừa có những chia sẻ về việc sản phẩm khoá xác thực "VinCSS FIDO2 Authenticator" đạt tiêu chuẩn FIDO2.

Tổng giám đốc Công ty TNHH Dịch vụ An ninh mạng VinCSS Đỗ Ngọc Duy Trác đã kể lại hành trình "khó không tưởng" mà những kỹ sư Việt Nam đã vượt qua, để đưa VinCSS trở thành một trong 34 công ty trên thế giới đạt chuẩn xác thực FIDO2.

- VinCSS vừa tạo dấu ấn trong giới công nghệ thế giới khi cho ra đời sản phẩm khoá xác thực VinCSS FIDO2 Authenticator đạt tiêu chuẩn FIDO2. Ông có thể giải thích một cách dễ hiểu nhất FIDO2?

- FIDO2 là thuật ngữ cho bộ thông số kỹ thuật mới nhất của Liên minh Xác thực trực tuyến thế giới (FIDO Alliance). Với FIDO2, thay vì nhiều tên đăng nhập và mật khẩu ở các hệ thống, ứng dụng khác nhau, người dùng chỉ xác thực một lần duy nhất với khóa, có thể bằng vân tay hay khuôn mặt.

Khóa này ở dạng vật lý hoặc dạng khóa mềm (ứng dụng trên các thiết bị di động). Khóa và máy chủ sẽ chuyển đổi bằng thuật toán để xác nhận việc đăng nhập.

Ông Đỗ Ngọc Duy Trác - Tổng giám đốc Công ty TNHH Dịch vụ An ninh mạng VinCSS.

- Vì sao chúng ta phải thay đổi cách dùng mật khẩu - điều được nhiều người tin tưởng là lớp bảo vệ an toàn? Với chuẩn FIDO2, người dùng sẽ được lợi gì, thưa ông?

- 20 năm qua, người dùng truy cập vào các ứng dụng, hệ thống theo cách gõ tên, mật khẩu, trình duyệt sẽ gửi thông tin lên máy chủ để so sánh. Nếu trùng khớp, hệ thống sẽ cho người dùng đăng nhập. Cách làm này được xem là bất tiện vì người dùng phải nhớ nhiều mật khẩu và dễ bị tin tặc tấn công, ăn cắp mật khẩu.

Bởi thế, Liên minh FIDO (Fast IDentity Online) Alliance đã quyết định loại mật khẩu từ phía người dùng và trên hệ thống máy chủ. Người dùng sẽ không cần ghi nhớ mật khẩu, họ chỉ kích hoạt mở khóa bằng các đặc điểm nhận dạng như vân tay, tròng mắt... Điều này giúp người dùng không bị giả mạo hay cài phần mềm độc hại để trộm mật khẩu.

Ngoài ra, giữa khóa và máy chủ sẽ nói chuyện bằng thuật toán, không lưu lại dữ liệu người dùng. Tin tặc can thiệp vào cuộc nói chuyện này cũng không thể thu được gì.

- VinCSS đã phải trải qua những gì để vượt qua tiêu chuẩn của Liên minh FIDO Alliance?

- Đầu tiên chúng tôi vượt qua rào cản tâm lý tự ti, vượt qua chính mình để chinh phục các thách thức và về đích trong vòng 9 tháng. Kế đến là các thách thức công nghệ. Tiêu chuẩn FIDO2 đòi hỏi sự chính xác nghiêm ngặt, với sai số thiết bị cực thấp. Ví dụ trong lúc thử nghiệm, nhóm kỹ sư muốn lắp thêm một đèn LED siêu nhỏ nhưng đã gây sai số cả hệ thống.

Sản phẩm sau đó phải trải qua quá trình kiểm tra vô cùng chặt chẽ của FIDO Alliance. Đầu tiên là vòng tương thích công nghệ để chắc chắn khóa có thể hoạt động với mọi ứng dụng, hệ thống máy chủ, trình duyệt hỗ trợ FIDO trên thế giới. Tại vòng này, sản phẩm phải vượt qua 180 bài test, mỗi bài chọn ngẫu nhiên một máy chủ, một ứng dụng để kiểm tra.

Sản phẩm chỉ cần thất bại một trong 180 bài test sẽ bị trả về. Trong 2 ngày liên tục, chúng tôi rất căng thẳng, tất cả cùng tập trung vượt từng bài test. Chỉ khi sản phẩm của VinCSS xuất sắc vượt qua 180 câu, chúng tôi mới có thể thở phào nhẹ nhõm.

Sản phẩm VinCSS FIDO2 Authenticator phiên bản USB.

- Tiếp đến là thử thách nào nữa, thưa ông?

- Vòng 2 là "Vòng sát hạch". Một hội đồng của FIDO Alliance sẽ kiểm tra, đưa ra hàng loạt câu hỏi chi tiết, hóc búa mà chỉ những người làm thật mới hiểu và trả lời được. Vượt qua vòng sát hạch, chúng tôi phải chuẩn bị và trình một bộ hồ sơ đặc tả mọi tham số kỹ thuật để hội đồng đánh giá.

Vì khó khăn như vậy nên trong đợt cấp chứng nhận năm nay, chỉ có VinCSS của Việt Nam và tập đoàn khác của Hàn Quốc vào danh sách các công ty và tập đoàn đang sở hữu chứng chỉ FIDO2 cho sản phẩm khóa xác thực.

- Việt Nam bây giờ mới có sản phẩm theo chuẩn FIDO2 liệu có muộn không thưa ông?

So với thế giới, Việt Nam nằm trong nhóm nhanh và đi sớm. Chúng ta là quốc gia thứ 13 tự làm chủ công nghệ và sản xuất được sản phẩm theo chuẩn FIDO2 cùng với Mỹ, Nhật Bản, Canada, Anh, Đức...

- Là doanh nghiệp Việt đầu tiên làm chủ công nghệ này, VinCSS có dự định gì trong thời gian tới?

- Vấn đề an toàn mật khẩu của các doanh nghiệp thế giới nói chung và Việt Nam nói riêng vẫn còn lỏng lẻo. Với Việt Nam, nhiều doanh nghiệp lớn trong nước đang rất hứng thú với công nghệ của chúng tôi. Trước đó, nhiều nơi muốn làm khóa xác thực theo chuẩn mới nhưng dịch vụ này chưa có ở Việt Nam.

Sản phẩm đầu tiên của chúng tôi - VinCSS FIDO2 Authenticator là phiên bản USB sẽ ra mắt năm 2020. Đây sẽ là bước khởi đầu trong chuỗi dịch vụ chuyển đổi hệ thống xác thực do VinCSS cung cấp, gồm khóa xác thực cứng hỗ trợ Bluetooth, NFC, vân tay dưới nhiều hình thức như vòng đeo tay, nhẫn công nghệ cao...; hoặc khóa mềm dưới hình thức ứng dụng. Chúng tôi sẽ chia sẻ và phối hợp với các cơ quan, tổ chức Việt Nam, mang đến chi phí hợp lý nhất.

Bên cạnh việc kinh doanh, theo định hướng phát triển mảng công nghệ của Tập đoàn Vingroup, chúng tôi cũng muốn truyền cảm hứng để thúc đẩy các doanh nghiệp an toàn, an ninh mạng tham gia nghiên cứu phát triển. Ngoài ra, chúng tôi không ngừng nỗ lực vươn lên, sớm hình thành nền công nghiệp an ninh mạng tự chủ và có sức cạnh tranh lớn.

Theo Zing