Xác thực và định danh điện tử: Cần hành lang pháp lý phù hợp

Bộ TT-TT đang trình Chính phủ đề nghị xây dựng Nghị định quy định về xác thực và định danh điện tử, nhằm tạo cơ sở pháp lý cho việc cung cấp và sử dụng dịch vụ xác thực và định danh điện tử đa dạng, góp phần đảm bảo an ninh, an toàn thông tin trong giao dịch điện tử.

Cần bỏ thói quen sử dụng một mật khẩu cho nhiều tài khoản

Hiện nay, có các hình thức xác thực và định danh điện tử sau: Sử dụng tên đăng nhập và mật khẩu; Xác thực bằng mật khẩu một lần (One-Time Password – OTP); Xác thực bằng số ĐTDĐ; Xác thực bằng chứng thư số/chữ ký số; Xác thực bằng sinh trắc học.

Đánh giá thực trạng liên quan đến chính sách xác thực và định danh điện tử, Bộ TT-TT cho biết, sử dụng tên đăng nhập và mật khẩu là hình thức xác thực và định danh phổ biến nhất trong các hệ thống thông tin.

Tuy nhiên, đáng quan tâm là ý thức sử dụng mật khẩu của người dùng chưa cao. Thói quen tạo mật khẩu ngắn, dễ đoán, tùy tiện nhập thông tin tài khoản vào các website, đường link lạ hay sử dụng chung một mật khẩu cho nhiều tài khoản là những thói quen cần thay đổi để đảm bảo an toàn.

“Việc lộ các thông tin tài khoản sử dụng thư điện tử và mật khẩu sẽ tạo điều kiện cho tin tặc sử dụng tài khoản, mật khẩu đó để dò thông tin và đăng nhập nhiều hệ thống thông tin khác, đánh cắp dữ liệu, hoặc chiếm đoạt tài sản của chủ tài khoản thông qua các dịch vụ trực tuyến”, báo cáo đánh giá thực trạng các vấn đề liên quan đến chính sách xác thực và định danh điện tử nêu rõ.

Qua khảo sát cũng cho thấy, các Cổng dịch vụ công cấp Bộ, cấp tỉnh cung cấp giải pháp xác thực và định danh điện tử đơn giản, chủ yếu dựa vào tên người dùng và mật khẩu. Ngoài ra, quy trình đăng ký, cấp tài khoản không thống nhất, mỗi Bộ ngành, địa phương tổ chức sử dụng phương thức quản lý tài khoản, quản lý định danh khác nhau, tương ứng là người dùng có nhiều tài khoản định danh khác nhau để truy cập vào các hệ thống này. Điều này không chỉ gây lãng phí công sức, khó kiểm soát an toàn, an ninh thông tin, khó khăn trong quản lý định danh mà còn gây bất tiện cho người sử dụng hệ thống.

Xác thực, định danh điện tử bằng chữ ký số có mức độ đảm bảo an toàn cao.

Mức độ an toàn của hình thức xác thực không cao

Cũng theo Bộ TT&TT, nhiều trang/cổng dịch vụ công của các Bộ, ngành, địa phương hiện nay không có các quy định chặt chẽ về tên tài khoản, mật khẩu như độ dài, độ phức tạp của mật khẩu, thay đổi mật khẩu định kỳ hay hạn chế số lần nhập sai mật khẩu, xác thực không thành công dẫn đến mức độ an toàn của hình thức xác thực không cao.

Hiện nay, hình thức xác thực phổ biến bằng mật khẩu một lần (OTP) được hầu hết các ngân hàng áp dụng khi khách hàng chuyển tiền trên mạng hay thực hiện một giao dịch trực tuyến.

Tuy nhiên, hạn chế của SMS OTP là việc người dùng không thể nhận được mã xác thực khi điện thoại mất sóng hoặc ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế. Mức độ đảm bảo an toàn của xác thực OTP cũng phụ thuộc rất nhiều vào thuật toán tạo OTP và cách mà nhà cung cấp gửi mã OTP đến người dùng. Một số sự cố mất tiền trong các giao dịch Internet Banking tại một số ngân hàng đã đặt ra vấn đề đảm bảo an toàn khi sử dụng OTP.

Video đang HOT

Hình thức xác thực phổ biến thứ ba là sử dụng số ĐTDĐ. Theo Cục Viễn thông, tính đến tháng 5-2018, tổng số thuê bao di động có phát sinh lưu lượng tại Việt Nam là hơn 123 triệu thuê bao. Hiện, các ngân hàng thường sử dụng điện thoại để xác thực người dùng trực tuyến bằng cách liên kết số điện thoại của người dùng với định danh mà họ đã đăng ký với ngân hàng. Còn với dịch vụ công trực tuyến, các cơ quan Nhà nước có thể sử dụng số điện thoại là phương thức xác thực và định danh người sử dụng dịch vụ công trực tuyến..

Phương thức xác thực và định danh điện tử bằng chứng thư số/chữ ký số được coi là một trong các giải pháp xác thực và định danh điện tử có mức độ đảm bảo an toàn cao, được ứng dụng phổ biến ở nhiều nước trên thế giới.

Ngoài ra, công nghệ sinh trắc học, sử dụng những đặc điểm sinh học hoặc các mẫu hành vi đặc trưng như dấu vân tay, mẫu mống mắt, giọng nói, khuôn mặt, dáng đi… để nhận diện con người cũng được sử dụng để xác thực. Hiện nay, công nghệ bảo mật sinh trắc học chưa đưa ra một giải pháp hoàn hảo, nhưng dự tính sẽ là một lựa chọn quan trọng cho các hệ thống thông tin về vấn đề bảo mật trong tương lai.

Chưa phân chia theo mức độ cần phải đảm bảo an toàn

Như vậy, để định danh cho các giao dịch điện tử, hiện có khá nhiều các hình thức. Tuy nhiên, việc xác thực lại chưa được chú trọng phân chia theo mức độ cần phải đảm bảo an toàn.

Theo Bộ TT&TT, các hệ thống xác thực và định danh điện tử tại Việt Nam còn chưa nhất quán. Các tổ chức (công – tư) đều tự thiết lập quy trình quản lý định danh và xác thực riêng khi xây dựng các ứng dụng CNTT và cung cấp dịch vụ công trực tuyến. Các quy trình này khá hạn chế, thiếu kết nối, liên thông và chỉ phục vụ phạm vi giới hạn, định trước.

Đáng quan tâm, các văn bản liên quan hiện hành vẫn chưa có quy định cụ thể về xác thực và định danh điện tử. Các nguyên tắc định danh và xác thực điện tử như: chỉ xác thực và định danh khi cần thiết; đảm bảo quyền riêng tư cá nhân; bảo đảm các mức độ xác thực để tránh rủi ro… còn chưa được quy định và áp dụng.

Nhiều đơn vị vẫn chưa quy định rõ về vị trí vai trò đặc điểm, phạm vi, cách thức triển khai các hình thức xác thực cũng như trách nhiệm trong việc triển khai quản lý, đảm bảo an toàn cho giao dịch điện tử. Điều này dẫn đến rất nhiều địa phương lúng túng trong việc phối hợp triển khai Cổng dịch vụ công quốc gia, Hệ thống thông tin một cửa điện tử cấp bộ, cấp tỉnh hỗ trợ xác thực thông tin công dân, DN.

Việc lựa chọn cung cấp và sử dụng các hình thức xác thực, định danh điện tử trong các hệ thống chưa được quy định rõ ràng, chưa xác định rõ trách nhiệm của các bên khi cung cấp, sử dụng dịch vụ. Các yêu cầu, điều kiện, quyền lợi, trách nhiệm đối với cung cấp và sử dụng dịch vụ xác thực, định danh điện tử chưa được quy định cụ thể…

Để khắc phục các bất cập trên, đảm bảo an toàn cho giao dịch trực tuyến, Bộ TT&TT cho rằng việc ban hành Nghị định quy định về xác thực và định danh điện tử là rất cần thiết. Qua đó, còn góp phần nâng cao hiệu quả sử dụng Cổng dịch vụ công quốc gia, Cổng dịch vụ công, hệ thống thông tin một cửa điện tử cấp Bộ, cấp tỉnh, hoàn thành các mục tiêu xây dựng Chính phủ điện tử.

Dự thảo Nghị định quy định về xác thực và định danh điện tử dự kiến trình Chính phủ trong tháng 10 – 2019.

Phạm vi điều chỉnh của Dự thảo Nghị định quy định về xác thực, định danh điện tử, bao gồm: hình thức xác thực, định danh điện tử; cung cấp và sử dụng các dịch vụ xác thực điện tử; xác thực điện tử trong cung ứng dịch vụ công trực tuyến; xử lý vi phạm hành chính trong cung ứng và sử dụng dịch xác thực điện tử

Theo phapluatxahoi

Nằm lòng 8 'chiêu' để thông tin cá nhân không bao giờ bị rò rỉ trên mạng Việt Nam 'lọt top' 10 quốc gia có số lượng người dùng bị ảnh hưởng nhiều nhất từ vụ bê bối lộ thông tin trên Facebook - đây là cảnh báo đáng lo ngại đối với những người có thói quen dùng mạng xã hội thiếu an toàn. Dưới đây là những 'chiêu hay' bạn có thể áp dụng để bảo vệ hiệu...