Xác thực định danh đa nhân tố trong giao dịch Tài chính – Ngân hàng
toanpt15
Sự bùng nổ của giao dịch số trong lĩnh vực Tài chính – Ngân hàng
Xu hướng chuyển dịch từ giao dịch truyền thống (tại quầy) sang giao dịch số hiện nay tại Việt Nam cũng như trên thế giới là xu hướng tất yếu đối với mọi hoạt động Kinh tế – Xã hội. Lĩnh vực Tài chính – Ngân hàng đóng vai trò là huyết mạch của nền kinh tế, do đó lĩnh vực này buộc phải chuyển đổi số nhanh nhất để thúc đẩy quá trình chuyển đổi số Quốc gia mạnh mẽ hơn.
Số liệu thống kê từ Ngân hàng Nhà nước (NHNN) cho thấy: lượng giao dịch trên kênh Internet Banking năm 2022 tăng gần 48% so với năm 2021 và giá trị giao dịch tăng hơn 1.328% từ 811.717 tỉ đồng lên 10.868.458 tỉ đồng; số lượng giao dịch và giá trị giao dịch trên kênh Mobile Banking cũng tăng lên 100%. Hiện nay (cuối năm 2023), lượng giao dịch bình quân 1 ngày lên tới 8 triệu giao dịch, với giá trị giao dịch khoảng 900.000 tỷ đồng (tương đương 40 tỷ USD).
Khi triển khai các dịch vụ giao dịch số, vấn đề bảo mật an toàn an ninh mạng diễn biến ngày càng phức tạp. Các vụ tấn công mạng liên quan đến Tài chính – Ngân hàng ngày càng gia tăng với mức độ thiệt hại ngày càng lớn. Điều này bởi vì hacker tập trung chủ yếu vào những lĩnh vực có giá trị giao dịch lớn như Tài chính – Ngân hàng để thu lợi bất chính nên các tổ chức Tài chính – Ngân hàng phải đối mặt hàng ngày những rủi ro, nguy cơ về an toàn an ninh mạng. Theo thống kê của Bộ Thông tin và Truyền thông, trong 11 tháng đầu năm 2023 đã nhận gần 16.000 phản ánh về trường hợp lừa đảo do người dùng Internet Việt Nam gửi đến qua các hệ thống cảnh báo, trong đó hơn 91% cảnh báo này liên quan đến giả mạo, lừa đảo trong lĩnh vực Tài chính – Ngân hàng.
Xác thực định danh đơn nhân tố, đa nhân tố
Xác thực định danh là quá trình xác minh tính hợp lệ của một người sử dụng dịch vụ. Việc xác minh này nhằm tránh việc giả danh thành công để có quyền truy cập trái phép đến dịch vụ mà người giả danh không có quyền sử dụng.
Để xác thực định danh, đầu tiên cần xây dựng tập hợp đặc tính đại diện của người dùng ánh xạ vào tập hợp thực sự người dùng tương ứng. Quá trình tương tác của người sử dụng dịch vụ giao dịch số được tiến hành thông qua đặc tính đại diện của người sử dụng chứ không phải trực tiếp người sử dụng đó. Vì vậy, xác thực định danh phải đảm bảo các đặc tính đặc trưng của một người không thể bị mạo định danh bởi bất kỳ người nào khác.
Xác thực định danh đơn nhân tố là loại xác thực khi mà mỗi danh tính của một người sử dụng được gắn với một mật khẩu mà chỉ có người sử dụng này biết. Khi sử dụng dịch vụ, người sử dụng cung cấp danh tính và mật khẩu cho hệ thống, hệ thống kiểm tra danh tính và mật khẩu xem có trùng khớp với bộ danh tính và mật khẩu tương ứng được lưu trữ không. Nếu đúng thì quá trình xác thực thành công và người sử dụng được hệ thống cấp quyền truy cập vào sử dụng dịch vụ theo phân quyền.
Vì chỉ có một nhân tố là mật khẩu nên nếu người sử dụng để lộ mật khẩu thì người sử dụng khác có thể dễ dàng giả danh. Bản thân hệ thống cũng phải có cơ chế hoạt động sao cho mật khẩu của các người sử dụng không thể bị lộ khi lưu trữ hoặc truyền dữ liệu trên mạng. Để quá trình xác thực khó bị giả mạo hơn, chúng ta sử dụng thêm nhân tố mới (ngoài mật khẩu) đặc trưng cho người sử dụng. Nhân tố này khác hoàn toàn với nhân tố ban đầu để có được xác thực hai nhân tố. Để an toàn hơn, chúng ta sử dụng thêm nhân tố thứ ba khác với hai nhân tố đầu để có được xác thực ba nhân tố. Quá trình xác thực sử dụng từ hai nhân tố trở lên được gọi là xác thực đa nhân tố. Việc lựa chọn những nhân tố đặc trưng cho người sử dụng phải đảm bảo các nhân tố này phải khác biệt nhau, không có tính tương tự thì xác thực đa nhân tố mới có ý nghĩa.
Xác thực đa nhân tố thường bao gồm các loại nhân tố như sau:
- Nhân tố thứ nhất: Mật khẩu, số đại diện cá nhân (PIN). Tất nhiên phải lựa chọn mật khẩu hay số PIN sao cho khó đoán được đối với các người sử dụng khác.
- Nhân tố thứ hai: Chọn một vật mà chỉ người sử dụng hợp pháp mới có, thường mang theo mình và không thể nhân bản, ví dụ như thẻ thông minh.
- Nhân tố thứ ba: Đặc tính sinh trắc học của người dùng, gắn liền với bản thân người dùng. Đó có thể là vân tay, mống mắt, giọng nói hay khuôn mặt…
- Nhân tố thứ tư: Vị trí của người dùng được xác định chính xác không nhầm lẫn. Đối với máy tính đó chính là địa chỉ IP.
- Nhân tố thứ năm: Quan sát các hành động của người dùng như: Các cử động và tiếp xúc, ví dụ mật khẩu hình vẽ.
Xác thực sinh trắc học
Hệ thống xác thực sinh trắc học dựa trên cơ sở “bạn là ai”. Nó có nhiều lợi thế hơn so với xác thực dựa trên cơ sở “những gì bạn biết hay có”. Ví dụ, hệ thống sinh trắc học có thể tránh được những bất tiện của việc ghi nhớ mật khẩu dài hay mất token. Xác thực sinh trắc học trở thành một kỹ thuật kiểm soát truy cập được áp dụng phổ biến và đáng tin cậy.
Mô hình xác thực sinh trắc học bao gồm hai giai đoạn: đăng ký (Enrollment) và nhận dạng (Recognition) như mô hình dưới đây:
Giai đoạn đăng ký gồm các bước:
- Thu nhận dữ liệu sinh trắc học (Biometric sensor và Input Image)
- Trích xuất đặc trưng (Feature extractor)
- Tạo mẫu tham chiếu (Template)
- Lưu trữ vào cơ sở dữ liệu (Database).
Giai đoạn đăng ký là quá trình quan trọng nhất của một hệ thống xác thực sinh trắc học. Kết quả của giai đoạn là các mẫu tham chiếu, đóng vai trò quyết định tới việc xác thực có thành công sau này hay không. Do vậy, chất lượng mẫu tham chiếu là yếu tố quyết định tính chính xác của đặc điểm sinh trắc được sử dụng.
Giai đoạn nhận dạng bao gồm các bước:
- Thu nhận dữ liệu sinh trắc (Data Acquisition)
- Trích xuất đặc trưng (Signal Processing)
- Đối sánh với mẫu tham chiếu (Comparison)
- Ra quyết định (Decision)
Tùy thuộc vào tính chất hệ thống định danh (Identification) hay hệ thống xác minh (Verification), bước đối sánh với mẫu tham chiếu có sự sai khác (đối sánh 1:1 cho xác minh và đối sánh 1:N cho định danh).
Trong số nhiều phương thức xác thực sinh trắc học, xác thực bằng sInh trắc học khuôn mặt là công nghệ được sử dụng phổ biến nhất hiện nay trong các ứng dụng nghiệp vụ thực tế vì các lý do sau:
- Chi phí đầu tư thiết bị đầu cuối thấp: Chỉ cần các thiết bị có camera để chụp ảnh/quay video khuôn mặt khi lấy mẫu ở giai đoạn đăng ký và khi thực hiện giao dịch nhận dạng. Tất cả các Smartphone hiện nay đều được trang bị camera chất lượng tốt nên sẵn sàng cho việc áp dụng công nghệ sinh trắc học khuôn mặt.
- Các mô hình AI dùng trong công nghệ sinh trắc học khuôn mặt ngày càng được cải tiến và có độ chính xác rất cao.
Tuy nhiên, xác thực sinh trắc học vẫn có thể bị giả mạo khi kẻ tấn công giả dạng thành công người dùng bằng cách làm sai lệch dữ liệu sinh trắc học lấy từ người dùng. Kẻ tấn công thường dùng các phương thức:
- Làm giả các mẫu ở giai đoạn đăng ký: sử dụng ảnh tĩnh, sử dụng ảnh/video dàn dựng sẵn, làm các mẫu in dạng 3D…
- Hack app để thay đổi đặc trưng sinh trắc học đầu vào trong quá trình nhận dạng.
Xác thực sinh trắc học tại các tổ chức Tài chính – Ngân hàng Việt Nam
Theo Quyết định 2345/QĐ-NHNN ngày 18/12/2023 của NHNN: từ 01/07/2024 các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán trên mạng Internet phải triển khai áp dụng các giải pháp xác thực tối thiểu như sau:
Sau một thời gian triển khai, nhận thấy Quyết định 630/QĐ-NHNN vẫn còn nhiều bất cấp, để lộ các điểm yếu cho những kẻ tấn công lạm dụng các giao dịch chuyển tiền bất hợp pháp như: lừa đảo, cho thuê/mượn tài khoản, hack tài khoản ngân hàng. Ngày 12/10/2023 vừa qua, Ngân hàng nhà nước đã đưa ra văn bản xin ý kiến đối với dự thảo sửa đổi Quyết định 630/QĐ-NHNN ngày 31/03/2017 liên quan tới các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ.
Dự thảo đưa ra một số thay đổi quan trọng, nhằm góp phần đảm bảo an toàn trong hoạt động thanh toán. Cụ thể như sau:
| STT | Giao dịch | Biện pháp xác thực tối thiểu | |
| Khách hang cá nhân | Khách hàng doanh nghiệp | ||
| 1 | Giao dịch loại A | – Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không cần xsc thực tại bước thực hiện giao djch). | – Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không cần xsc thực tại bước thực hiện giao djch). |
| 2 | Giao dịch loại B | – OTP gửi qua phương thức SMS hoặc Voice hoặc Email hoặc OTT.
– Hoặc Thẻ ma trận OTP. – Hoặc Soft OTP/Token OTP loại cơ bản. – Hoặc giải pháp xác thực qua hai kênh – Hoặc xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị cầm tay thông minh. – Hoặc Soft OTP/Token OTP loại nâng cao. – Hoặc theo chuẩn FIDO – Hoặc bằng chữ ký điện tử an toàn |
– OTP gửi qua phương thức SMS hoặc Voice hoặc Email hoặc OTT.
– Hoặc Thẻ ma trận OTP. – Hoặc Token OTP loại cơ bản, không có chức năng xác thực người sử dụng Token. – Hoặc bằng dấu hiệu nhận dạng sinh trác học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của khách hàng gắn liền với thiết bị cầm tay thông minh. |
| 3 | Giao dịch loại C | – Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng:
(i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập. – Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đung với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP. |
-Soft OTP hoặc Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token.
– Hoặc giải pháp xác thực qua hai kênh
|
| 4 | Giao dịch loại D | Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng:
(i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đung với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra, kết hợp một trong các biện pháp xác thực sau: – Soft OTP/Token OTP loại nâng cao. – Hoặc theo chuẩn FIDO. – Hoặc bằng chữ ký điện tử an toàn. |
– Soft OTP/Token OTP loại nâng cao.
– Hoặc theo chuẩn FIDO. – Hoặc bằng chữ ký điện tử an toàn |
Định nghĩa phân loại các giao dịch:
| STT | Loại giao dịch | Giao dịch loại A | Giao dịch loại B | Giao dịch loại C | Giao dịch loại D |
| I | Khách hàng cá nhân | ||||
| 1 | Nhóm 1.1:
– Các giao dịch tra cứu thông tin – Chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản |
Tất cả các giao dịch | |||
| 2 | Nhóm 1.2:
Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. |
Giao dịch thỏa mãn điều kiện:
G + T <= 5 triệu VND |
Giao dịch thỏa mãn điều kiện:
(i)G + T <= 5 triệu VND (ii)G + T <= 100 triệu VNĐ |
Giao dịch thỏa mãn điều kiện:
(i)G + T > 100 triệu VND (ii)G + T <= 1,5 tỷ VNĐ |
Giao dịch thỏa mãn điều kiện:
G + T > 1,5 tỷ VND |
| 3 | Nhóm 1.3:
– Chuyển tiền trong cùng ngân hàng, khác chủ tài khoản. – Chuyển tiền liên ngân hàng trong nước. – Chuyển tiền giữa các vị điện tử. – Nạp tiền vào Ví điện tử – Rút tiền từ Ví điện tử |
Giao dịch thỏa mãn điều kiện:
(i) G <= 10 triệu VND (ii) G + Tksth <= 20 triệu VNĐ (iii) G + T <= 1,5 tỷ VNĐ |
Giao dịch thỏa mãn một trong các trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G <= 10 triệu VND (ii) G + Tksth > 20 triệu VNĐ (iii) G + T <= 1,5 tỷ VNĐ 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND (ii) G <= 500 triệu VNĐ (iii) G + T <= 1,5 tỷ VNĐ |
Giao dịch thỏa mãn một trong các trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G <= 10 triệu VND (ii) G + Tksth > 20 triệu VNĐ (iii) G + T > 1,5 tỷ VNĐ 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND (ii) G <= 500 triệu VNĐ (iii) G + T > 1,5 tỷ VNĐ 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND |
|
| 4 | Nhóm 1.4:
Chuyển tiền liên ngân hàng ra nước ngoài |
Giao dịch thỏa mãn các điều kiện:
(i) G <= 200 triệu VND (ii) G + T <= 1 tỷ VNĐ |
Giao dịch thỏa mãn một trong các trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G <= 200 triệu VND (ii) G + T > 1 tỷ VNĐ (iii) G + T > 1,5 tỷ VNĐ 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 200 triệu VND |
||
| II | Khách hàng doanh nghiệp | ||||
| 1 | Nhóm II.1:
Các giao dịch tra cứu thông tin |
Tất cả các giao dịch | |||
| 2 | Nhóm II.2:
Chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản |
Tất cả các giao dịch | |||
| 3 | Nhóm II.3:
– Chuyển tiền trong cùng ngân hàng, khác chủ tài khoản – Chuyển tiền liên ngân hàng trong nước – Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý – Chuyển tiền giữa các vị điện tử. – Nạp tiền vào Ví điện tử – Rút tiền từ Ví điện tử |
Giao dịch thỏa mãn điều kiện:
(i) G <= 1 tỷ VND (ii) G + T <= 10 tỷ VNĐ |
Giao dịch thỏa mãn một trong các trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G <= 1 tỷ VND (ii) G + T > 10 tỷ VNĐ 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND |
||
| 4 | Nhóm II.4:
Chuyển tiền liên ngân hàng ra nước ngoài |
Giao dịch thỏa mãn điều kiện:
(i) G <= 500 triệu VND (ii) G + T <= 5 tỷ VNĐ |
Giao dịch thỏa mãn một trong các trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G <= 500 triệu VND (ii) G + T > 5 tỷ VNĐ 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND |
Trong đó:
- G: Giá trị của giao dịch
- Tksth: Tổng giá trị các giao dịch loại A và loại B của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử). Tksth của một tài khoản ngân hàng/ví điện tử được tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi tài khoản ngân hàng/ví điện tử đó có phát sinh giao dịch trong ngày sử dụng biện pháp xác thực cho giao dịch loại C hoặc loại D.
- T: Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (kjhoong bao gồm giao dịch nạp tiền vào ví điện tử)
Để đáp ứng các quy định của NHNN như nêu trên, các tổ chức Tài chính – Ngân hàng tại Việt Nam cần phải xây dựng hệ thống xác thực sinh trắc học tập trung kết hợp xác thực thẻ CCCD Chip/ tài khoản định danh điện tử (VNeID). Chỉ cần yêu cầu khách hàng xác thực thẻ CCCD Chip khi thực hiện giao dịch, các tổ chức Tài chính – Ngân hàng đã đạt được thêm 2 nhân tố bổ sung vào quy trình xác thực định danh đa nhân tố:
- Nhân tố thứ nhất: Vật (CCCD Chip) mà chỉ người sử dụng hợp pháp mới có, thường mang theo mình và không thể nhân bản.
- Nhân tố thứ hai: Đặc tính sinh trắc học của người dùng, gắn liền với bản thân người dùng (vân tay, khuôn mặt lưu trong CCCD Chip).
FPT IS đã xây dựng giải pháp FPT.IDCheck ứng dụng thẻ CCCD Chip vào quy trình xác thực đa nhân tố như mô tả ở sơ đồ dưới đây:
Giải pháp FPT.IDCheck giúp các tổ chức Tài chính – Ngân hàng có khả năng chống giả mạo xác thực định danh ở mức độ gần tuyệt đối:
- Chống sử dụng thẻ CCCD giả
- Chống chụp/quay video dàn dựng sẵn từ thiết bị khác
- Chống kích hoạt app trên các máy ảo giả lập (simulator)
- Có cơ chế kiểm tra nguồn gốc ảnh/video khi gửi về server xử lý
- Có các mô hình AI tiên tiến chặn bắt các deepfake làm bằng các phần mềm AI ghép mặt
- Lập danh sách Blacklist sinh trắc khuôn mặt những đối tượng khả nghi hoặc đã có hành vi gian lận giao dịch trong quá khứ
- Đối chiếu kho sinh trắc khuôn mặt khách hàng đã thu thập được mỗi khi khách hang thực hiện giao dịch để hạn chế rủi ro tối đa
- Đối chiếu dữ liệu sinh trắc học khuôn mặt khách hàng với dữ liệu sinh trắc học khuôn mặt của CSDL dân cư qua thẻ CCCD Chip
Giải pháp hiện đã được triển khai thành công tại khoảng 30 tổ chức Tài chính – Ngân hàng Việt Nam, dự kiến sẽ tiếp tục triển khai nở rộng cho khoảng 50 tổ chức Tài chính – Ngân hàng khác trong năm 2024.
Kết luận
Với sự bùng nổ của các giao dich số trong lĩnh vực Tài chính – Ngân hàng, kèm theo là những nguy cơ rủi ro lớn về an toàn an ninh, các tổ chức Tài chính – Ngân hàng bắt buộc phải triển khai xác thực sinh trắc học trong quy trình xác thực định danh đa nhân tố của mình. Trong đó, áp dụng xác thực sinh trắc học khuôn mặt là phương thức phù hợp nhất vì tính dễ triển khai, khả năng bảo mật cao và đặc biệt có khả năng tích hợp dễ dàng với CSDL dân cư thông qua thẻ CCCD Chip và sắp tới đây là định danh điện tử (VNeID).
Bài viết độc quyền bởi Chuyên gia công nghệ FPT IS
Phan Thanh Toàn
Giám đốc Giải pháp Xác thực số
Công ty Hệ thống Thông tin FPT.
