Theo nhà mạng, Shush là doanh nghiệp có trụ sở tại Mỹ, tiên phong cung cấp các API bảo mật phục vụ xác thực không mật khẩu, phòng chống gian lận. Nền tảng Sherlock của Shush được đưa vào thử nghiệm này sẽ đóng vai trò là bộ xử lý logic trung tâm, thực hiện kết hợp và chuyển hóa các API, có thể hiểu là "cầu nối" cho phép các hệ thống công nghệ kết nối và xác thực với nhau một cách an toàn, mà không tác động vào hạ tầng nhà mạng.
So sánh phương thức xác thực truyền thống bằng mã OTP (trên) và phương thức mới. Ảnh: Shush
Theo website của Shush, giải pháp này còn được gọi là "xác thực im lặng", tức không cần gửi tin nhắn chứa mã OTP đến người dùng.
Với phương thức mã OTP, hệ thống không thực sự biết người dùng là ai, mà chỉ kiểm tra xem người đó có nhận được một mã gửi qua SMS hay không. Quá trình xác thực vì thế phải đi qua một bước trung gian là gửi mã OTP tới số điện thoại, chờ người dùng nhập lại mã này để chứng minh quyền sở hữu số thuê bao. Cách làm này phụ thuộc vào tin nhắn SMS và thao tác của người dùng, nhưng tiềm ẩn rủi ro bị đánh cắp mã, chiếm đoạt SIM hoặc lừa nhập OTP vào các hệ thống giả mạo.
Trong khi đó, phương thức xác thực mới sẽ xác minh trực tiếp ở tầng mạng di động, dựa trên việc thiết bị đang kết nối Internet bằng chính số thuê bao đó, với các thông tin tin cậy do nhà mạng cấp phát như địa chỉ IP, trạng thái hoạt động của SIM và phiên kết nối mạng.
Nhờ bỏ qua khâu SMS và thao tác thủ công, phương thức mới vừa giảm nguy cơ gian lận, vừa giúp quá trình đăng nhập và xác nhận giao dịch diễn ra nhanh, liền mạch hơn so với xác thực OTP truyền thống.
Viettel cho biết, trong khuôn khổ dự án thử nghiệm, hai bên đã triển khai và tích hợp giải pháp này lên Open Gateway - nền tảng kết nối và cung cấp API tập trung của nhà mạng. Quá trình thử nghiệm nhằm đánh giá khả năng khai thác độ tin cậy của địa chỉ IP do mạng di động cấp phát, từ đó có thể mang đến các tính năng nâng cao trong xác thực di động và phòng chống gian lận, hướng tới khả năng thay thế tin nhắn OTP truyền thống trong tương lai.
"Việc thử nghiệm cho phép chúng tôi đánh giá các dịch vụ xác thực mạng thế hệ mới dựa trên API, đáp ứng yêu cầu bảo mật tuyệt đối thông qua nhà mạng", ông Đoàn Đại Phong, Phó tổng giám đốc Viettel Solutions chia sẻ.
Một ứng dụng ngân hàng đang xác thực người dùng thông qua mã OTP, tháng 5/2020. Ảnh: Lưu Quý
Đại diện Viettel cho biết giải pháp mới giúp giảm phụ thuộc vào phương thức OTP truyền thống; nâng cao trải nghiệm người dùng và giúp xác thực số thuê bao người dùng một cách an toàn, bảo mật và phòng chống gian lận trong các dịch vụ số. Ngoài ra, Sherlock của Shush có thể hỗ trợ nhà mạng khai thác các mô hình doanh thu mới thông qua dịch vụ xác thực.
"Viettel dự định thương mại hóa các dịch vụ xác thực mạng đối với các lĩnh vực như mạng xã hội, dịch vụ tài chính, công nghệ y tế, và bảo mật ứng dụng di động", theo thông báo.
Ông Eddie DeCurtis, đồng sáng lập kiêm tổng giám đốc điều hành Shush cho biết đây là nhà mạng đầu tiên tại Việt Nam triển khai mô hình xác thực mạng này, đánh giá đây sẽ là "bước tiến quan trọng hướng tới việc hình thành một lớp định danh toàn cầu dựa trên mạng di động".
Từ nhiều năm nay, xác thực bằng mã OTP vẫn là phương thức phổ biến với nhiều dịch vụ tại Việt Nam, với ưu điểm đơn giản, dễ triển khai và quen thuộc với người dùng. Tuy nhiên thời gian qua, phương thức này cũng bộc lộ nhiều hạn chế như chi phí gửi tin nhắn, phụ thuộc vào mạng viễn thông và thao tác nhập mã của người dùng, dễ bị chậm, thất lạc hoặc bị đánh cắp thông qua các hình thức như chiếm đoạt SIM, lừa đảo trực tuyến hay mã độc trên thiết bị. Nhiều giải pháp xác thực đã được triển khai để thay thế OTP, như xác thực không mật khẩu, sử dụng khóa bí mật chứa khuôn mặt, vân tay, mã PIN hoặc một thiết bị phần cứng chuyên dụng.
Lưu Quý
