Trong khuôn khổ sự kiện Công ước Liên hợp quốc về phòng chống tội phạm mạng, ông Trần Danh Lưu – Trưởng phòng phát triển sản phẩm CTCP Công nghệ số SSI (SSID) đã có những chia sẻ về những biện pháp bảo mật trong kỷ nguyên tài chính số.

Theo ông Trần Danh Lưu, trong vài năm gần đây, cách chúng ta “chứng minh mình là ai” trên môi trường số đã thay đổi mạnh mẽ. Những phương thức quen thuộc như mật khẩu, đăng nhập qua Facebook/Google hay các kho dữ liệu tập trung ngày càng bộc lộ hạn chế: dễ bị tấn công, bất tiện, và người dùng gần như không kiểm soát được dữ liệu của chính mình. Định danh phi tập trung (Decentralized Identity – Danh tính phi tập trung, còn gọi là Self-Sovereign Identity - Danh tính tự chủ) xuất hiện như một bước chuyển mô hình: quyền kiểm soát cần thuộc về người dùng, còn việc xác thực dựa trên mật mã học và thường kết hợp với công nghệ chuỗi khối, giúp chứng minh điều cần chứng minh mà không phải phơi bày toàn bộ thông tin cá nhân trên không gian mạng.

Cốt lõi của DID thay vì để một cơ quan hay công ty nắm hết mọi dữ liệu, mỗi người sở hữu các “giấy tờ số” của mình trong một ví danh tính trên điện thoại, hoặc kèm thêm thẻ có sử dụng chip chuyên dụng. Khi cần xác minh, chỉ việc xuất trình bằng chứng đã được ký số; bên kiểm tra có thể tin cậy vì chữ ký đó đến từ một đơn vị phát hành hợp lệ. Không cần truy vấn về “máy chủ trung tâm”, không cần trao tay bản sao giấy tờ, và càng không để lại một “honeypot - kho mật ong” hấp dẫn đối với tin tặc. Trong mô hình này, có ba vai trò rõ ràng: bên phát hành (như cơ quan cấp bằng lái hoặc ngân hàng làm eKYC), người giữ (chính bạn, với ví danh tính của mình) và bên kiểm tra (dịch vụ cần xác minh). Mối quan hệ niềm tin đi một chiều: chỉ cần chữ ký số hợp lệ là đủ, các bên không phải tích hợp song phương chồng chéo phức tạp.

Sự khác biệt đáng kể lớn nhất là tiện ích so với cách làm truyền thống. Trước đây, dữ liệu bị gom vào những cơ sở dữ liệu khổng lồ, chỉ cần một lỗ hổng là ảnh hưởng hàng loạt. Ngay cả đăng nhập liên thông “bằng tài khoản Facebook/Google/Apple” cũng chỉ là chuyển giao quyền lực định danh cho một nền tảng khác.

“Với DID, dữ liệu được phân tán, khóa riêng – khóa công khai bảo vệ mọi thao tác, và kỹ thuật “tiết lộ tối thiểu” cho phép bạn chứng minh mình trên 18 tuổi mà không phải cung cấp đầy đủ ngày tháng năm sinh. Hacker không còn mục tiêu “một phát ăn cả”, còn người dùng thực sự làm chủ việc chia sẻ. Chia sẻ dữ liệu gì, cho ai, trong bao lâu, tra cứu lịch sử truy vấn và có thể thu hồi khi cần”, chuyên gia SSID cho biết.

Để tất cả hoạt động trơn tru, DID dựa trên một vài khái niệm nền tảng. Trước hết là chính “định danh phi tập trung” – các chuỗi DID bạn sở hữu, gắn với cặp khóa mật mã để chứng minh quyền sở hữu bằng chữ ký số.

Thông tin kỹ thuật để người khác kiểm chứng nằm trong một tài liệu công khai gọi là DID Document; chuẩn này do W3C ban hành, và nhiều DID được ứng dụng công nghệ blockchain nhằm chống sửa đổi và minh bạch hóa quy trình. Tiếp theo là “giấy tờ số có thể kiểm chứng” (Verifiable Credentials – VC): bằng lái, bằng tốt nghiệp, thẻ nhân viên, chứng nhận KYC… ở dạng số, được bên phát hành ký số. Các giấy tờ này nằm an toàn trong ví danh tính của người dùng. Khi cần, người dùng tạo một “bản trình bày” chỉ chứa đúng phần cần tiết lộ cho tình huống đó. Nhờ vậy, doanh nghiệp có thể xác thực gần như tức thì mà không phải quay lại hỏi bên phát hành mỗi lần. Cuối cùng chính là ví danh tính – ứng dụng trên điện thoại, mã hóa dữ liệu ngay trên thiết bị và mở bằng PIN hay sinh trắc học, giúp việc dùng DID trở nên quen thuộc giống như việc rút một tấm thẻ từ ví thật.

Một hệ sinh thái mở đằng sau cũng rất quan trọng. Decentralized Identity Foundation (DIF) đóng vai trò điểm kết nối kỹ thuật, nơi doanh nghiệp, tổ chức và cơ quan nhà nước cùng phát triển các tiêu chuẩn, giao thức và công cụ để mọi ví, mạng và nền tảng có thể “nói chuyện” được với nhau. Những mảnh ghép như DID Comm (trao đổi dữ liệu an toàn giữa các tác nhân định danh) hay Decentralized Web Nodes (lưu trữ dữ liệu phân tán gắn với DID) được xây dựng nhằm bảo đảm tính tương tác. DIF cũng phối hợp chặt chẽ với W3C trong chuẩn DID Core và mô hình Verifiable Credentials, tạo nền tảng chung để ứng dụng thực tiễn như bằng lái xe được cấp ở Việt Nam vẫn có thể được đơn vị cho thuê xe ở nước khác xác thực trong vài giây.

Theo chuyên gia SSID, từ góc độ người dùng, DID mang lại ba giá trị thấy ngay: quyền riêng tư, bảo mật và quyền kiểm soát. Không còn kho tập trung đồng nghĩa với giảm hẳn nguy cơ rò rỉ hàng loạt. Kỹ thuật như Zero-Knowledge Proof (ZKP - Bằng chứng không tiết lộ) cho phép chứng minh một sự thật mà không lộ dữ liệu gốc, hạn chế tối đa việc bị thu thập và mua bán thông tin cá nhân. Việc xác thực dựa trên chữ ký số thay cho mật khẩu khiến các chiêu lừa đảo, phishing hay chiếm đoạt OTP trở nên kém hiệu quả. Quan trọng hơn cả, người dùng quyết định ai được xem điều gì. Đó không chỉ là bảo mật mà đó còn là sự tôn trọng dữ liệu người dùng.

Những lợi ích ấy đã đi vào thực tế ở nhiều lĩnh vực. Trong tài chính, eKYC có thể thực hiện một lần rồi tái sử dụng cho nhiều ngân hàng hoặc ứng dụng fintech, rút thời gian mở tài khoản từ vài ngày xuống vài phút, đồng thời giảm gian lận nhờ giấy tờ số được ký số và không thể làm giả. Trong lĩnh vực y tế, chứng nhận tiêm chủng hay kết quả xét nghiệm giúp kiểm tra nhanh bằng mã QR mà không cần lộ dữ liệu nhạy cảm. Trong giáo dục, bằng tốt nghiệp số cắt giảm nạn giả mạo hồ sơ; trong du lịch, “hộ chiếu số” và ID hành khách số hứa hẹn quy trình check-in gọn nhẹ mà vẫn riêng tư. Ngay cả trong doanh nghiệp, thẻ nhân viên số dùng cho ra vào và truy cập hệ thống có thể được cấp và thu hồi tức thời, giảm rủi ro về an toàn thông tin.

Với ngành tài chính – nơi lừa đảo ngày càng tinh vi – DID đặc biệt hữu ích trong việc giảm thiểu rủi ro. Chẳng hạn khách hàng không còn dựa vào mật khẩu hay SMS OTP, mà dùng xác thực không mật khẩu dựa trên DID, khóa phần cứng và sinh trắc học ngay trên thiết bị; kênh “phishing OTP” gần như bị vô hiệu. Với giao dịch giá trị cao, hệ thống có thể yêu cầu thêm bằng chứng: thiết bị đã được ràng buộc với ví danh tính, người thực hiện là “người thật” thông qua kiểm tra sống (liveness), và bối cảnh đăng nhập khớp với lịch sử tin cậy về vị trí địa lý. Nhân viên chăm sóc khách hàng, nếu cần liên hệ, sẽ xuất trình thẻ nhân viên số được ký số; khách hàng chỉ việc quét để biết mình đang nói chuyện với người thật, không phải kẻ mạo danh.

Ông Trần Danh Lưu cho rằng việc “KYC một lần dùng nhiều nơi” cũng giảm hẳn nhu cầu gửi ảnh giấy tờ đi khắp nơi – mỗi điểm đến chỉ nhận một bằng chứng tối thiểu rằng bạn đã được kiểm định từ trước. Thêm vào đó, mỗi dịch vụ có thể gán cho bạn một DID khác nhau để tránh bị theo dõi chéo; những nỗ lực gom dữ liệu nhằm nhắm mục tiêu lừa đảo vì thế trở nên khó khăn. Khi chuyển tiền cho người lạ, ứng dụng có thể hiển thị trạng thái định danh của người nhận; nếu chưa được KYC, hệ thống tự động hạ hạn mức hoặc bật cảnh báo. Tất cả diễn ra dựa trên bằng chứng có thể kiểm chứng, chứ không phải cảm tính hay thu thập dữ liệu thô.

Dĩ nhiên, một mô hình mới luôn đi cùng thách thức. Trải nghiệm người dùng cần đủ đơn giản để số đông chấp nhận: mất máy hay mất khóa phải có cơ chế khôi phục an toàn, như khôi phục tin cậy hoặc bản sao lưu được mã hóa trên đám mây. Về mặt kỹ thuật, quy tắc tiết lộ tối thiểu và dùng nhiều DID theo ngữ cảnh phải được tuân thủ để tránh “in dấu” người dùng trên nhiều dịch vụ. Và khung pháp lý cần theo kịp, công nhận chữ ký số và chứng chỉ số tương đương giấy tờ truyền thống, đồng thời đưa ra nguyên tắc minh bạch để bảo vệ người tiêu dùng.

Chuyên gia SSID đánh giá trong tương lai, xu hướng định danh do người dùng làm chủ sẽ trở thành tiêu chuẩn mới, với đăng nhập không mật khẩu, xác thực tức thì mà vẫn riêng tư, và ví danh tính có thể sử dụng xuyên biên giới. Khi các tiêu chuẩn tiếp tục hoàn thiện và các tổ chức như DIF, W3C cùng khu vực công – tư hợp lực, chúng ta tiến gần hơn tới một thế giới nơi mọi lần “xuất trình giấy tờ” đều là những chứng minh gọn nhẹ, xác thực và tôn trọng quyền riêng tư.

“Trong kỷ nguyên tài chính số, DID không chỉ là một công nghệ hấp dẫn; đó là lá chắn thiết yếu giúp hệ thống an toàn hơn, người dùng tự tin hơn, và các giao dịch diễn ra nhanh chóng, minh bạch với ít rủi ro lừa đảo hơn”, ông Trần Danh Lưu cho biết.