Từ ngày 1/1/2025, Thông tư 50/2024/TT-NHNN bắt đầu có hiệu lực, lần đầu tiên đặt ra khung chuẩn chặt chẽ về bảo mật cho các dịch vụ trực tuyến trong ngành ngân hàng. Điều 11 của Thông tư quy định mật khẩu của người dùng chỉ được phép tồn tại tối đa 12 tháng kể từ khi cấp hoặc đổi mới. Với mật khẩu cấp lần đầu, thời hạn còn ngắn hơn, tối đa 30 ngày. Mã khóa bí mật có độ dài tối thiểu 08 ký tự và cấu tạo bao gồm tối thiểu các ký tự: số, chữ hoa, chữ thường.

Điều này đồng nghĩa mọi ngân hàng đều buộc phải thiết lập cơ chế tự động thông báo và buộc khách hàng đổi mật khẩu khi đến hạn. Đây là quy định mang tính pháp lý, không phụ thuộc vào nhu cầu cá nhân của người dùng.

Trên thực tế, ngân hàng là một trong những ngành chịu rủi ro tấn công mạng cao nhất. Một tài khoản bị chiếm quyền truy cập trong vài phút có thể dẫn đến thất thoát tài chính nghiêm trọng, nên vòng đời của mật khẩu buộc phải được kiểm soát chặt hơn nhiều ngành khác.

Ngay cả khi người dùng không chia sẻ thông tin tài khoản, nguy cơ rủi ro bảo mật vẫn tồn tại. Mật khẩu có thể bị lộ gián tiếp từ những nền tảng ngoài ngân hàng nếu người dùng dùng chung mật khẩu cho nhiều dịch vụ. Một lỗ hổng ở mạng xã hội, diễn đàn mua sắm hay hộp thư có thể khiến thông tin truy cập vào ngân hàng bị “moi” ra mà chủ tài khoản không hề biết.

Ngoài ra, thiết bị của người dùng có thể bị nhiễm mã độc, keylogger hoặc các dạng phần mềm gián điệp. Những mối đe dọa này thường âm thầm, khó phát hiện, có thể tồn tại hàng tháng trời. Vì vậy, thay đổi mật khẩu định kỳ giống như việc “làm mới” lớp bảo vệ, chặn lại rủi ro trước khi kẻ gian kịp khai thác.

Một lý do khác khiến ngân hàng phải áp dụng cơ chế ép đổi mật khẩu nằm ở thói quen của chính người dùng. Rất nhiều người đặt mật khẩu theo dạng dễ đoán như ngày sinh, số điện thoại, tên viết tắt hoặc các chuỗi đơn giản. Một bộ phận khác lại giữ nguyên một mật khẩu suốt nhiều năm, không bao giờ thay đổi trừ khi bị hệ thống ép buộc. Việc buộc người dùng đổi mật khẩu định kỳ giúp giảm thiểu rủi ro từ hành vi chủ quan này.

Như vậy, việc ngân hàng yêu cầu đổi mật khẩu định kỳ không phải động thái gây phiền cho người dùng mà là biện pháp bảo vệ bắt buộc. Thay đổi mật khẩu giống như thay khóa cửa định kỳ, đôi khi bất tiện, nhưng luôn cần thiết để đảm bảo an toàn cho tài khoản và tài sản của chính khách hàng.



