Passkeys và PSD2: MFA Chống Lừa Đảo Tương Thích PSD2

Trong lĩnh vực ngân hàng số, bảo mật và trải nghiệm người dùng không còn phải đối nghịch nhau. Passkeys kết hợp hai yếu tố này, giới thiệu một hình thức MFA chống lừa đảo (phishing) phù hợp với các yêu cầu của PSD2 và SCA. Passkeys là hình thức xác thực an toàn và thân thiện với người dùng nhất có thể được triển khai trong các dịch vụ tài chính. Bước tiến này đến vào một thời điểm quan trọng, khi ngành ngân hàng đang phải vật lộn với việc triển khai Chỉ thị Dịch vụ Thanh toán sửa đổi (PSD2) - một khuôn khổ pháp lý được thiết kế để tăng cường an ninh và khả năng cạnh tranh của lĩnh vực ngân hàng châu Âu.

Passkeys xuất hiện trong bối cảnh này không chỉ như một giải pháp tuân thủ mà còn là một hình thức đổi mới tuyệt vời, hứa hẹn đáp ứng các yêu cầu nghiêm ngặt của PSD2 mà không ảnh hưởng đến trải nghiệm người dùng (UX). Trong bài viết này, chúng ta sẽ phân tích các sắc thái của PSD2 và yêu cầu của nó về Xác thực Khách hàng Mạnh (SCA): rõ ràng là passkeys đại diện cho tương lai của MFA chống lừa đảo trong ngành ngân hàng.

PSD2 là một bộ luật do Liên minh châu Âu ban hành nhằm cách mạng hóa các dịch vụ thanh toán và bối cảnh ngân hàng ở châu Âu. Mục tiêu chính của nó là tăng cường cạnh tranh, nâng cao bảo vệ người tiêu dùng và thúc đẩy đổi mới trong không gian thanh toán kỹ thuật số. Bằng cách yêu cầu quyền truy cập mở vào thông tin tài chính của khách hàng cho các bên thứ ba được chấp thuận (với sự đồng ý của khách hàng), PSD2 mở đường cho một hệ sinh thái tài chính tích hợp, hiệu quả và thân thiện với người dùng hơn. Tuy nhiên, quyền lực lớn đi kèm với trách nhiệm lớn, và PSD2 giải quyết vấn đề này thông qua việc tập trung vào bảo mật, đặc biệt là qua lăng kính của các giao thức xác thực.

Trọng tâm của các biện pháp bảo mật của PSD2 là yêu cầu về Xác thực Khách hàng Mạnh (SCA), một giao thức được thiết kế để giảm đáng kể gian lận và tăng cường an ninh cho các khoản thanh toán điện tử. SCA được xây dựng trên nguyên tắc rằng các khoản thanh toán điện tử không chỉ nên liền mạch mà còn phải đủ an toàn để chống lại các mối đe dọa khác nhau. Khuôn khổ xác thực này là bắt buộc đối với các nhà cung cấp dịch vụ thanh toán, ngân hàng và các cổng thanh toán điện tử hoạt động trong phạm vi của PSD2.

Việc triển khai SCA theo PSD2 được xác định bởi một số yêu cầu quan trọng:

Xác thực phải bao gồm ít nhất hai yếu tố từ các loại sau:

• Kiến thức: Thứ mà chỉ người dùng biết, chẳng hạn như mật khẩu hoặc mã PIN.
• Sở hữu: Thứ mà chỉ người dùng sở hữu, như thiết bị di động, thẻ thông minh, hoặc token phần cứng.
• Đặc tính vốn có: Thứ vốn có của người dùng, bao gồm các định danh sinh trắc học như dấu vân tay, nhận dạng khuôn mặt hoặc mẫu giọng nói.

Đối với mỗi giao dịch, phải tạo ra một mã xác thực duy nhất liên kết động các chi tiết cụ thể của giao dịch, chẳng hạn như số tiền và số tài khoản của người nhận.

Người dùng được yêu cầu xác thực lại theo các khoảng thời gian, thường là 90 ngày một lần, để duy trì quyền truy cập vào các dịch vụ ngân hàng trực tuyến. Tuy nhiên, yêu cầu này đã được sửa đổi để tối ưu hóa sự cân bằng giữa bảo mật và tiện lợi.

SCA phải được áp dụng cho tất cả các giao dịch điện tử, đảm bảo việc xác thực là cụ thể cho số tiền và người nhận thanh toán, tạo ra một chữ ký duy nhất cho mỗi giao dịch.

Các nhà cung cấp dịch vụ thanh toán nên sử dụng phương pháp tiếp cận dựa trên rủi ro để áp dụng SCA, trong đó các giao dịch có rủi ro thấp hơn có thể được miễn SCA để hợp lý hóa quy trình thanh toán mà không ảnh hưởng đến bảo mật (hãy chú ý đến mối liên hệ với passkeys ở đây).

Toàn bộ quá trình xác thực phải có thể truy vết và kiểm toán được, với các hồ sơ được duy trì để chứng minh việc tuân thủ các yêu cầu của SCA.

Bằng cách giới thiệu SCA, PSD2 đã nâng cao đáng kể tiêu chuẩn về bảo mật giao dịch trong lĩnh vực ngân hàng. Trong phần tiếp theo, chúng ta sẽ tập trung vào các yếu tố khác nhau liên quan đến Xác thực Đa yếu tố (MFA). Các yếu tố này cũng có tác động đến yêu cầu Xác thực theo Giao dịch cụ thể (đọc thêm bên dưới).

Trong phần sau, chúng ta sẽ trình bày các giai đoạn phát triển khác nhau của việc xác thực trong lĩnh vực ngân hàng.

Hành trình xác thực trong ngành ngân hàng bắt đầu với việc sử dụng Số nhận dạng cá nhân (PIN) và Số xác thực giao dịch (TAN). Khách hàng sẽ nhận được một danh sách các mã TAN, mỗi mã được sử dụng một lần để xác minh giao dịch. Phương pháp này, mặc dù mang tính cách mạng vào thời điểm đó, nhưng cũng có những nhược điểm, bao gồm nguy cơ danh sách TAN bị đánh cắp hoặc lạm dụng.

Khi công nghệ phát triển, các ngân hàng đã giới thiệu TAN điện tử (eTAN) và TAN di động (mTAN), trong đó mã TAN được tạo và gửi đến thiết bị di động của khách hàng qua SMS. Phương pháp này cải thiện bảo mật bằng cách liên kết TAN với thiết bị, nhưng nó cũng tạo ra các lỗ hổng mới, chẳng hạn như nguy cơ bị chặn tin nhắn SMS và sự bất tiện khi phải chờ đợi và quản lý các tin nhắn này. Cho đến khi passkeys ra đời, SMS OTP vẫn được coi là tùy chọn 2FA thoải mái nhất có sẵn cho ngân hàng từ góc độ trải nghiệm người dùng.

Để tăng cường bảo mật hơn nữa, các ngân hàng đã áp dụng thẻ thông minh và thiết bị token tạo ra các mã duy nhất để xác thực. Các giải pháp dựa trên phần cứng này mang lại mức độ bảo mật cao hơn nhưng cũng thêm sự phức tạp và bất tiện cho khách hàng, những người giờ đây phải mang theo một thiết bị bổ sung.

Sự phát triển mới nhất trong xác thực ngân hàng bao gồm sinh trắc học (vân tay hoặc nhận dạng khuôn mặt) và ứng dụng ngân hàng di động với các tính năng bảo mật tích hợp. Các phương pháp này nhằm mục đích cân bằng giữa bảo mật và sự tiện lợi bằng cách tận dụng các đặc điểm sinh học độc nhất của người dùng và sự phổ biến của điện thoại thông minh. Tuy nhiên, chúng cũng yêu cầu khách hàng phải trải qua quá trình tải xuống và thiết lập một ứng dụng riêng cho mỗi ngân hàng mà người dùng sử dụng.

Mặc dù có những tiến bộ này, khách hàng vẫn phải đối mặt với sự bất tiện và thất vọng đáng kể với các phương thức xác thực ngân hàng hiện tại và có nguy cơ bị những kẻ lừa đảo nhắm đến:

• Phức tạp và Bất tiện: Việc xếp lớp nhiều bước xác thực, mặc dù tăng cường bảo mật, thường dẫn đến một quy trình rườm rà cho người dùng. Sự phức tạp này không chỉ là một sự bất tiện nhỏ; nó có thể ngăn cản khách hàng tham gia vào các dịch vụ ngân hàng số, làm suy yếu mục đích của chuyển đổi số.
• Phụ thuộc vào Thiết bị và Nền tảng: Việc chuyển sang xác thực di động và sinh trắc học buộc người dùng phải gắn chặt với thiết bị của họ. Sự phụ thuộc này tạo ra một liên kết mong manh trong trường hợp bị mất cắp. Ngoài ra, các lỗi kỹ thuật có thể khiến các dịch vụ ngân hàng không thể truy cập được, khiến khách hàng bị mắc kẹt.
• Lỗ hổng Phishing: Mặc dù có những tiến bộ, khả năng bị lừa đảo của các yếu tố xác thực vẫn là một lỗ hổng chưa được SCA giải quyết. Các yếu tố truyền thống như PIN, mật khẩu, SMS OTP, email OTP có thể bị xâm phạm thông qua các kế hoạch phishing tinh vi, gây rủi ro cho dữ liệu và tài chính của khách hàng.

Cho đến ngày nay, các ngân hàng, đặc biệt là các ngân hàng truyền thống, vẫn tiếp tục cảnh báo khách hàng về nguy cơ phishing đáng kể.

Trong phần tiếp theo, chúng ta sẽ giải thích cách thức hoạt động của nó bằng một ví dụ thực tế.

Các cuộc tấn công phishing từ lâu đã là một mối đe dọa đáng kể đối với an ninh của ngành ngân hàng, khai thác tâm lý con người (kỹ thuật xã hội) và các lỗ hổng công nghệ để giành quyền truy cập trái phép vào thông tin tài chính nhạy cảm. Khi các ngân hàng đã phát triển phương thức xác thực của mình, những kẻ lừa đảo cũng đã thích nghi, nghĩ ra các kế hoạch tinh vi để vượt qua các biện pháp bảo mật. Hiểu cách phishing hoạt động, đặc biệt là trong bối cảnh của các phương thức xác thực thường được sử dụng này, là rất quan trọng để nhận ra sự cấp bách của các giải pháp xác thực không thể bị lừa đảo như passkeys.

Về cơ bản, phishing liên quan đến việc lừa các cá nhân tiết lộ thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập hoặc thông tin tài chính, dưới vỏ bọc là thông tin liên lạc hợp pháp từ ngân hàng của họ. Điều này thường được thực hiện thông qua các bước sau:

1. Khởi xướng: Những kẻ lừa đảo gửi tin nhắn (thường qua email hoặc SMS) bắt chước các thông báo chính thức của ngân hàng, hoàn chỉnh với logo và ngôn ngữ có vẻ đáng tin cậy. Những tin nhắn này thường tạo ra cảm giác cấp bách, cho rằng cần phải hành động ngay lập tức để giải quyết một vấn đề hoặc ngăn chặn việc đóng tài khoản.
2. Lừa dối: Tin nhắn chứa một liên kết đến một trang web lừa đảo trông rất giống với cổng ngân hàng trực tuyến chính thức của ngân hàng. Không nhận thức được sự lừa dối, nạn nhân bị dẫn đến tin rằng họ đang truy cập trang web hợp pháp của ngân hàng mình.
3. Thu thập: Khi ở trên trang web lừa đảo, nạn nhân được nhắc nhập chi tiết xác thực của họ, chẳng hạn như mã PIN hoặc xác nhận giao dịch bằng OTP được gửi qua SMS. Tin rằng họ đang tương tác với ngân hàng của mình, nạn nhân tuân thủ, vô tình trao thông tin đăng nhập của mình cho những kẻ tấn công.
4. Khai thác: Với những chi tiết này, những kẻ lừa đảo sau đó có thể truy cập vào tài khoản ngân hàng của nạn nhân, thực hiện các giao dịch trái phép hoặc thực hiện hành vi trộm cắp danh tính.

Hãy xem xét một kịch bản trong đó một khách hàng của Deutsche Bank nhận được một tin nhắn SMS thông báo rằng tài khoản của họ sẽ bị vô hiệu hóa. Tin nhắn bao gồm một liên kết đến một trang web để xác minh danh tính của khách hàng, có chứa "deutschebank" trong URL và có cả chứng chỉ SSL hợp lệ. Trang web này, một bản sao chính xác của trang đăng nhập của Deutsche Bank (như bạn có thể thấy trong các ảnh chụp màn hình bên dưới), yêu cầu khách hàng nhập mã PIN ngân hàng trực tuyến của họ và sau đó yêu cầu một mã SMS OTP trong thời gian thực (không hiển thị trong ảnh chụp màn hình vì lý do bảo mật). Khách hàng không hề hay biết, việc nhập thông tin này trên trang web lừa đảo cho phép những kẻ tấn công có toàn quyền truy cập vào tài khoản Deutsche Bank của họ và có khả năng chuyển những khoản tiền lớn sang các tài khoản khác.

Đây là tin nhắn SMS lừa đảo với lời nhắc lấy lại quyền truy cập vào tài khoản ngân hàng (chỉ có ảnh chụp màn hình bằng tiếng Đức):

Đây là trang web lừa đảo của những kẻ tấn công (https://deutschebank-hilfe.info):

Đây là trang web gốc để tham khảo (https://meine.deutsche-bank.de) mà những kẻ tấn công đã sao chép gần như hoàn hảo (chúng chỉ bỏ qua cảnh báo lừa đảo ở phía dưới):

Những khách hàng đã quen với việc đăng nhập thông qua giao diện người dùng giống hệt này và sử dụng SMS OTP làm yếu tố xác thực có thể dễ dàng trở thành nạn nhân của các cuộc tấn công như vậy. Tồn tại một hệ sinh thái đáng kể các bộ công cụ mã nguồn mở được thiết kế để tập trung vào các cuộc tấn công lừa đảo nhắm vào hệ thống OAuth hoặc ngân hàng (ví dụ: https://github.com/gophish/gophish) cho mục đích nghiên cứu bảo mật. Tuy nhiên, các hệ thống này có thể dễ dàng được điều chỉnh cho các mục đích xấu.

Phishing trong lĩnh vực ngân hàng ngày càng trở nên chính xác hơn với mỗi vụ rò rỉ dữ liệu trên dark web. Thông thường, thông tin thanh toán như IBAN cũng là một phần của những vụ rò rỉ này. Mặc dù thông tin này không thể được sử dụng để trực tiếp đánh cắp tiền, nhưng nó có thể được sử dụng trong các phương pháp tấn công lừa đảo có chủ đích (spear-phishing), nơi kẻ tấn công biết rằng mục tiêu thực sự là khách hàng của ngân hàng.

Lỗ hổng nghiêm trọng trong kịch bản trên nằm ở khả năng bị lừa đảo của các yếu tố xác thực: cả mã PIN và SMS OTP đều có thể dễ dàng bị moi móc từ khách hàng dưới những lý do giả mạo. Lỗ hổng này nhấn mạnh sự cần thiết của các phương thức xác thực không thể bị xâm phạm thông qua kỹ thuật xã hội hoặc các cuộc tấn công lừa đảo.

Các yếu tố xác thực không thể bị lừa đảo, chẳng hạn như những yếu tố được kích hoạt bởi passkeys, cung cấp một hàng rào phòng thủ vững chắc chống lại các kế hoạch như vậy. Vì passkeys không dựa vào các bí mật được chia sẻ có thể bị tiết lộ, lừa gạt khỏi người dùng hoặc bị chặn, chúng thay đổi cơ bản bối cảnh bảo mật. Với passkeys, quá trình xác thực liên quan đến bằng chứng nhận dạng mật mã không thể bị những kẻ lừa đảo sao chép, loại bỏ véc-tơ tấn công phổ biến nhất trong phishing.

Để chống lại các mối đe dọa phishing một cách hiệu quả, ngành ngân hàng phải áp dụng một phương pháp tiếp cận đa diện bao gồm:

1. Giáo dục khách hàng: Các ngân hàng nên liên tục thông báo cho khách hàng của họ về những rủi ro của phishing và cách nhận biết các thông tin liên lạc lừa đảo.
2. Triển khai xác thực không thể bị lừa đảo: Chuyển sang các phương thức xác thực không dựa trên thông tin có thể bị moi móc hoặc chặn, từ đó đóng lại cánh cửa đối với nhiều nỗ lực phishing.
3. Tăng cường hệ thống phát hiện gian lận: Sử dụng phân tích nâng cao và học máy để phát hiện và ngăn chặn các giao dịch trái phép, ngay cả khi những kẻ lừa đảo có được một số dạng dữ liệu xác thực.

Trong khi phishing vẫn là một mối đe dọa đáng kể đối với ngành ngân hàng, việc áp dụng các phương thức xác thực không thể bị lừa đảo như passkeys đại diện cho một bước tiến quan trọng trong việc bảo vệ ngân hàng trực tuyến khỏi những kẻ lừa đảo. Bằng cách loại bỏ mắt xích yếu nhất - khả năng bị lừa đảo của các yếu tố xác thực - các ngân hàng có thể tăng cường đáng kể an ninh cho tài sản và thông tin cá nhân của khách hàng.

Cho đến ngày nay, Ngân hàng Trung ương châu Âu và các cơ quan giám sát ngân hàng địa phương (ví dụ: BaFin) vẫn chưa đưa ra quan điểm về việc liệu passkeys, nói chung, có được phân loại là 2FA hay không hoặc các ngân hàng nên sử dụng chúng như thế nào.

Trong phần tiếp theo, chúng tôi mong muốn giải thích tại sao chúng tôi tin rằng passkeys tuân thủ PSD2.

Trong các cuộc thảo luận với các bên liên quan từ các lĩnh vực thanh toán, fintech và ngân hàng, một câu hỏi thường xuyên xuất hiện: Liệu passkeys có tuân thủ PSD2 không, và chúng có thể đóng vai trò là hình thức xác thực duy nhất trong các kịch bản ngân hàng không? Mối quan hệ giữa passkeys và Chỉ thị Dịch vụ Thanh toán sửa đổi (PSD2) tại Liên minh châu Âu rất tinh tế và đòi hỏi một sự khám phá chi tiết. Để làm rõ, passkeys thường được phân thành hai loại: Passkeys đồng bộ hóa (Đa thiết bị) và Passkeys không đồng bộ hóa (Đơn thiết bị), mỗi loại có những đặc điểm riêng biệt về việc tuân thủ PSD2:

Việc tuân thủ là rất quan trọng đối với các tổ chức được quản lý như ngân hàng và các công ty bảo hiểm. Tuy nhiên, các chính sách về tuân thủ có thể mất nhiều thời gian để thay đổi. Trong trường hợp của passkeys, lợi thế bảo mật lớn nhất là chúng không thể bị lừa đảo, vì khách hàng không thể vô tình tiết lộ thông tin này cho những kẻ tấn công.

Trong khi passkeys tăng cường đáng kể bảo mật bằng cách không thể bị lừa đảo, chúng lại chuyển một phần rủi ro sang tài khoản đám mây của khách hàng, chẳng hạn như Apple iCloud Keychain. Điều này làm cho tài khoản đám mây trở thành một mục tiêu hấp dẫn hơn đối với những kẻ tấn công. Tuy nhiên, các dịch vụ như Apple iCloud có các biện pháp bảo mật mạnh mẽ, đặc biệt là đối với các tính năng hỗ trợ passkeys.

Thứ nhất, passkeys trên iCloud phụ thuộc vào việc xác thực hai yếu tố (2FA) được bật trên tài khoản, thêm một lớp bảo mật bổ sung. Điều này có nghĩa là ngay cả khi kẻ tấn công biết mật khẩu iCloud của khách hàng, họ vẫn cần quyền truy cập vào một thiết bị đáng tin cậy hoặc số điện thoại để nhận mã 2FA.

Apple, và tương tự là Google cho các tài khoản của họ, đầu tư nguồn lực đáng kể vào việc bảo mật các dịch vụ đám mây này. Các giao thức bảo mật cho các tài khoản hỗ trợ passkeys trên đám mây rất nghiêm ngặt, khiến cho việc người dùng trái phép đột nhập gần như là không thể. Tiêu chuẩn bảo mật cao này được duy trì thông qua các bản cập nhật và vá lỗi bảo mật liên tục (và họ cũng đã giới thiệu passkeys cho tài khoản của mình, xem bài viết này).

Hơn nữa, việc đánh cắp thiết bị hoặc tài khoản đám mây, mặc dù là một rủi ro tiềm tàng, nhưng không phải là véc-tơ tấn công phổ biến nhất đối với các ứng dụng ngân hàng. Trong trường hợp cần tăng cường bảo mật, chẳng hạn như đối với các giao dịch đáng ngờ, các ngân hàng có thể tiếp tục sử dụng SMS OTP làm một yếu tố bổ sung. Bằng cách thay thế mã PIN / mật khẩu bằng passkeys, yếu tố xác thực đầu tiên trở nên không thể bị lừa đảo, giảm đáng kể nguy cơ tấn công phishing thành công. Một yếu tố thứ ba có thể được giới thiệu cho các giao dịch bị gắn cờ là đáng ngờ, đảm bảo một lập trường bảo mật vững chắc.

Trái ngược với quan điểm truyền thống (ngại rủi ro) về việc tuân thủ PSD2, Finom và Revolut đã quyết định rằng bảo vệ dữ liệu khách hàng quan trọng hơn và do đó đang sử dụng passkeys, mặc dù thiếu một quyết định công khai của châu Âu về cách giám sát ngân hàng nên đối xử với passkeys liên quan đến việc tuân thủ PSD2. Các ngân hàng số và fintech như Finom và Revolut đang thách thức hiện trạng và, bằng cách đó, đang ảnh hưởng đến bối cảnh pháp lý liên quan đến các biện pháp xác thực được quy định bởi PSD2.

Bằng cách ưu tiên bảo mật và tính toàn vẹn của dữ liệu khách hàng, những người tiên phong trong lĩnh vực fintech này đang áp dụng passkeys ngay cả khi không có hướng dẫn pháp lý rõ ràng từ các cơ quan châu Âu. Lập trường chủ động này đặt trách nhiệm lên các nhà quản lý phải đánh giá lại các khuôn khổ tuân thủ của họ trước những tiến bộ công nghệ mang lại các giải pháp bảo mật vượt trội.

Động thái táo bạo của Finom và Revolut trong việc triển khai passkeys làm nổi bật một khía cạnh quan trọng của việc tuân thủ quy định - đó không phải là việc tuân thủ các tiêu chuẩn một cách cứng nhắc mà là đạt được các mục tiêu cơ bản của các tiêu chuẩn đó, trong trường hợp này là bảo mật tối đa cho dữ liệu và giao dịch của khách hàng. Bằng cách chọn ưu tiên bảo vệ dữ liệu hơn là tuân thủ nghiêm ngặt các mô hình tuân thủ truyền thống, các ngân hàng số này đang thiết lập các tiêu chuẩn mới cho ngành.

Từ góc độ pháp lý, có một nhu cầu cấp thiết về sự rõ ràng và thích ứng để đáp ứng các tiến bộ như passkeys trong khuôn khổ tuân thủ PSD2. Chúng tôi kêu gọi EU đưa ra một lập trường dứt khoát về passkeys, công nhận chúng là một hình thức xác thực đa yếu tố (MFA) vượt trội, phù hợp với các mục tiêu cốt lõi của PSD2 là củng cố an ninh và giảm gian lận trong hệ sinh thái thanh toán kỹ thuật số.

Passkeys, về mặt thiết kế, cung cấp một yếu tố xác thực mạnh mẽ, chống lừa đảo, vượt qua khả năng bảo mật của hầu hết các phương pháp MFA truyền thống. Điều này không chỉ tăng cường bảo mật mà còn đơn giản hóa trải nghiệm người dùng, giải quyết hai khía cạnh quan trọng của việc tuân thủ PSD2.

Lập trường của EU nên phát triển để phản ánh những tiến bộ công nghệ định nghĩa lại những gì cấu thành xác thực hiệu quả và an toàn. Bằng cách đón nhận những đổi mới như passkeys và kết hợp chúng vào cơ cấu pháp lý, EU có thể thể hiện cam kết của mình trong việc bảo vệ người tiêu dùng và thúc đẩy một môi trường tài chính kỹ thuật số hướng tới tương lai.

Khi ngành tài chính tiếp tục đổi mới, các nhà quản lý có trách nhiệm cung cấp hướng dẫn rõ ràng, tiến bộ không chỉ theo kịp sự thay đổi công nghệ mà còn dự đoán được những phát triển trong tương lai. Các ngân hàng số hiện đang dẫn đầu, nhưng cuối cùng, trách nhiệm của các cơ quan quản lý là đảm bảo rằng toàn bộ ngành tài chính có thể tiến lên một cách an toàn và tự tin vào tương lai của ngân hàng số.

Việc áp dụng passkeys trong lĩnh vực ngân hàng và fintech nổi bật như một ví dụ điển hình của sự đổi mới giúp tăng cường đáng kể cả bảo mật và trải nghiệm người dùng. Trong suốt bài viết của chúng tôi, chúng tôi đã xác lập tiềm năng của passkeys như một giải pháp xác thực hướng tới tương lai, phù hợp với các yêu cầu bảo mật nghiêm ngặt của PSD2 đồng thời giảm thiểu các mối đe dọa phổ biến như phishing. Các ngân hàng số / fintech như Finom và Revolut đã tạo ra một tiền lệ bằng cách tích hợp passkeys vào các khuôn khổ bảo mật của họ, chứng tỏ hiệu quả và cách tiếp cận lấy khách hàng làm trung tâm.

Một kế hoạch hành động ba bước cho các ngân hàng truyền thống có thể như sau:

1. Tương tác với các Cơ quan Quản lý Địa phương: Các ngân hàng truyền thống nên chủ động tương tác với các cơ quan quản lý địa phương và cơ quan giám sát ngân hàng để thảo luận về việc triển khai passkeys. Cuộc đối thoại này nên nhằm mục đích làm rõ các quan điểm pháp lý và mở đường cho việc tích hợp passkeys vào cấu trúc tuân thủ hiện có. Bằng cách chủ động, các ngân hàng có thể góp phần định hình một môi trường pháp lý hỗ trợ các phương thức xác thực đổi mới.
2. Học hỏi từ các Thực tiễn Tốt nhất của Ngân hàng số: Điều bắt buộc đối với các ngân hàng truyền thống là quan sát và học hỏi từ các ngân hàng số đã triển khai thành công passkeys. Nghiên cứu các thực tiễn tốt nhất này sẽ cung cấp những hiểu biết có giá trị về các khía cạnh vận hành, kỹ thuật và dịch vụ khách hàng của việc triển khai passkey. Việc chuyển giao kiến thức này có thể hỗ trợ các ngân hàng truyền thống trong việc xây dựng chiến lược áp dụng passkeys của họ.
3. Chuyển đổi chiến lược sang Passkeys: Với sự rõ ràng về quy định và hiểu biết về các thực tiễn tốt nhất, các ngân hàng truyền thống có thể phát triển một kế hoạch toàn diện để chuyển đổi khách hàng sang xác thực dựa trên passkey. Kế hoạch này nên bao gồm các chiến dịch giáo dục khách hàng để giải thích lợi ích và cách sử dụng passkeys, triển khai theo từng giai đoạn để đảm bảo quá trình chuyển đổi suôn sẻ, và đánh giá liên tục để giải quyết mọi thách thức kịp thời.

Tương lai của xác thực ngân hàng nằm ở các công nghệ ưu tiên cả bảo mật và khả năng sử dụng. Passkeys đại diện cho một bước tiến theo hướng này, cung cấp một phương thức xác thực không thể bị lừa đảo, thân thiện với người dùng đáp ứng các tiêu chuẩn do PSD2 và các khuôn khổ pháp lý khác đặt ra.

Đối với các ngân hàng truyền thống, bây giờ là lúc để đón nhận sự thay đổi và bắt đầu chuyển đổi sang passkeys. Tuy nhiên, quá trình chuyển đổi này không nên đột ngột mà phải là một động thái được cân nhắc kỹ lưỡng, có tính đến nhu cầu riêng của cơ sở khách hàng, môi trường pháp lý cụ thể và sự sẵn sàng về công nghệ của tổ chức.

Mục tiêu cuối cùng là đảm bảo rằng mọi khách hàng đều được hưởng lợi từ bảo mật nâng cao mà không phải hy sinh sự tiện lợi. Bằng cách áp dụng passkeys, các ngân hàng sẽ không chỉ bảo vệ khách hàng của mình bằng công nghệ tiên tiến mà còn báo hiệu một cam kết đối với sự đổi mới và lấy khách hàng làm trung tâm trong kỷ nguyên tài chính số.