Digital Trust • Banking Security
Hướng đi thực tiễn để tăng xác thực mạnh, phòng chống giả mạo sinh trắc học và bám sát yêu cầu tuân thủ mới cho Mobile Banking, Internet Banking và các hành trình rủi ro cao.
Posted by Mobile-IDMar 24, 2026Presale / Solution ArchitectureConfidential source adapted into public blog format
Executive Summary
Mobile-ID đề xuất một lớp xác thực số thống nhất cho ngân hàng, kết hợp Trusted Hub FIDO2 Server, Trusted Key FIDO2 Client/Authenticator SDK và Face Match + PAD Level 2. Mục tiêu là giảm phụ thuộc vào OTP truyền thống, tăng khả năng chống phishing và deepfake, đồng thời tạo nền tảng để triển khai passwordless banking theo lộ trình có kiểm soát.
Phishing-resistant authentication
Face Match + PAD Level 2
Policy-driven step-up
Audit-ready trust orchestration
Ngân hàng số đang đối mặt với một áp lực kép: phải đơn giản hóa trải nghiệm cho khách hàng nhưng đồng thời vẫn phải tăng cường bảo mật, ngăn chặn phishing, account takeover, giả mạo sinh trắc học và các hành vi gian lận ngày càng tinh vi. Trong bối cảnh đó, mô hình xác thực dựa nặng vào OTP truyền thống bộc lộ ngày càng nhiều giới hạn về mức an toàn, chất lượng bằng chứng xác thực và hiệu quả vận hành.
Cách tiếp cận của Mobile-ID không xem FIDO2 chỉ là một tính năng đăng nhập mới. Thay vào đó, đây là một Digital Trust Layer có thể tái sử dụng trên nhiều kênh và nhiều hành trình rủi ro, từ login thường ngày đến xác nhận giao dịch giá trị cao, kích hoạt lại trên thiết bị mới và thay đổi thông tin định danh.
Vì sao ngân hàng cần nâng cấp lớp xác thực ngay lúc này?
Khung quản lý đối với ngân hàng điện tử đã dịch chuyển từ việc chỉ yêu cầu “có xác thực” sang yêu cầu “xác thực đủ mạnh, có kiểm soát thiết bị, kiểm soát ứng dụng, có khả năng chứng minh và có thể kiểm toán”. Theo định hướng trong proposal, các ngân hàng cần một giải pháp không chỉ giải quyết bài toán đăng nhập, mà còn bao phủ các tình huống đổi thiết bị, kích hoạt lại, thay đổi thông tin định danh và các giao dịch có dấu hiệu bất thường.
Đặc biệt, khi khuôn mặt được sử dụng như một yếu tố bảo mật cho các hành trình quan trọng, việc chỉ đối sánh khuôn mặt là chưa đủ. Hệ thống cần thêm lớp Presentation Attack Detection (PAD) Level 2 để tăng khả năng chống lại photo attack, replay attack, video injection, deepfake hoặc các hình thức giả mạo tinh vi khác.
Áp lực bảo mậtPhishing, social engineering, malware, SIM-swap và chiếm quyền tài khoản ngày càng phức tạp.
Áp lực trải nghiệmKhách hàng muốn đăng nhập và xác nhận giao dịch nhanh hơn, ít thao tác hơn.
Áp lực tuân thủNgân hàng cần cơ chế xác thực mạnh, có bằng chứng tốt hơn và dễ phục vụ hậu kiểm.
Áp lực vận hànhCần một lớp trust dùng chung cho Mobile Banking, Internet Banking và back-office.
Bài toán lớn nhất của OTP và soft OTP là gì?
SMS OTP và soft OTP vẫn còn vai trò trong nhiều hệ thống hiện hữu, nhưng mô hình này phụ thuộc vào bí mật chia sẻ theo phiên hoặc theo giao dịch. Điều đó khiến OTP trở thành mục tiêu hấp dẫn cho phishing, SIM swap, social engineering và các hình thức malware can thiệp vào thiết bị đầu cuối.
Từ góc độ ngân hàng, ba hạn chế lớn nhất nằm ở: rủi ro gian lận, trải nghiệm người dùng và chất lượng bằng chứng xác thực. Khi xảy ra tranh chấp, ngân hàng thường cần một cơ chế chứng minh chắc hơn rằng đúng người dùng hợp lệ, trên đúng thiết bị hợp lệ, đã thực sự phê duyệt hành động đó.
FIDO2 mang lại điều gì khác biệt cho ngân hàng điện tử?
Điểm khác biệt cốt lõi của FIDO2 nằm ở mô hình khóa bất đối xứng gắn với thiết bị. Khóa bí mật được giữ cục bộ và an toàn trên thiết bị người dùng, trong khi khóa công khai được lưu ở phía máy chủ xác thực. Nhờ đó, giải pháp có thể giảm đáng kể rủi ro phishing và đồng thời nâng chất lượng bằng chứng xác thực.
Trong kiến trúc được Mobile-ID đề xuất, FIDO2 không chỉ dùng cho login mà còn cho step-up authentication, transaction confirmation và các hành trình tái xác minh có rủi ro cao. Điều này giúp ngân hàng tiến dần tới passwordless banking theo lộ trình phù hợp với mức độ sẵn sàng của từng kênh.
| Thành phần | Vai trò | Ứng dụng trong ngân hàng |
|---|---|---|
| Trusted Hub FIDO2 Server | Điều phối FIDO2/WebAuthn, quản lý credential lifecycle, challenge, assertion, attestation và audit trail. | Làm trust broker cho Mobile Banking, Internet Banking, back-office và các high-risk journeys. |
| Trusted Key FIDO2 Client SDK for Android/iOS | Tích hợp vào ứng dụng ngân hàng để đăng ký credential, xác thực và ký xác nhận giao dịch. | Dùng cho thiết bị mới, login, step-up và transaction confirmation. |
| Trusted Key FIDO2 Authenticator SDK for Android/iOS | Cho phép ngân hàng chủ động hơn về trải nghiệm và policy của authenticator. | Phù hợp với mô hình bank-branded authenticator, kiểm soát lifecycle và UX. |
| Face Match + PAD Level 2 | Xác thực khuôn mặt kết hợp chống giả mạo sinh trắc học. | Áp dụng cho đổi thiết bị, reset yếu tố xác thực, thay đổi thông tin định danh và giao dịch giá trị cao. |
| Policy / Risk Orchestration | Ra quyết định theo bối cảnh người dùng, thiết bị, hành vi và hạn mức. | Xác định khi nào dùng login thường, khi nào cần step-up và khi nào cần FIDO2 kết hợp PAD. |
PAD Level 2 giải quyết vấn đề gì mà face match thông thường không xử lý được?
Nhiều ngân hàng đã triển khai đối sánh khuôn mặt trong onboarding hoặc re-authentication. Tuy nhiên, khi khuôn mặt trở thành yếu tố bảo mật cho các hành trình có ảnh hưởng tài chính hoặc định danh, face match đơn thuần là chưa đủ. Hệ thống còn cần có khả năng chống lại các hình thức tấn công trình diễn.
PAD Level 2 bổ sung lớp bảo vệ chống giả mạo bằng ảnh in, phát lại video, mặt nạ hoặc deepfake. Điều này đặc biệt quan trọng trong những tình huống như kích hoạt lại trên thiết bị mới, mở khóa tài khoản, reset yếu tố xác thực, thay đổi hồ sơ định danh hoặc giao dịch giá trị cao có dấu hiệu bất thường.
Kiến trúc mục tiêu: từ ứng dụng ngân hàng đến trust orchestration layer
Kiến trúc đề xuất được chia theo hướng dễ tích hợp với hệ sinh thái ngân hàng hiện hữu. Các kênh giao dịch phía trước gồm Mobile Banking, Internet Banking, corporate banking và các hành trình có hỗ trợ bởi back-office hoặc contact center. Phía sau đó là trust orchestration layer nơi đặt Trusted Hub, policy engine, transaction approval, device binding và Face Match + PAD Level 2.
Lớp tích hợp kết nối tới IAM/CIAM, Core Banking, CIF, API Gateway, fraud engine, notification và SIEM. Trên cùng là lớp vận hành và quản trị để bảo đảm logging, audit trail, HA/DR, security monitoring và khả năng đáp ứng hậu kiểm. Mô hình này giúp tách bạch authentication, risk decision và transaction execution theo ranh giới microservice rõ ràng.
Các luồng nghiệp vụ nên ưu tiên triển khai trước
1. Đăng ký thiết bị và FIDO credential
Người dùng đăng nhập bằng cơ chế hiện hữu hoặc theo quy trình đã xác minh danh tính. Ứng dụng kiểm tra thiết bị và phiên bản app, sau đó gọi Trusted Hub để tạo ceremony đăng ký credential. Credential được ràng buộc với tài khoản, thiết bị và policy sử dụng.
2. Đăng nhập hằng ngày
Ứng dụng hoặc web gửi yêu cầu xác thực tới Trusted Hub. Người dùng xác thực cục bộ bằng sinh trắc học thiết bị hoặc cơ chế mở khóa phù hợp với chính sách. Trusted Hub xác minh assertion, cấp kết quả xác thực và ghi đầy đủ audit trail.
3. Xác nhận giao dịch rủi ro cao
Risk engine hoặc policy engine đánh giá giao dịch. Khi vượt hạn mức, có hành vi bất thường hoặc cần tăng cường kiểm soát, hệ thống kích hoạt step-up bằng FIDO2. Với những trường hợp nhạy cảm hơn, hành trình có thể yêu cầu thêm Face Match + PAD Level 2 trước khi cho phép thực thi giao dịch.
4. Thay đổi thông tin định danh hoặc thiết bị
Đây là nhóm hành trình có nguy cơ gian lận cao. Mobile-ID đề xuất áp dụng re-verification mạnh hơn login thông thường, kết hợp FIDO2, PAD Level 2 và các kiểm tra bổ sung theo policy của ngân hàng, đồng thời lưu trữ đủ bằng chứng phục vụ kiểm toán và xử lý tranh chấp.
Bản đồ tuân thủ theo yêu cầu pháp lý
Proposal nhấn mạnh việc ngân hàng cần một phương án vừa triển khai được trong thực tế, vừa dễ xây dựng compliance matrix và hồ sơ nghiệm thu. Cách tiếp cận của Mobile-ID giúp ánh xạ từ yêu cầu pháp lý sang biện pháp kỹ thuật và quy trình vận hành.
| Nhóm yêu cầu | Ý nghĩa triển khai | Gợi ý phản hồi giải pháp |
|---|---|---|
| Xác thực giao dịch điện tử | Cần phương thức mạnh hơn OTP, có bằng chứng tốt hơn cho login và transaction approval. | Áp dụng FIDO2 cho login, step-up và transaction confirmation. |
| PAD cho sinh trắc học khuôn mặt | Nếu dùng face authentication cho hành trình rủi ro cao, cần lớp chống giả mạo đạt chuẩn phù hợp. | Tích hợp Face Match + PAD Level 2 trong Trusted Hub. |
| Kiểm soát ứng dụng và thiết bị | Ứng dụng cần phát hiện môi trường không an toàn và có hành vi bảo vệ phù hợp. | Kết hợp Mobile-ID SDK với mobile app security và runtime integrity controls. |
| Kiểm soát phiên bản ứng dụng | Cần chặn ứng dụng cũ hoặc không an toàn trong các tình huống kích hoạt lại và thiết bị mới. | Triển khai version policy, minimum supported version và anti-downgrade. |
Phương án triển khai và lộ trình
Để phù hợp với thực tế ngân hàng, Mobile-ID chia rollout thành nhiều pha để vừa kiểm soát rủi ro vừa tạo ra giá trị sớm.
- Pha 1 – Foundation & Compliance Baseline: khảo sát hiện trạng, tích hợp Trusted Hub với mobile app, internet banking, IAM/CIAM và fraud engine; hoàn thiện security baseline, logging và monitoring.
- Pha 2 – Strong Authentication for Key Journeys: mở rộng FIDO2 sang step-up authentication và transaction confirmation cho các hành trình ưu tiên.
- Pha 3 – PAD Level 2 for High-Risk Journeys: tích hợp Face Match + PAD Level 2 cho đổi thiết bị, reset yếu tố xác thực, thay đổi thông tin định danh và các giao dịch nhạy cảm.
- Pha 4 – Enterprise Scale & Optimization: mở rộng sang Internet Banking và corporate banking, tối ưu hiệu năng, DR drill và các KPI vận hành.
Mô hình vận hành, bảo mật và tích hợp
Giải pháp được thiết kế theo hướng bank-grade, nghĩa là không chỉ quan tâm tới chức năng xác thực mà còn bao phủ các yêu cầu vận hành như HA/DR, audit trail, nhật ký sự kiện, quản lý chính sách, quản trị vòng đời credential, khả năng tích hợp với fraud engine và khả năng hỗ trợ điều tra sự cố.
Ở tầng mobile, hệ thống có thể kết hợp với các cơ chế bảo vệ ứng dụng như root/jailbreak detection, anti-hooking, anti-repackaging, runtime integrity và policy kiểm soát phiên bản. Ở tầng backend, Trust Layer giúp tập trung hóa logic xác thực và chứng cứ, thay vì để từng kênh hoặc từng ứng dụng tự xử lý rời rạc.
Giá trị thực tế đối với ngân hàng
Giảm rủi ro gian lậnFIDO2 giúp tăng khả năng chống phishing; PAD Level 2 tăng lớp bảo vệ chống giả mạo sinh trắc học.
Nâng chất lượng bằng chứngCó audit trail rõ hơn cho login, step-up và transaction approval.
Cải thiện UXPasskey và sinh trắc học thiết bị giúp giảm thao tác, tăng tốc độ đăng nhập và xác nhận.
Tạo nền tảng mở rộngCó thể phát triển dần sang passwordless banking và reusable trust services cho nhiều kênh.
Vì sao lựa chọn Mobile-ID?
Điểm khác biệt của Mobile-ID nằm ở việc sở hữu trọn bộ thành phần FIDO2 từ client, authenticator đến server, đồng thời có định hướng tích hợp chặt với policy engine, Face Match + PAD Level 2 và các lớp evidence phục vụ môi trường ngân hàng. Điều này giúp giảm rủi ro tích hợp đa nhà cung cấp, tăng tính nhất quán và giúp ngân hàng chủ động hơn trong việc thiết kế trải nghiệm lẫn cơ chế kiểm soát rủi ro.
Thay vì chỉ cung cấp một SDK hay một máy chủ xác thực độc lập, Mobile-ID định vị giải pháp như một trust orchestration layer có thể mở rộng, phù hợp với nhu cầu vận hành thực tế của ngân hàng Việt Nam.
Bạn muốn xây dựng trust layer hiện đại cho ngân hàng điện tử?
Mobile-ID có thể đồng hành cùng ngân hàng trong việc đánh giá lộ trình triển khai FIDO2, PAD Level 2 và policy-driven strong authentication phù hợp với kiến trúc hiện hữu, appetite rủi ro và mục tiêu tuân thủ.Liên hệ Mobile-ID
