Trong quá trình sử dụng các dịch vụ ngân hàng điện tử, nhiều người dùng cảm thấy bất tiện khi ứng dụng hoặc hệ thống Internet Banking, Mobile Banking liên tiếp đưa ra yêu cầu thay đổi mật khẩu theo định kỳ, kể cả lúc họ không thực sự cần thiết. Tuy nhiên, từ các khía cạnh quản lý rủi ro, công nghệ và pháp luật, đây là một yêu cầu bắt buộc nhằm bảo vệ tài khoản người dùng trong bối cảnh các hoạt động gian lận trực tuyến ngày một tinh vi hơn.

Thông tư 50/2024/TT-NHNN quy định mật khẩu của người dùng chỉ được phép tồn tại tối đa 12 tháng kể từ khi cấp hoặc đổi mới

Căn cứ pháp lý cho yêu cầu đổi mật khẩu

Kể từ ngày 1/1/2025, Thông tư 50/2024/TT-NHNN chính thức có hiệu lực, qua đó lần đầu tiên thiết lập những tiêu chuẩn bảo mật nghiêm ngặt đối với các dịch vụ ngân hàng trực tuyến. Theo Điều 11 của Thông tư này, thời gian tồn tại tối đa của một mật khẩu là 12 tháng kể từ khi được cấp hoặc cập nhật mới. Đối với mật khẩu lần đầu tiên cấp cho người dùng, thời hạn còn hạn chế hơn, chỉ tối đa 30 ngày. Mã khóa bí mật phải có độ dài tối thiểu 08 ký tự, bao gồm các loại ký tự khác nhau như số, chữ cái viết hoa và chữ cái viết thường.

Các quy định này đồng nghĩa với việc tất cả các tổ chức ngân hàng phải xây dựng cơ chế tự động gửi thông báo và bắt buộc khách hàng thay đổi mật khẩu khi đạt thời hạn quy định. Đây là một yêu cầu mang tính pháp lý, không phụ thuộc vào ý muốn hoặc nhu cầu cá nhân của mỗi người dùng.

Tại sao cần áp dụng biện pháp này?

Trên thực tế, ngành ngân hàng là một trong những lĩnh vực chịu rủi ro cao nhất từ các cuộc tấn công mạng. Chỉ cần một tài khoản bị xâm phạm quyền truy cập trong vòng vài phút cũng có khả năng gây ra tổn thất tài chính lớn, vì vậy chu kỳ quản lý mật khẩu phải được kiểm soát chặt chẽ hơn so với các ngành khác.

Thách thức bảo mật không chỉ đến từ hành động cố ý của người dùng. Ngay cả khi khách hàng không tiết lộ thông tin tài khoản của mình, nguy cơ bảo mật vẫn có thể xảy ra. Mật khẩu có thể rò rỉ gián tiếp từ các nền tảng bên ngoài ngân hàng khi người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau. Một lỗ hổng bảo mật ở mạng xã hội, trang mua sắm trực tuyến hoặc hộp thư điện tử có khả năng tiết lộ thông tin đăng nhập ngân hàng mà chủ tài khoản hoàn toàn không hay biết.

Ngoài ra, thiết bị của người dùng có nguy cơ bị lây nhiễm phần mềm độc hại, phần mềm ghi lại phím bấm (keylogger) hoặc các chương trình theo dõi. Những mối đe dọa này thường ẩn náp và khó phát hiện, có thể hoạt động âm thầm trong hàng tháng liền. Do đó, việc thay đổi mật khẩu theo định kỳ hoạt động giống như "tái tạo" lớp bảo vệ, cắt đứt rủi ro trước khi những kẻ xấu kịp tận dụng.

Một nguyên nhân khác buộc các ngân hàng phải áp dụng cơ chế bắt buộc thay đổi mật khẩu chính là những thói quen không tốt của nhiều người dùng. Rất nhiều người đặt mật khẩu theo những mô típ dễ đoán như ngày tháng năm sinh, số điện thoại, tên viết tắt hoặc những dãy ký tự đơn sơ. Một số khác lại sử dụng mật khẩu không thay đổi suốt nhiều năm, chỉ khi hệ thống buộc thì mới cập nhật. Việc ép buộc người dùng thay đổi mật khẩu theo định kỳ giúp hạn chế tối đa rủi ro phát sinh từ những hành vi này.

Do đó, yêu cầu của ngân hàng về việc đổi mật khẩu định kỳ không phải là một biện pháp gây phiền toái cho người dùng, mà là một조 bảo vệ bắt buộc. Thay đổi mật khẩu tương tự như việc thay khóa cửa định kỳ - có lúc gây bất tiện, nhưng luôn là điều cần thiết để đảm bảo an toàn cho tài khoản và tài sản của chính khách hàng.

Khôi Nguyên