Vì sao VNeID, app ngân hàng cứ 6 tháng lại yêu cầu đổi mật khẩu?

Người dùng cần đặt mật khẩu đạt chuẩn bảo mật theo yêu cầu. Ảnh: Xuân Sang.

Không ít người dùng cảm thấy phiền phức khi nhận được thông báo “mật khẩu đã hết hạn” hay “yêu cầu đổi mật khẩu để tiếp tục” trong quá trình đăng nhập vào VNeID hay các ứng dụng thiết yếu. Những cảnh báo này thường xuất hiện đột ngột, làm gián đoạn trải nghiệm.

Người dùng dễ cho rằng hệ thống gặp lỗi hoặc nhà cung cấp dịch vụ đang đặt thêm rào cản không cần thiết. Tuy nhiên, trên thực tế, đây không phải là sự cố kỹ thuật hay biện pháp mang tính hình thức.

Ở góc độ pháp lý, đây không còn là lựa chọn mang tính khuyến nghị. Các tổ chức cung cấp dịch vụ số trong lĩnh vực tài chính và định danh đều phải yêu cầu người dùng thay đổi mật khẩu định kỳ.

Cụ thể, Thông tư 50/2024/TT-NHNN của Ngân hàng Nhà nước, có hiệu lực từ ngày 1/1/2025, quy định mật khẩu truy cập ngân hàng điện tử chỉ được tồn tại tối đa 12 tháng. Riêng mật khẩu được cấp lần đầu chỉ có hiệu lực 30 ngày, buộc người dùng phải thay đổi để tiếp tục sử dụng dịch vụ.

Những ứng dụng thiết yếu sẽ yêu cầu thay đổi mật khẩu định kỳ.

Tương tự, VNeID và các ứng dụng định danh điện tử quốc gia cũng yêu cầu đổi mật khẩu định kỳ, thường là 6 tháng/lần. Qua đó, công dân được đảm bảo tính xác thực, toàn vẹn và giá trị pháp lý của danh tính số trong các giao dịch điện tử.

Theo thống kê từ Bộ Công an, thiệt hại do tội phạm lừa đảo trực tuyến vẫn rất lớn, ước tính trên 6.000 tỷ đồng trong 11 tháng đầu năm 2025. Trước đó, số liệu đầu năm 2024 cho thấy hơn 80% nguyên nhân các vụ tấn công lớn vào hệ thống thông tin bắt nguồn từ việc lộ lọt dữ liệu cá nhân và mật khẩu yếu

Việt Nam nằm trong nhóm các quốc gia có tỷ lệ lừa đảo trực tuyến cao. Theo báo cáo của Liên minh Chống lừa đảo toàn cầu (GASA), người dân nước ta bị lừa đảo chiếm đoạt khoảng 15,7 tỷ USD năm 2024.

Xu hướng tấn công mới được ghi nhận trên điện thoại và các ứng dụng thiết yếu. Hệ thống nTrust ghi nhận hơn 62.900 loại mã độc mới trên điện thoại trong năm 2025, trong đó có gần 1.000 loại phần mềm giả mạo các ứng dụng phổ biến (như VNeID, dịch vụ công) để đánh cắp mật khẩu và chiếm quyền điều khiển thiết bị.

Hacker thường mạo danh công an hoặc cán bộ phường gọi điện hướng dẫn người dân cài đặt ứng dụng VNeID giả mạo để chiếm đoạt mã OTP và dữ liệu sinh trắc học. Do đó, việc thay đổi mật khẩu có thể phần nào làm chậm hoặc ngăn chặn quá trình này.

Trong thực tế, mật khẩu hiếm khi bị xâm nhập theo cách tức thời và trực diện. Phần lớn các vụ chiếm quyền truy cập diễn ra âm thầm, bắt nguồn từ thói quen người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau.

Khi một nền tảng bất kỳ xảy ra sự cố rò rỉ dữ liệu, những thông tin đăng nhập này có thể bị thu thập, lưu trữ và khai thác về sau. Thay vì tấn công ngay lập tức, kẻ xấu thường áp dụng hình thức credential stuffing, sử dụng các bộ mật khẩu đã bị lộ để thử đăng nhập hàng loạt vào những dịch vụ có giá trị cao hơn như ngân hàng hay ứng dụng định danh, vào thời điểm thuận lợi.

Trong bối cảnh đó, yêu cầu đổi mật khẩu định kỳ đóng vai trò như một biện pháp cắt đứt vòng đời của mật khẩu cũ. Dù không cần quá thường xuyên, người dùng thực hiện thay đổi thông tin đăng nhập định kỳ theo các ứng dụng để tự bảo mật thông tin và an toàn số.