Users are losing trust in biometrics, report says

But a new report on banking-app authentication finds a turning point: one in three users worries about biometric theft and spoofing, and many are unsure where their face and fingerprint data are stored, who controls it, and how it might be misused.

• Nhưng một báo cáo mới về xác thực ứng dụng ngân hàng cho thấy một bước ngoặt: cứ ba người dùng thì có một người lo ngại về việc đánh cắp và giả mạo sinh trắc học, và nhiều người không chắc dữ liệu khuôn mặt và dấu vân tay của họ được lưu trữ ở đâu, ai kiểm soát nó và nó có thể bị lạm dụng như thế nào.

Many believe that biometrics are not enough to protect their digital assets, particularly in the context of growing AI-driven attacks, data breaches, and privacy violations.

• Nhiều người tin rằng sinh trắc học không đủ để bảo vệ tài sản số của họ, đặc biệt trong bối cảnh các cuộc tấn công dựa trên AI, rò rỉ dữ liệu và vi phạm quyền riêng tư ngày càng tăng.

A recent report on authentication experiences on banking applications in Viet Nam shows that biometrics are now dominating the authentication landscape, surpassing passwords, OTP codes, and other traditional methods to become the central trend in digital authentication. Photo courtesy of VinCSS

• Một báo cáo gần đây về trải nghiệm xác thực trên các ứng dụng ngân hàng tại Việt Nam cho thấy rằng sinh trắc học hiện đang thống trị cảnh quan xác thực, vượt qua mật khẩu, mã OTP và các phương thức truyền thống khác để trở thành xu hướng trung tâm trong xác thực số. Ảnh: VinCSS

Experts at VinCSS Internet Security Services JSC say much of this concern arises from the lack of distinction between the role, implementation method, and context of biometric use in authentication. Biometrics are not always the main key to access. In some cases, they are used as a standalone form of authentication, such as scanning a fingerprint to open a door or using facial recognition to unlock a device. Online systems often adopt this model by storing biometric templates centrally on servers and comparing them against user scans. While common, this model introduces significant risk because of the central storage of sensitive data.

• Các chuyên gia tại VinCSS Internet Security Services JSC cho biết phần lớn sự lo ngại này xuất phát từ việc thiếu phân biệt giữa vai trò, phương thức triển khai và ngữ cảnh sử dụng sinh trắc học trong xác thực. Sinh trắc học không phải lúc nào cũng là chìa khóa chính để truy cập. Trong một số trường hợp, chúng được sử dụng như một hình thức xác thực độc lập, chẳng hạn như quét dấu vân tay để mở cửa hoặc sử dụng nhận diện khuôn mặt để mở khóa thiết bị. Các hệ thống trực tuyến thường áp dụng mô hình này bằng cách lưu trữ mẫu sinh trắc học tập trung trên các máy chủ và so sánh chúng với các lần quét của người dùng. Mặc dù phổ biến, mô hình này giới thiệu rủi ro đáng kể do việc lưu trữ tập trung dữ liệu nhạy cảm.

In other contexts, biometrics serve only as a supplementary form of authentication. Here, they act as a local input layer that unlocks another mechanism operating in the background. For example, in many banking applications today, a user may scan a fingerprint or face not to directly authenticate but simply to trigger the automatic submission of a saved username and password. In such cases, biometrics are not the ultimate safeguard but merely a convenient interface.

• Trong các ngữ cảnh khác, sinh trắc học chỉ đóng vai trò như một hình thức xác thực bổ sung. Ở đây, chúng hoạt động như một lớp đầu vào cục bộ mở khóa một cơ chế khác đang hoạt động trong nền. Ví dụ, trong nhiều ứng dụng ngân hàng ngày nay, người dùng có thể quét dấu vân tay hoặc khuôn mặt không phải để xác thực trực tiếp mà chỉ để kích hoạt việc nộp tự động tên người dùng và mật khẩu đã lưu. Trong các trường hợp như vậy, sinh trắc học không phải là biện pháp bảo vệ cuối cùng mà chỉ là một giao diện tiện lợi.

The real risk, therefore, lies not in the biometric technology itself but in the way it is applied. Physical hardware security in offline environments significantly reduces the risk of spoofing. In contrast, online environments face greater vulnerability to AI-based attacks such as deepfakes or voice cloning. When biometrics are used as a standalone method in these settings, the level of risk increases substantially.

• Do đó, rủi ro thực sự không nằm ở công nghệ sinh trắc học mà ở cách nó được áp dụng. An ninh phần cứng vật lý trong các môi trường ngoại tuyến giảm đáng kể nguy cơ giả mạo. Ngược lại, các môi trường trực tuyến đối mặt với mức độ dễ bị tấn công cao hơn từ các cuộc tấn công dựa trên AI như deepfake hoặc sao chép giọng nói. Khi sinh trắc học được sử dụng như một phương thức độc lập trong các thiết lập này, mức độ rủi ro tăng lên đáng kể.

To address this challenge, VinCSS strongly recommends the combination of biometrics with passwordless authentication based on the FIDO2 standard. In this modern model, biometrics are used only locally to unlock a private key stored securely on the user's device. Biometric data never leaves the device and is never stored centrally online, which minimizes the risk of theft or misuse. This approach transforms biometrics from a potential weakness into a private, powerful, and seamless layer of protection for end users.

• Để giải quyết thách thức này, VinCSS khuyến nghị mạnh mẽ việc kết hợp sinh trắc học với xác thực không mật khẩu dựa trên tiêu chuẩn FIDO2. Trong mô hình hiện đại này, sinh trắc học chỉ được sử dụng cục bộ để mở khóa một khóa riêng được lưu trữ an toàn trên thiết bị của người dùng. Dữ liệu sinh trắc học không bao giờ rời khỏi thiết bị và không bao giờ được lưu trữ tập trung trực tuyến, giúp giảm thiểu rủi ro bị đánh cắp hoặc lạm dụng. Cách tiếp cận này biến sinh trắc học từ một điểm yếu tiềm tàng thành một lớp bảo vệ riêng tư, mạnh mẽ và liền mạch cho người dùng cuối.

VinCSS's report does more than clarify the nature of biometrics. It also highlights the specific authentication needs of different age groups and measures user satisfaction across banks.

• Báo cáo của VinCSS không chỉ làm rõ bản chất của sinh trắc học. Nó cũng nêu bật nhu cầu xác thực cụ thể của các nhóm tuổi khác nhau và đo lường mức độ hài lòng của người dùng trên các ngân hàng.

This was one of the first report on authentication experience in banking apps in Vietnam. Photo courtesy of VinCSS

• Đây là một trong những báo cáo đầu tiên về trải nghiệm xác thực trên các ứng dụng ngân hàng ở Việt Nam. Ảnh: VinCSS

"As this report shows, it's not just data—it's the voice of users who face security risks every day," said Annie Quynh Anh, Head of Marketing at VinCSS. "We hope it helps banks, developers, policymakers, and end users review and upgrade authentication experiences, because they are increasingly the foundation of digital trust."

• "Như báo cáo này cho thấy, đó không chỉ là dữ liệu—đó là tiếng nói của người dùng đối mặt với rủi ro an ninh hàng ngày," bà Annie Quỳnh Anh, Trưởng phòng Marketing tại VinCSS cho biết. "Chúng tôi hy vọng nó sẽ giúp các ngân hàng, nhà phát triển, nhà hoạch định chính sách và người dùng cuối xem xét và nâng cấp trải nghiệm xác thực, vì chúng ngày càng trở thành nền tảng của niềm tin số."

See the full report here.

• Xem báo cáo đầy đủ tại đây.