08.68 88 90 68

Giải pháp OTP và PKI Secure Metrics

(20/02/2014)

Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.

 

1.       GIỚI THIỆU CHUNG

1.1           Xác thực trong giao dịch tài chính trực tuyến

1.1.1.             Xác thực danh tính trực tuyến

Với sự phát triển của mạng Internet hiện nay, các doanh nghiệp nhanh chóng nhận thấy lợi ích của việc sử dụng mạng Internet để mở rộng thêm mạng doanh nghiệp bao gồm cả các đối tác, nhà cung cấp và nhất là thông qua Internet, các doanh nghiệp có thể cung cấp các dịch vụ của mình đến với khách hàng thông qua các ứng dụng web.

Tuy nhiên, với việc mở rộng mạng doanh nghiệp đến nhiều đối tượng, doanh nghiệp bắt buộc phải cung cấp dữ liệu thông tin của mình cho các đối tượng đó. Do vậy, vấn đề đặt ra ở đây là khả năng đảm bảo an ninh mạng là một trong những yếu tố sống còn cho một doanh nghiệp khi áp dụng mô hình thương mại điện tử. An ninh mạng bao gồm rất nhiều các khía cạnh khác nhau. Một trong những khía cạnh được quan tâm nhất khi xem xét một hệ thống an ninh mạng là giải pháp xác thực (Authentication) người dùng. Xác thực là một quá trình mà đảm bảo cho một thực thể rằng phía đầu bên kia của kết nối đúng là đối tượng mà thực thể đó cần giao tiếp. Trong thế giới thực, chúng ta hoàn toàn có thể nhận biết một ai đó thông qua các đặc điểm sinh học như khuôn mặt, giọng nói hoặc thậm chí chỉ là hình dáng hay những dấu hiệu khác. Tuy nhiên, xác thực trên mạng lại là một vấn đề hoàn toàn khác bởi vì hai người làm việc với nhau trên mạng qua một khoảng cách lớn về địa lý, do vậy cần có những giải pháp xác thực trên mạng.

Các doanh nghiệp khi mở rộng hệ thống mạng của mình đến với nhiều đối tượng thì cần phải có khả năng phân quyền (Authorization) một cách thích hợp và chính xác. Phân quyền là các quy định về khả năng truy cập dữ liệu của một tổ chức hay nối cách khác là các quy định về việc những đối tượng nào sẽ được truy cập vào những thông tin nào. Ở đây, chúng ta lại thấy vai trò của vấn đề xác thực. Nếu không có một giải pháp xác thực đảm bảo thì việc phân quyền cũng sẽ không thể thực hiện được một cách đúng đắn.

Một trong những thông tin quan trọng nhất của khách hàng để họ có thể truy cập dịch vụ và giao dịch tài chính là Danh tính trực tuyến (Online Identity). Thông tin này được sử dụng để chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.

Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể ở nhiều dạng như Phishing, hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Mật khẩu, số tài khoản hoặc số thẻ tín dụng. Hoặc một số dạng tấn công khác như Brute force, Keylogger, Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ đó lần ra mật khẩu, số tài khoản của họ. Thực tế cho thấy rằng các tấn công đánh cắp danh tính và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực tuyến.

Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán trực tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu. Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt động tài chính ép buộc phải thực thi.

1.1.2.             Các công nghệ xác thực mạnh hiện nay

Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa trên 3 yếu tố cơ bản sau:

1.     Something a person knows: Thường được sử dụng là số PIN, mật khẩu

2.     Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token…

3.     Something a person is:  Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt

Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi là Xác thực mạnh. Chi phí của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống.

Mặc dù vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ mà còn phụ thuộc và rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn thực thi an toàn thông tin, khả năng quản lý và giám sát hệ thống. Và đặc biệt một hệ thống có hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt đa tính bảo mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai.

1.1.3.              Giải pháp xác thực bằng mật khẩu

Có lẽ hầu hết trong số chúng ta đều đã từng sử dụng Internet, E-Mail hoặc đăng nhập (Login) và một hệ thống mạng nào đó. Khi đăng nhập vào các hệ thống trên, tất cả những cái mà chúng ta cần là một Tên truy cập (Username) và một Mật khẩu (Password) gắn với tên truy cập đó. Để đăng nhập vào hệ thống, chúng ta chỉ cần cung cấp cho hệ thống tên truy cập và mật khẩu là đủ. Tên truy cập là hoàn toàn công khai trong khi mật khẩu nhất thiết phải được giữ kín. Giải pháp xác thực này có những ưu nhược điểm của nó. Ưu điểm của nó là:

·       Đơn giản, dễ sử dụng.

·       Không cần thêm bất cứ một phần mềm hoặc phần cứng nào.

Tuy nhiên, giải pháp xác thực này cũng có những nhược điểm như sau:

·       Dễ bị giả mạo: chỉ cần biết được mật khẩu của ai đó, hacker hoàn toàn có thể mạo danh người đó để thực hiện các giao dịch trên mạng hoặc đăng nhập vào hệ thống để tiến hành phá hoại hay đánh cắp thông tin.

·       Dễ bị đánh cắp: một mật khẩu thông thường là được dùng nhiều lần, do vậy chỉ cần những phần mềm đơn giản (có thể tải được một cách dễ dàng từ Internet), một hacker có thể chặn bắt được các gói tin trên mạng và lấy cắp được mật khẩu người sử dụng. Người dùng cũng hay có xu hướng là sử dụng những mật khẩu đơn giản, dễ nhớ và cũng chỉ có một vài mật khẩu để sử dụng quay vòng và kết quả là rất dễ bị đoán biết. Các phần mềm spyware hiện nay rất phổ biến và được nguỵ trang rất kỹ nên đa số người sử dụng khó có thể nhận biết được. Những chương trình như Keyboard logging sẽ ghi lại những gì người dùng gõ từ bàn phím và gửi đến cho chủ nhân của nó.

·       Quản lý khó khăn: với nhiều hệ thống, người sử dụng phải sử dụng nhiều mật khẩu, do vậy, vấn đề quản lý mật khẩu trở nên phức tạp. Một hệ thống mạng hiện nay bao gồm rất nhiều các ứng dụng và dịch vụ chạy trên nó (VD: các phần mềm kế toán, quản lý,..., các dịch vụ E-Mail, nhắn tin,...). Với mỗi một ứng dụng hoặc dịch vụ đó, thường là người sử dụng lại cần phải có thêm một mật khẩu để sử dụng. Do vậy, với số lượng mật khẩu nhiều, người sử dụng sẽ hay ghi lại (save password) ngay trong máy tính, viết ra giấy hoặc thậm chí không sử dụng mật khẩu. Điều này đặc biệt nguy hiểm trong môi trường sử dụng chung máy tính.

·       Chi phí cao: trong một mạng doanh nghiệp lớn, sẽ có rất nhiều yêu cầu tới bộ phận hỗ trợ kỹ thuật về các vấn đề liên quan đến mật khẩu và hầu hết trong số đó sẽ là do người sử dụng quên mật khẩu, mật khẩu bị hết hạn sử dụng,...Trước khi bộ phận hỗ trợ kỹ thuật giải quyết được vấn đề, người sử dụng sẽ không thể đăng nhập được vào hệ thống và do vậy sẽ không thể làm việc được dẫn đến giảm năng suất lao động. Tất cả những điều này làm chi phí của giải pháp xác thực bằng mật khẩu trên thực tế là rất cao

Với tất cả những nhược điểm trên, chúng ta có thể thấy rằng xác thực bằng mật khẩu không thể đảm bảo được an toàn và độ tin cậy nhất là trong những lĩnh vực nhậy cảm như ngành ngân hàng, tài chính, bưu điện, dịch vụ y tế,... nơi mà những thông tin cần phải được giữ bí mật tuyệt đối . Người sử dụng thậm chí có thể khởi kiện những tổ chức cung cấp dịch vụ do những thông tin cá nhân của họ bị  tiết lộ. Trong một hội thảo về an ninh mạng do hãng RSA tổ chức vào tháng 2 năm 2004, ngay cả chủ tịch Microsoft, Bill Gate cũng đã phát biểu là xác thực người dùng bằng mật khẩu hiện nay là không an toàn.

1.2           Xác thực 2 yếu tố

Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.

 
 

 

 

 

 

Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả như sau:

“ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2 yếu tố có khả năng giúp bạn làm được điều đó”

·       Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là vô nghĩa.

·       Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi danh tính đó được bảo vệ bằng 2 yếu tố thay vì 1 yếu tố (mật khẩu/số PIN) như trước đây.

·       Trong giao dịch trực tuyến, tính chống từ chối và tính bí mật là một trong những yêu cầu cần thiết của khách hàng. Rất nhiều tổ chức tài chính đã sử dụng Chữ kí số được tạo ra từ hệ thống xác thực 2 yếu tố để đảm bảo cho các giao dịch.

·       Xác thực 1 yếu tố trước đây mới chỉ đáp ứng được xác thực giữa nhà cung cấp dịch vụ với khách hàng mà không có khả năng ngược lại. Hệ thống xác thực 2 yếu tố sẽ giúp cho quá trình xác thực là tương tác 2 chiều, đảm bảo tối đa tính an toàn cho các giao dịch trực tuyến.

·       Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ rất nhiều mật khẩu, phải nhớ thay đổi mật khẩu theo định kì và rất nhiều rắc rối khác khi chúng ta quên chúng. Một số dạng của xác thực 2 yếu tố có khả năng giúp ta thực hiện điều đó.

Đứng trước nhu cầu đó, rất nhiều công ty bảo mật đã phối hợp cùng các ngân hàng, tổ chức tài chính để phát triển những giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới các hoạt động giao dịch trực tuyến.

1.3           Giới thiệu công ty Secure Metric

SecureMetric Technology Sdn Bhn là một công ty công nghệ Malaysian tập trung chủ yếu vào lĩnh vực bảo mật công nghệ số. Đây là sự  hợp tác giữa Softkey E-Solution Sdn Bhd (Nhà cung cấp các thiết bị bảo mật số hàng đầu Đông Nam Á) và Feitian Technilogies Co. Ltd (Nhà sản xuất và cung cấp hàng đầu thế giới về ROCKEY và các sản phẩm ePass).

Các sản phẩm chủ yếu bao gồm:

One time Password (OTP)

 

 

 

 

  • Bảo mật truy cập Web hoặc VPN
  • OTP được sinh ra bởi user bằng cách nhấn nút bấm khi cần thiết.
  • Dễ dàng tùy biến.
  • Dựa trên chuẩn được công nhận rộng rãi (OATH).
  • Rất tiện dụng để tích hợp bảo vệ người dùng sử dụng hệ thống Internet Banking.

Hạ tầng khóa công khai (PKI):

 

 

 

  • Smart card định dạng token hoặc thẻ
  • Bảo mật xác thực thông qua chứng chỉ số.
  • Sử dụng để đăng nhập hay VPN.
  • Sử dụng chữ ký điện tử và mã hóa dữ liệu.

Thiết bị xác thực của SecureMetric đơn giản, tiện dụng và có độ bền cao. Được sử dụng rất nhiều trong lĩnh vực tài chính ngân hàng, các thiết bị xác thực của SecureMetric có thể được phân làm ba loại: OTP Token, USB Token và Smart Card

OTP Token

 

 

USB Token

               
       
 

 

 

 

 

 

Smart Card

 
 

 

 

 

 

 

2.       Secure OTP- Giải pháp xác thực mạnh hai yếu tố

2.1 Mô hình triển khai giải pháp xác thực mạnh 2 yếu tố

Ngày nay, môi trường kinh doanh hiện đại đòi hỏi ngày càng nhiều các mối liên hệ lẫn nhau, nhu cầu về một hệ thống mạng ngày càng tinh vi và bảo mật hơn là hết sức quan trọng. Các hệ thống xác thực người dùng đơn giản, dựa trên một yếu tố, tức là Tên đăng nhập và Password là không đủ và quá dễ dàng bị đánh cắp, bị chia sẻ hoặc phá mã. Hệ thống xác thực SecureOTP được thiết kế và thực thi để đáp ứng chuyên biệt các yêu cầu xác thực người dùng của các tổ chức như vậy, với việc nhấn mạnh vào tính bảo mật, hiệu quả chi phí và tính mềm dẻo. Hệ thống xác thực SecureOTP là một giải pháp xác thực hai yếu tố trọn vẹn từ việc bảo vệ các truy cập từ xa tới việc cung cấp một tính bảo mật gần như tuyệt đối cho password và các thông tin có độ nhạy cảm cao, cũng như các giao dịch điện tử an toàn.

2.1.1.             Các vấn đề cơ bản trong việc xây dựng hệ thống SecureOTP

Để thực thi một cách thành công SecureOTP, rất nhiều vấn đề quyết định và khó khăn có ảnh hưởng hoặc thậm chí gây hại cho dự án. Vấn đề ở đây đơn thuần chỉ là giải quyết các mối lo âu trực tiếp về tính bảo mật (ví dụ như bị đánh cắp hoặc chặn bắt password) mà xác thực 2 yếu tố (2FA) có thể ngăn chặn được. Dựa trên những kinh nghiệm với các khách hàng, SecureMetric đã chỉ ra 3 chiến lược chính cần xem xét:

§  Khách hàng - Dễ dàng sử dụng

Đối với các khách hàng, môt giải pháp bảo mật tốt nhưng khó khăn trong việc sử dụng sẽ khó đạt được sự chấp nhận của người dùng. Dễ dàng để sử dụng với thời gian tìm hiểu là tối thiểu là một nhân tố quan trọng đối với sự thành công của dự án.

§  Hạ tầng - Triển khai dễ dàng và nhanh chóng

Áp lực cạnh tranh từ phía kinh doanh đòi hỏi phải làm tối thiểu ảnh hưởng của những tính năng và dịch vụ mới đối với khách hàng. Thời gian chuyển đổi ngắn cùng với khả năng triển khai dễ dàng là một nhân tố quan trọng khác quyết định sự thành công.

§  Kinh doanh - Tính bảo mật cho các giao dịch