Chương trình - Dự án
Ứng dụng xác thực đa yếu tố trong giao dịch ngân hàng điện tử
Xác thực đa yếu tố là khâu đặc biệt quan trọng để bảo đảm an toàn thông tin trong hoạt động ngân hàng điện tử
Xác thực đa yếu tố là khâu đặc biệt quan trọng để bảo đảm an toàn thông tin trong hoạt động ngân hàng điện tử
Xác thực đa yếu tố là khâu đặc biệt quan trọng để bảo đảm an toàn thông tin trong hoạt động ngân hàng điện tử. Với xác thực đa yếu tố, ngân hàng có thể tăng cường mức độ an toàn, bảo mật nhờ việc kiểm chứng đồng thời nhiều yếu tố xác thực trong hệ thống thông tin.
 
Xác thực trong giao dịch ngân hàng điện tử
Xác thực (Authentication) là việc xác lập hoặc chứng thực một thực thể (người nào đó hay một cái gì đó) đáng tin cậy, có nghĩa là những thông tin do một người đưa ra hoặc về một cái gì đó là đúng đắn. Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, còn xác thực một người thường bao gồm việc thẩm tra nhận dạng cá nhân của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều yếu tố xác thực (authentication factor) làm minh chứng cụ thể.
Xác thực là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của một hệ thống thông tin như hệ thống ngân hàng điện tử. Đó là một quy trình nhằm xác minh nhận dạng số (digital identity) của bên gửi thông tin (sender) trong liên lạc trao đổi, xử lý thông tin, chẳng hạn như một yêu cầu đăng nhập. Bên gửi cần phải xác thực có thể là một người sử dụng máy tính, bản thân một máy tính hoặc một phần mềm. Đầu tiên, hệ thống luôn xác thực một thực thể khi nó cố gắng thử thiết lập liên lạc. Khi đó, nét nhận dạng của thực thể được dùng để xác định sự truy nhập của thực thể đó như một đặc quyền hoặc để đạt được sự sẵn sàng phục vụ. Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM/POS, giao dịch Online/Internet Banking, giao dịch Mobile Banking... thì xác thực là bắt buộc trong quản lý truy cập.
 
Các yếu tố xác thực
Những yếu tố xác thực cho người sử dụng có thể được phân loại như sau:
- Những cái mà người sử dụng sở hữu bẩm sinh, chẳng hạn như dấu vân tay hoặc mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù do cơ thể sống tạo ra, hoặc những định dạng sinh trắc học khác.
- Những cái người sử dụng có, chẳng hạn như chứng minh thư, chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động....
- Những gì người sử dụng biết, chẳng hạn như mật khẩu (password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN)....
Trong thực tế, nhiều khi một tổ hợp của những yếu tố trên được sử dụng, lúc đó người ta nói đến xác thực đa yếu tố. Chẳng hạn trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được sử dụng - trong trường hợp này đó là một trong các dạng xác thực 2 yếu tố (two-factor authentication – 2FA).
 
Một số phương pháp xác thực
Hiện nay, trong giao dịch ngân hàng điện tử, một số phương pháp xác thực phổ biến gồm:
- Xác thực dựa trên định danh người sử dụng (Username) và mật khẩu (Password): Sự kết hợp của một cặp Username và Password là cách xác thực phổ biến nhất hiện nay. Với phương thức xác thực này, thông tin cặp username và password nhập vào được đối chiếu với dữ liệu đã được lưu trữ trên hệ thống. Nếu thông tin trùng khớp thì người sử dụng được xác thực, còn nếu không người sử dụng bị từ chối hoặc cấm truy cập. Phương thức xác thực này có tính bảo mật không cao, vì thông tin cặp Username và Password dùng đăng nhập vào hệ thống mà ta gửi đi xác thực là trong tình trạng ký tự văn bản rõ, tức không được mã hóa và có thể bị chặn bắt trên đường truyền, thậm chí ngay trong quá trình nhập vào: Password còn có thể bị lộ do đặt quá đơn giản (dạng ‘123456', ‘abc123' v.v.) hoặc dễ đoán (tên/ngày sinh của người thân...).
-  Sử dụng Giao thức xác thực bắt tay có thử thách (Challenge Handshake Authentication Protocol - CHAP): Đây cũng là mô hình xác thực dựa trên username/password. Khi người dùng (User) thực hiện thủ tục đăng nhập (log on), máy chủ (server) đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) cho máy tính của người dùng. Lúc này máy tính của người dùng sẽ phản hồi lại bằng Username và password được mã hóa. Máy chủ xác thực sẽ so sánh phiên bản xác thực người dùng được lưu giữ với phiên bản mã hóa vừa nhận, nếu trùng khớp thì người dùng sẽ được xác thực. Để đảm bảo an toàn, bản thân password không bao giờ được gửi qua mạng. Phương thức CHAP thường được sử dụng khi người dùng đăng nhập vào các máy chủ ở xa (remote server) của hệ thống, chẳng hạn như RAS server. Dữ liệu chứa password được mã hóa đôi khi được gọi là "mật khẩu băm" (hash password) theo tên của phương pháp mã hoá dùng các hàm băm.
-  Xác thực Kerberos: là nền tảng xác thực chính của nhiều hệ điều hành như UNIX, Windows.... Xác thực Kerberos dùng một máy chủ trung tâm để kiểm tra việc xác thực người dùng và cấp phát thẻ dịch vụ (service ticket) để người dùng có thể truy cập vào tài nguyên hệ thống. Xác thực Kerberos là một phương thức có tính an toàn cao nhờ việc dùng thuật toán mã hóa mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa máy chủ và người dùng, do đó cần phải đảm bảo kết nối đồng bộ thời gian giữa các thành phần này của hệ thống.
-  Xác thực sử dụng token: Token là những phương tiện vật lý như các thẻ thông minh (smart card), thẻ đeo của nhân viên (ID badge) chứa thông tin xác thực hoặc bộ tạo mật khẩu dùng một lần (One Time Password - OTP). Ở đây OTP là mật khẩu dùng một lần, được tạo ra trên bộ tạo OTP (token) và kiểm tra trong hệ thống bảo mật riêng. OTP tự động thay đổi thường xuyên và chỉ tồn tại trong một thời gian ngắn (khoảng vài chục giây) cho từng lần truy nhập.
Token có thể lưu trữ mã số nhận dạng cá nhân (PIN), thông tin về người dùng, lưu giữ hoặc tạo ra password. Các thông tin trên token chỉ có thể được đọc/xử lý bởi các thiết bị hoặc hệ thống đặc dụng. Chẳng hạn như thẻ thông minh được đọc bởi đầu đọc thẻ smart card chuyên dụng, OTP được xử lý bởi hệ thống xác thực sử dụng yếu tố xác thực thứ hai là mật khẩu dùng một lần.
- Xác thực áp dụng các phương pháp nhận dạng sinh trắc học (Biometrics): Đây là mô hình xác thực có tính bảo mật cao dựa trên đặc điểm sinh học của từng cá nhân, trong đó sử dụng các thủ tục như quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal scanner), nhận dạng giọng nói (voice - recognition), nhận dạng khuôn mặt (facerecognition).... Nhờ các tiến bộ vượt bậc của công nghệ sinh học, phương thức xác thực dựa trên nhận dạng sinh trắc học ngày càng  trở nên phổ biến và được chấp nhận rộng rãi.
- Phương thức xác thực lẫn nhau (Mutual Authentication): Đây là phương thức bảo mật trong đó các thành phần tham gia giao tiếp với nhau sẽ kiểm tra, xác thực lẫn nhau. Chẳng hạn, trong một hệ thống mạng Client/Server, trước hết máy chủ (chứa tài nguyên) kiểm tra "giấy phép truy cập" của người dùng và sau đó người dùng lại kiểm tra "giấy phép cấp tài nguyên" của máy chủ. Cũng tương tự như vậy, khi khách hàng thực hiện giao dịch với hệ thống e-Banking của một Ngân hàng đã chọn, thì cần phải kiểm tra xem hệ thống đó có đúng là của Ngân hàng đó không và ngược lại hệ thống e-Banking của Ngân hàng cũng kiểm tra chính khách hàng thực hiện giao dịch.
 
Xác thực đa yếu tố
Xác thực đa yếu tố (Multi-Factor Authentication) là phương thức xác thực dựa trên nhiều yếu tố xác thực kết hợp, là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố xác thực. Phương thức này là sự kết hợp của bất cứ yếu tố xác thực nào, ví dụ như yếu tố đặc tính sinh trắc của người dùng hoặc những gì người dùng biết để xác thực trong hệ thống.
Với xác thực đa yếu tố, ngân hàng có thể tăng mức độ an toàn, bảo mật cho giao dịch điện tử lên rất nhiều nhờ việc kiểm chứng nhiều yếu tố xác thực. Ví dụ như xác thực chủ thẻ trong giao dịch ATM, yếu tố xác thực đầu tiên của khách hàng là thẻ ATM (cái khách hàng có), sau khi đưa thẻ vào máy, khách hàng sẽ phải đưa tiếp yếu tố xác thực thứ hai là số PIN (cái khách hàng biết). Một ví dụ khác là xác thực người sử dụng dịch vụ giao dịch Internet Banking: khách hàng đăng nhập với Username và Password sau đó còn phải cung cấp tiếp OTP (One – Time -  Password -  mật khẩu dùng một lần) được sinh ra trên token của riêng khách hàng.
An toàn, bảo mật trong giao dịch ngân hàng điện tử là hết sức quan trọng, trong đó xác thực người sử dụng là một trong những khâu cốt lõi. Với xác thực đa yếu tố, ta có thể tăng mức độ an toàn, bảo mật  nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ an toàn bảo mật sẽ càng cao khi số yếu tố xác thực càng nhiều. Khi số yếu tố xác thực lớn thì hệ thống càng phức tạp, kéo theo chi phí đầu tư và duy trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng. Do vậy, trên thực tế để cân bằng giữa an toàn, bảo mật và tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố và xác thực ba yếu tố (three-factor authentication- 3FA).
 
Xác thực đa yếu tố dù có mức độ an toàn, bảo mật cao hơn, nhưng cũng cần các biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn trong giao dịch ngân hàng điện tử.

Thống Kê Truy Cập
Tổng số lượt truy cập: 1063780
Số người đang truy cập: 27