Nghiên cứu - Trao đổi
RSA SecurID – Giải pháp xác thực dành riêng cho ngân hàng

Một trong những yêu cầu quan trọng của việc đảm bảo an toàn thông tin là xác thực danh tính (Authentication) của đối tượng được cấp quyền sử dụng các tài nguyên điện toán (Authorization Digital Resources) như truy nhập tài khoản, thực hiện giao dịch trực tuyến, hay truy nhập máy tính… Trong thực tế, phương thức xác thực trực tuyến phổ biến nhất là sử dụng mật khẩu truyền tải qua giao thức an toàn HTTPS. Tuy nhiên, độ an toàn của phương thức này không cao, vì mật khẩu cần không quá khó nhớ đối với người dùng nhưng phải đảm bảo tính khó bị phá vỡ. Cho nên, các phương thức xác thực trực tuyến hiện đại thường kết hợp mật khẩu với các yếu tố khác để tạo nên xác thực đa yếu tố (Multi-factor Authentication).

Việc xác thực giống như khóa của một cánh cửa và xác thực đa yếu tố giống như cánh cửa đó được bảo vệ bởi nhiều ổ khóa. Những ổ khóa này được kết hợp một cách thông minh và dùng các loại khóa khác nhau để kẻ xâm nhập gặp khó khăn trong việc phá được tất cả các khóa. Thiết kế xác thực đa yếu tố cũng đòi hỏi những chi tiết tương tự như vậy, sử dụng các cách xác thực khác nhau cho mỗi lần xác thực. Xác thực đa yếu tố phân chia làm ba loại: dựa vào những điều người dùng biết (What you know) như mật khẩu, dựa vào những điều người dùng có (What you have) như điện thoại di động, và dựa vào những đặc điểm không đổi của người dùng (What you are) như vân tay.

Với sự phát triển vũ bão, điện thoại di động đang là một thiết bị phổ biến để thực hiện xác thực đa yếu tố cho nhiều tổ chức, đặc biệt là tại các ngân hàng trên thế giới. Một phương pháp phổ biến đang được sử dụng tại các ngân hàng Hoa Kỳ là tin nhắn mật khẩu một lần (SMS OTP - Short Message Services One Time Password). Sau khi người dùng nhập mật khẩu, máy chủ của ngân hàng sẽ gửi một mật khẩu số (passcode) ngẫu nhiên đến điện thoại của người dùng qua SMS. Người dùng cần phải nhập mật khẩu số đó để truy nhập tài khoản hay giao dịch trực tuyến trong một thời gian ngắn trước khi mật khẩu này hết hiệu lực. Tại Việt Nam, phương thức xác thực SMS OTP của một số ngân hàng Việt Nam cũng hoạt động theo cách này.

Mặc dù khả năng lấy cắp passcode trên đường truyền viễn thông của SMS để xác thực thành công là rất thấp, nhưng SMS không được mã hóa hoàn toàn trên đường truyền viễn thông, do đó vẫn có những rủi ro nhất định. Để có thể thể tăng tính bảo mật lên mức cao hơn, ngày nay điện thoại thông minh cho phép phát triển những ứng dụng chứa dữ liệu, trong đó có passcode, được mã hóa hoàn toàn trên đường truyền (end-to-end). Nhờ đó, ứng dụng có độ an toàn cao hơn và ít bị phụ thuộc vào sự an toàn của mạng viễn thông. Nhưng trong mọi trường hợp, passcode cần phải được hoàn toàn ngẫu nhiên và các thuật toán sử dụng passcode này để xác thực, cũng như các giao thức hoạt động trong các tình huống khác nhau, cũng cần phải an toàn.

Ngoài ra, cũng có một phương pháp xác thực đa yếu tố an toàn hơn, nhưng tốn kém và khó sử dụng hơn, đó là dùng thẻ thông minh. Phương pháp này tích hợp mã khóa ngẫu nhiên không ai biết và rất khó đọc từ thẻ. Cách này thường được các công ty lớn dùng cho nhân viên đăng nhập vào mạng nội bộ. Trong tương lai, còn có một xu hướng phát triển nhiều tiềm năng nhưng chưa được sử dụng rộng rãi, đó là dùng điện thoại di động như một ví điện tử chứa các thẻ điện tử thông minh. Người dùng có thể dùng các thẻ này cho các phương thức xác thực đa yếu tố.

Hiện nay, lĩnh vực ngân hàng vẫn trở thành đích nhắm của nhiều tin tặc. Tại Việt Nam cũng ghi nhận 1 số vụ tấn công vào quy trình xác thực của 1 số ngân hàng gây ra những tổn thất tương đối lớn. Những vụ việc này cho thấy là các ngân hàng cần đẩy mạnh việc hướng dẫn người dùng về an toàn thông tin đủ để sử dụng các dịch vụ trực tuyến an toàn hơn, tránh bị lừa đảo. Cả người dùng và ngân hàng cần trung thực với những gì đã diễn ra, để việc điều tra và khắc phục có thể được tiến hành nhanh chóng và hiệu quả nhất.

Ngoài các tấn công theo dạng kỹ thuật, người dùng cần hiểu và phòng tránh một kiểu tấn công phổ biến là lừa đảo (phishing). Loại tấn công này thường là lừa người dùng truy cập đến những trang web giả mạo để lấy cắp thông tin cá nhân như mật khẩu, số thẻ tín dụng… Để phòng tránh, người dùng cần lưu ý các dấu hiệu lừa đảo như: địa chỉ của trình duyệt (có hiển thị màu xanh và tên chính xác của ngân hàng không), cảnh báo mất an toàn của trình duyệt, email có nội dung khuyến mãi, đổi mật khẩu, xác thực danh tính. Về phía ngân hàng, cần xây dựng một hệ thống an toàn và  thiết kế cẩn thận từng bước, từ khâu đăng ký đầu tiên tới lúc kết thúc giao dịch để đảm bảo an toàn tối đa cho khách hàng.

ThS. Trần Ngọc Mai


Thống Kê Truy Cập
Tổng số lượt truy cập: 1051025
Số người đang truy cập: 31