Xác thực đa yếu tố

Xác thực đa yếu tố

Thực ra thì xác thực đa yếu tố không hề xa lạ, ví dụ đơn giản nhất là khi ta rút tiền ở ATM. Ta phải có hai yếu tố để đăng nhập vào ATM: thẻ ATM cầm trên tay (thứ mà ta sở hữu) và mật khẩu của thẻ (thứ mà ta biết). Các loại yếu tố chính bao gồm:

Những thứ người dùng biết (knowledge factor)

Yếu tố này là phổ biến nhất, bao gồm các loại như:

  • Mật khẩu
  • PIN: Personal Identification Number, một xâu gồm các ký tự số được sử dụng như trong thẻ ATM
  • Pattern: giống như khi đăng nhập trên các thiết bị di dộng Android và iOS

Những thứ người dùng sở hữu (possession factor)

Bao gồm một số loại như:

  • One-time password (OTP): mật khẩu dùng một lần, chỉ có hiệu lực tại session hiện tại. Ví dụ như các thiết bị sau:

    rsa-otp

    Thiết bị OTP của RSA, khi giao dịch người dùng sẽ nhập mã số hiện tại có trên thiết bị. Mã số sẽ thay đổi liên tục theo thời gian


    xacthuc-acb

    Đơn giản hơn như là thẻ ma trận xác thực của ACB, khi giao dịch người dùng sẽ nhập mã số tại một số ô mà hệ thống yêu cầu


    vtc pay sms otp

    SMS OTP của VTC Pay, khi giao dịch mã số sẽ được gửi về điện thoại của khách hàng

    Ngoài ra cũng có các OTP software có thể cài đặt trực tiếp lên PC hoặc smartphone giúp giảm bớt chi phí sử dụng.

  • Chứng thư số: là một dạng định danh điện tử của một cá thể nào đó, được một tổ chức tin cậy cấp và đi kèm với nó là cặp public/private key duy nhất (đọc thêm về mã hóa bất đối xứng, chữ ký điện tử ở đây). Khác với chứng thư (certificate) và public key được public, private key của người dùng thường được chứa trong một thiết bị đặc biệt, có thể là usb token hoặc smartcard có chứa chip xử lý. Private key không được extract ra khỏi thiết bị này mà thiết bị chỉ cung cấp ra ngoài các API để thực hiện ký/mã hóa dữ liệu. Dữ liệu khi ký hoặc mã hóa sẽ được thực hiện ngay trong thiết bị này.
    Quá trình xác thực sử dụng chứng thư số diễn ra như sau:

    • Thông tin đăng nhập bao gồm username/password được người dùng nhập vào
    • Người dùng sử dụng private key của mình để ký lên thông tin đăng nhập này
    • Thông tin đăng nhập kèm theo chữ ký được gửi lên server. Server sử dụng public key của người dùng để kiểm tra tính hợp lệ của chữ ký, nếu chữ ký hợp lệ mới tiếp tục kiểm tra password được nhập vào
  • Định danh của thiết bị di động: Ngày nay, với sự phổ biến của các thiết bị di động như smartphone và tablet, chúng cũng được tích hợp thêm chức năng là một yếu tố để xác thực. Một tài khoản người dùng sẽ được liên kết với một hoặc nhiều thiết bị. Dựa vào các thông tin của thiết bị như số IMEI, vị trí, khoảng cách với người đang đăng nhập, mật khẩu của thiết bị… sẽ quyết định xem người dùng có thể đăng nhập được vào hệ thống hay không. Việc tích hợp này rất tiện lợi khi người dùng không phải mang theo các token làm “móc chìa khóa”.
    Đoạn video giới thiệu của hãng Keypasco dưới đây có thể cho ta hình dung rõ hơn về giải pháp này:

Những thứ thuộc về người dùng (inherence factor)

Yếu tố này bao gồm những thứ thuộc về sinh trắc học, là các đặc điểm sinh học của mỗi cá nhân dấu vân tay, giọng nói, khuôn mặt hay mống mắt.

Đây được coi là công cụ xác thực hữu hiệu nhất, trong đó phổ biến nhất vẫn là nhận dạng vân tay bởi đặc tính ổn định và độc nhất của nó và cho đến nay, nhận dạng dấu vân tay vẫn được xem là một trong những phương pháp sinh trắc tin cậy nhất. Trên thế giới đã nhiều nơi sử dụng dấu vân tay trong các giao dịch tài chính hay quản lý hộ chiếu, còn ở Việt Nam mới chỉ áp dụng trong chấm công, điểm danh…Với đặc điểm là chi phí cao và khó sử dụng nên tuy mạnh nhưng công nghệ xác thực này vẫn chưa thực sự phổ biến.

Đối với một hệ thống, việc áp dụng hình thức xác thực nào, một hay nhiều yếu tố phụ thuộc khá nhiều vào khả năng tích hợp, chi phí, nhận thức về an toàn thông tin, hiểu biết về công nghệ của người dùng và vào cả tầm quan trọng của hệ thống đó. Xác thực đa yếu tố không phải là hoàn hảo, tuy nhiên nó cũng đảm bảo an toàn hơn nhiều so với phương pháp xác thực truyền thống dựa trên một yếu tố là mật khẩu/số PIN.

Khi trích dẫn bài viết từ tek.eten.vn, xin vui lòng ghi rõ nguồn. Chúng tôi sẽ rất cảm ơn bạn!