Xác thực giống như khóa của một cánh cửa, và xác thực đa yếu tố giống như cánh cửa đó được bảo vệ bởi nhiều ổ khóa. Những ổ khóa này được kết hợp một cách thông minh,và dùng các loại khóa khác nhau để kẻ xâm nhập gắp khó khắn trong việc phá được hết các khóa. Thiết kế xác thực đa yếu tố cũng đòi hỏi những chi tiết tương tự như vậy, sẽ dùng các cách nhiều thực khác nhau cho mỗi lần xác thực. Xác thực đã yếu tố phân chia làm ba loại: dựa vào những điều người dùng biết (what you know) như mật khẩu, dựa vào những điều người dùng có (what you have) như điện thoại di động, và dựa vào những đặc điểm không đổi của người dùng (what you are) như vân tay.
Với sự phát triển vũ bão, điện thoại di động đang là một cách phổ biến để thực hiện xác thực đa yếu tố cho nhiều tổ chức, đặc biệt là tại các ngân hàng trên thế giới. Một phương pháp phổ biến đang được sử dụng tại các ngân hàng Hoa Kỳ là SMS OTP (One Time Password - mật khẩu dùng 1 lần). Sau khi người dùng nạp mật khẩu, máy chủ của ngân hàng sẽ gửi một mật khẩu số (passcode) ngẫu nhiên đến điện thoại của người dùng qua SMS. Và người dùng cần phải nạp mật khẩu số đó để truy nhập tài khoản hay giao dịch trực tuyến trong một thời gian ngắn trước khi mật khẩu này hết hiệu lực. Tại Việt Nam, phương thức xác thực SMS OTP của một số ngân hàng Việt Nam cũng hoạt động theo cách này.
Mặc dù khả năng lấy cắp passcode trên đường truyền viễn thông của SMS để xác thực thành công là rất thấp, nhưng SMS không được mã hóa hoàn toàn trên đường truyền viễn thông, do đó vẫn có những rủi ro nhất định. Để có thể thể tăng tính bảo mật lên mức cao hơn, ngày nay điện thoại thông minh cho phép phát triển những ứng dụng chứa dữ liệu, trong đó có passcode, được mã hóa hoàn toàn trên đường truyền (end-to-end), như là dùng giao thức TLS được nói ở trên. Nhờ đó, ứng dụng có độ an toàn cao hơn và ít bị phụ thuộc vào sự an toàn của mạng viễn thông. Nhưng trong mọi trường hợp, passcode cần phải được hoàn toàn ngẫu nhiên, và các thuật toán sử dụng passcode này để xác thực, cũng như các giao thức hoạt động trong các tình huống khác nhau, cũng cần phải an toàn đến từng chi tiết.
Ngoài ra, cũng có một phương pháp xác thực đa yếu tố an toàn hơn, nhưng tốn kém và khó sử dụng hơn, đó là dùng thẻ thông minh. Phương pháp này tích hợp mã khóa ngẫu nhiên không ai biết và rất khó đọc ra được khỏi thẻ. Cách này thường được các công ty lớn dùng cho nhân viên đăng nhập vào mạng nội bộ. Trong tương lai, còn có một xu hướng phát triển nhiều tiềm năng và mới được phát triển gần đây, nhưng chưa được sử dụng rộng rãi, đó là dùng điện thoại di động như một cái ví điện tử chứa các thẻ điện tử thông minh và người ta có thể dùng các thẻ này cho các phương thức xác thực đa yếu tố.
Gần đây xảy ra 1 số vụ tấn công vào quy trình xác thực của 1 số ngân hàng tại Việt Nam, gây ra những tổn thất tương đối lớn. Những vụ việc này cho thấy là các ngân hàng cần đẩy mạnh việc hướng dẫn người dùng về an toàn thông tin đủ để sử dụng các dịch vụ trực tuyến an toàn hơn, tránh bị lừa đảo. Cả người dùng và ngân hàng cần trung thực với những gì đã diễn ra, để việc điều tra và khắc phục có thể được tiến hành nhanh chóng và hiệu quả nhất.
Ngoài các tấn công theo dạng kỹ thuật, người dùng cần hiểu và tránh một kiểu tấn công phổ biến- phishing, thường là lừa người dùng đến những trang web giả mạo để lấy cắp thông tin cá nhân như mật khẩu, số thẻ tín dụng… Việc xác thực cần được thực hiện bởi cả hai bên, nghĩa là cả trang web xác thực người dùng và người dùng xác thực trang web đều quan trọng. Một số phương pháp để phòng tránh tấn công phishing là nhìn vào thanh địa chỉ của trình duyệt có màu xanh và tên ngân hàng không xác định xem địa chỉ trang web có chính xác không, chữ l không bị thay bằng chữ I hay số 1, chữ O không bị thay bằng số 0… và hạn chế truy cập vào địa chỉ lạ gửi từ email lạ trước khi xác thực danh tính email đó. Về phía ngân hàng, cần xây dựng một hệ thống an toàn và thiết kế cẩn thận từng bước, từ khâu đăng ký đầu tiên tới lúc kết thúc giao dịch để đảm bảo an toàn tối đa cho khách hàng.
Nguyễn Duy Lân - Đồng Sáng lập Veramine Inc., Mỹ
10:00 | 16/10/2018
09:00 | 21/08/2018
09:00 | 18/12/2018
10:00 | 07/01/2019
09:00 | 03/01/2019
14:00 | 16/01/2019
16:00 | 24/09/2018
09:00 | 13/06/2022
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024