Xác thực giống như khóa của một cánh cửa, và xác thực đa yếu tố giống như cánh cửa đó được bảo vệ bởi nhiều ổ khóa. Những ổ khóa này được kết hợp một cách thông minh,và dùng các loại khóa khác nhau để kẻ xâm nhập gắp khó khắn trong việc phá được hết các khóa. Thiết kế xác thực đa yếu tố cũng đòi hỏi những chi tiết tương tự như vậy, sẽ dùng các cách nhiều thực khác nhau cho mỗi lần xác thực. Xác thực đã yếu tố phân chia làm ba loại: dựa vào những điều người dùng biết (what you know) như mật khẩu, dựa vào những điều người dùng có (what you have) như điện thoại di động, và dựa vào những đặc điểm không đổi của người dùng (what you are) như vân tay.
Với sự phát triển vũ bão, điện thoại di động đang là một cách phổ biến để thực hiện xác thực đa yếu tố cho nhiều tổ chức, đặc biệt là tại các ngân hàng trên thế giới. Một phương pháp phổ biến đang được sử dụng tại các ngân hàng Hoa Kỳ là SMS OTP (One Time Password - mật khẩu dùng 1 lần). Sau khi người dùng nạp mật khẩu, máy chủ của ngân hàng sẽ gửi một mật khẩu số (passcode) ngẫu nhiên đến điện thoại của người dùng qua SMS. Và người dùng cần phải nạp mật khẩu số đó để truy nhập tài khoản hay giao dịch trực tuyến trong một thời gian ngắn trước khi mật khẩu này hết hiệu lực. Tại Việt Nam, phương thức xác thực SMS OTP của một số ngân hàng Việt Nam cũng hoạt động theo cách này.
Mặc dù khả năng lấy cắp passcode trên đường truyền viễn thông của SMS để xác thực thành công là rất thấp, nhưng SMS không được mã hóa hoàn toàn trên đường truyền viễn thông, do đó vẫn có những rủi ro nhất định. Để có thể thể tăng tính bảo mật lên mức cao hơn, ngày nay điện thoại thông minh cho phép phát triển những ứng dụng chứa dữ liệu, trong đó có passcode, được mã hóa hoàn toàn trên đường truyền (end-to-end), như là dùng giao thức TLS được nói ở trên. Nhờ đó, ứng dụng có độ an toàn cao hơn và ít bị phụ thuộc vào sự an toàn của mạng viễn thông. Nhưng trong mọi trường hợp, passcode cần phải được hoàn toàn ngẫu nhiên, và các thuật toán sử dụng passcode này để xác thực, cũng như các giao thức hoạt động trong các tình huống khác nhau, cũng cần phải an toàn đến từng chi tiết.
Ngoài ra, cũng có một phương pháp xác thực đa yếu tố an toàn hơn, nhưng tốn kém và khó sử dụng hơn, đó là dùng thẻ thông minh. Phương pháp này tích hợp mã khóa ngẫu nhiên không ai biết và rất khó đọc ra được khỏi thẻ. Cách này thường được các công ty lớn dùng cho nhân viên đăng nhập vào mạng nội bộ. Trong tương lai, còn có một xu hướng phát triển nhiều tiềm năng và mới được phát triển gần đây, nhưng chưa được sử dụng rộng rãi, đó là dùng điện thoại di động như một cái ví điện tử chứa các thẻ điện tử thông minh và người ta có thể dùng các thẻ này cho các phương thức xác thực đa yếu tố.
Gần đây xảy ra 1 số vụ tấn công vào quy trình xác thực của 1 số ngân hàng tại Việt Nam, gây ra những tổn thất tương đối lớn. Những vụ việc này cho thấy là các ngân hàng cần đẩy mạnh việc hướng dẫn người dùng về an toàn thông tin đủ để sử dụng các dịch vụ trực tuyến an toàn hơn, tránh bị lừa đảo. Cả người dùng và ngân hàng cần trung thực với những gì đã diễn ra, để việc điều tra và khắc phục có thể được tiến hành nhanh chóng và hiệu quả nhất.
Ngoài các tấn công theo dạng kỹ thuật, người dùng cần hiểu và tránh một kiểu tấn công phổ biến- phishing, thường là lừa người dùng đến những trang web giả mạo để lấy cắp thông tin cá nhân như mật khẩu, số thẻ tín dụng… Việc xác thực cần được thực hiện bởi cả hai bên, nghĩa là cả trang web xác thực người dùng và người dùng xác thực trang web đều quan trọng. Một số phương pháp để phòng tránh tấn công phishing là nhìn vào thanh địa chỉ của trình duyệt có màu xanh và tên ngân hàng không xác định xem địa chỉ trang web có chính xác không, chữ l không bị thay bằng chữ I hay số 1, chữ O không bị thay bằng số 0… và hạn chế truy cập vào địa chỉ lạ gửi từ email lạ trước khi xác thực danh tính email đó. Về phía ngân hàng, cần xây dựng một hệ thống an toàn và thiết kế cẩn thận từng bước, từ khâu đăng ký đầu tiên tới lúc kết thúc giao dịch để đảm bảo an toàn tối đa cho khách hàng.
Nguyễn Duy Lân - Đồng Sáng lập Veramine Inc., Mỹ
10:00 | 16/10/2018
09:00 | 21/08/2018
09:00 | 18/12/2018
10:00 | 07/01/2019
09:00 | 03/01/2019
14:00 | 16/01/2019
16:00 | 24/09/2018
09:00 | 13/06/2022
08:00 | 02/01/2025
Mạng Internet ngày nay đã trở thành một phần không thể thiếu trong cuộc sống của chúng ta, đặc biệt là trong thời đại số hóa. Tuy nhiên, cùng với sự phát triển của công nghệ và Internet, nguy cơ đánh cắp thông tin cá nhân, tài khoản và các dữ liệu quan trọng khác trên mạng cũng ngày càng gia tăng. Để giải quyết vấn đề này, chứng chỉ SSL (Secure Sockets Layer) đã được phát triển và sử dụng rộng rãi để bảo vệ thông tin truyền tải trên Internet. Bài viết sẽ trình bày về vai trò của chứng chỉ SSL trong bảo mật website và một số loại chứng chỉ SSL thông dụng.
08:00 | 12/12/2024
Trong bối cảnh mua sắm trực tuyến ngày càng trở nên phổ biến, các thủ đoạn lừa đảo cũng đang ngày càng tinh vi và thường nhắm vào những người tiêu dùng bất cẩn. Những nạn nhân này thường có thói quen mua sắm trực tuyến thường xuyên, nhưng lại thiếu chú ý đến các phương thức thanh toán trước khi hoàn tất giao dịch. Cục An toàn thông tin (Bộ TT&TT) vừa đưa ra cảnh báo về các chiêu trò lừa đảo phổ biến, đặc biệt trong dịp cuối năm khi nhu cầu mua sắm tăng cao.
08:00 | 26/09/2024
Mới đây, Discord đã giới thiệu giao thức DAVE (Discord Audio and Video End-to-End Encryption), một giao thức mã hóa đầu cuối tùy chỉnh (E2EE) được thiết kế để bảo mật các cuộc gọi âm thanh và video trên nền tảng này trước các nguy cơ nghe lén và ngăn chặn trái phép từ tác nhân bên ngoài.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Tấn công từ chối dịch vụ (Distributed denial of service - DDoS) đã và đang trở nên phổ biến và lan rộng trên mạng Internet. Khi DDoS nhắm tới các web server thông qua mạng botnet, kẻ tấn công thường huy động một số lượng lớn các máy tính bị nhiễm mã độc, PC-Bot gửi các yêu cầu tới máy chủ ứng dụng web làm cho tài nguyên (CPU, băng thông, bộ nhớ…) bị cạn kiệt dẫn tới dịch vụ web bị ngừng hoạt động. Để giảm thiểu thiệt hại và ngăn chặn hình thức tấn công này, cần xây dựng một ứng dụng có thể hỗ trợ giám sát một số đặc điểm bất thường trên lưu lượng mạng và phân biệt được người sử dụng hay bot đang truy cập vào web server, làm tiền đề để ngăn chặn kịp thời các cuộc tấn công DDoS, không gây tắc nghẽn băng thông hoặc cạn kiệt tài nguyên, tạo điều kiện để người sử dụng bình thường có thể truy cập website.
07:00 | 07/02/2025