Xác thực là quá trình xác minh tính hợp lệ của một thực thể hoặc người dùng nào đó. Việc xác minh này tránh việc giả danh thành công để có quyền truy cập trái phép đến tài nguyên mạng mà người giả danh không có quyền như vậy. Xác thực rất quan trọng bởi vì khi việc giả danh thành công thì việc bảo vệ tài nguyên mạng là thất bại. Hậu quả của việc giả danh này có thể rất trầm trọng, thậm chí phá vỡ hoàn toàn các tài nguyên mạng và các hệ thống mạng đang hoạt động.
Để có thể xác thực được các thực thể, việc đầu tiên là hình thành nên tập hợp danh tính của các thực thể ánh xạ vào tập hợp thực sự các thực thể. Giống như quá trình ánh xạ tập hợp các tên người vào một tập hợp người cụ thể. Quá trình làm việc với các tài nguyên mạng thường được tiến hành thông qua danh tính của các thực thể mà không phải là trực tiếp các thực thể. Chính vì vậy, xác thực thực thể phải đảm bảo danh tính không thể bị mạo danh bởi bất kỳ thực thể nào khác. Muốn làm được như vậy, mỗi danh tính của thực thể phải cung cấp các nhân tố đặc trưng cho thực thể đó mà không đặc trưng cho các thực thể khác.
Vấn đề đặt ra các nhân tố được cung cấp của các thực thể có phải hoàn toàn khác biệt giữa chúng hay không? Cần có bao nhiêu nhân tố thì đủ để việc xác thực là chính xác hoàn toàn? Đó chính là vấn đề xác thực đa nhân tố.
Nhu cầu xác thực đa nhân tố
Trước hết, xác thực một nhân tố là xác thực khi mà mỗi danh tính của một thực thể được gắn với một mật khẩu (mật khẩu này chỉ có thực thể này biết). Khi đăng nhập truy cập tài nguyên mạng, thực thể này cung cấp danh tính và mật khẩu cho hệ thống. Hệ thống sẽ kiểm tra danh tính và mật khẩu xem có trùng khớp với bộ danh tính và mật khẩu tương ứng được lưu trữ không. Nếu đúng thì quá trình xác thực thành công và thực thể được hệ thống cấp quyền truy cập vào các tài nguyên mạng theo phân quyền.
Vì chỉ có một nhân tố là mật khẩu nên nếu thực thể chính để lộ mật khẩu thì thực thể khác có thể dễ dàng giả danh. Bản thân hệ thống cũng phải có cơ chế hoạt động sao cho mật khẩu của các thực thể không thể bị lộ khi lưu trữ hoặc truyền trên mạng. Để cho quá trình xác thực khó giả danh hơn người ta có thể đưa thêm nhân tố mới đặc trưng cho thực thể khác hoàn toàn với nhân tố ban đầu để có được xác thực hai nhân tố. Nếu thấy cần, người ta lại đưa thêm nhân tố thứ ba khác với hai nhân tố đầu để có được xác thực ba nhân tố. Quá trình xác thực mà có sử dụng từ hai nhân tố trở lên được gọi là xác thực đa nhân tố. Việc lựa chọn nhân tố đặc trưng cho thực thể phải đảm bảo các nhân tố này phải khác biệt nhau, không có tính tương tự thì mới có nhiều ý nghĩa. Ví dụ một định danh có hai nhân tố đều là mật khẩu thì có rất ít ý nghĩa.
Các nhân tố trong xác thực đa nhân tố
Một nhân tố thực chất là một kiểu xác thực. Khi tuyên bố danh tính của ai đó cần cung cấp thông tin hoặc bằng chứng để chứng tỏ đúng là thực thể với danh tính đó. Nhân tố có thể là mật khẩu hoặc cũng có thể là một thẻ tín dụng ATM.
Nhân tố thứ nhất: Mật khẩu, số nhận diện cá nhân (PIN). Tất nhiên phải lựa chọn mật khẩu hay số PIN sao cho khó đoán được đối với các thực thể khác.
Nhân tố thứ hai: Chọn một vật mà chỉ thực thể hợp pháp mới có, thường mang theo mình và không thể nhân bản, ví dụ như thẻ thông minh.
Nhân tố thứ ba: Đặc tính sinh trắc của người dùng, gắn liền với bản thân người dùng. Đó là vân tay, võng mạc mắt, giọng nói hay khuôn mặt.
Nhân tố thứ tư: Vị trí của người dùng được xác định chính xác không nhầm lẫn. Đối với máy tính đó chính là địa chỉ IP.
Nhân tố thứ năm: Nhân tố này ít được sử dụng và ít người biết đến. Đó là quan sát các hành động của người dùng như: Các cử động và tiếp xúc, ví dụ mật khẩu hình vẽ.
Xác thực đa bước và xác thực đa nhân tố
Sự khác biệt là xác thực đa bước kiểm tra hợp lệ các nhân tố riêng rẽ trong khi xác thực đa nhân tố kiểm tra hợp lệ các nhân tố cùng nhau.
Ví dụ: Xác thực đơn nhân tố đơn giản nhất là chỉ gồm có tài khoản người sử dụng (User Account) đi đôi với mật khẩu (Password). Nhân tố duy nhất chính là mật khẩu. Xác thực hai nhân tố phổ biến là khi sử dụng USB Token và số nhận diện các nhân PIN để ký số lên tài liệu điện tử. Khi đó, hai nhân tố là USB Token là cái ta có và số PIN là cái ta biết.
Khi một hệ thống yêu cầu danh tính và mật khẩu theo sau bởi một thẻ thông minh, nếu xác thực là đa nhân tố thì hệ thống sẽ không kiểm tra hợp lệ danh tính và mật khẩu chừng nào thẻ thông minh chưa được cung cấp. Lợi thế của cách tiếp cận này là nếu xác thực thất bại thì người ta không thể biết danh tính, mật khẩu hay thẻ thông minh không đúng. Ngược lại nếu xác thực là đa bước thì hệ thống sẽ kiểm tra hợp lệ danh tính và mật khẩu trước. Nếu cả hai chính xác thì thẻ thông minh mới được kiểm tra hợp lệ. Khi đó quá trình xác thực trở thành đơn nhân tố. Chỉ có nhân tố chưa biết được là chính thẻ thông minh.
Hiện nay, người ta hay sử dụng xác thực Out-of-Band đối với các tin nhắn SMS mà ở đó mỗi nhân tố xác thực SMS truyền theo các kênh hay các mạng khác nhau. Kẻ tấn công có thể sử dụng kỹ nghệ xã hội để thu được các tin nhắn SMS này và khớp chúng với nhau như đã được đề cập trong NIST SP 800-63B Digital Identity Guidelines.
Giải pháp Single Sign On (SSO) chỉ nhằm mục đích giảm nhẹ việc quản trị xác thực. Chỉ cần xác thực một lần đến hệ thống hoặc ứng dụng đại diện để cung cấp truy cập đến nhiều hệ thống hoặc ứng dụng được bảo vệ trong một phiên làm việc. SSO có thể là xác thực đơn nhân tố hoặc đa nhân tố tùy thuộc vào phương pháp xác thực mà hệ thống hay ứng dụng đại diện yêu cầu.
Một kiểu xác thực phiên truyền thống đối với nhiều ứng dụng Web hiện đại được thay thế bằng sử dụng JSON Web Tokens (JWT). Phương thức này định nghĩa một cách thức compact và tự đầy đủ để truyền an toàn thông tin giữa các bên là các đối tượng JSON. Thông tin được kiểm tra và tin cậy bởi được ký số. JWT được ký sử dụng khóa bí mật với thuật toán HMAC hoặc cặp khóa bí mật/công khai sử dụng RSA trong chuẩn mở RFC 7519 năm 2016.
Một số thách thức đối với xác thực đa nhân tố
Xác thực đa nhân tố cũng có một số thách thức, cụ thể như sau:
- Tính tiện dụng; khi sử dụng nhiều nhân tố khác nhau thì tính tiện dụng sẽ khó đạt hơn.
- Vấn đề chi phí: Sẽ gia tăng cho triển khai xác thực nhiều nhân tố.
- Những khoảng trống kỹ thuật khi kết hợp các nhân tố với nhau.
- Gia tăng phức tạp triển khai, hỗ trợ và duy trì. Điều này cũng đòi hỏi kiểm tra tính tương thích thường xuyên khi các môi trường thay đổi.
- Các tùy chọn sao lưu.
- Làm cạn kiệt thời gian và tài nguyên.
- Các rủi ro biến thiên.
Bởi vậy, giải pháp xác thực đa nhân tố đúng đắn sẽ cải thiện an toàn, đáp ứng các yêu cầu tuân thủ và cải thiện năng suất của người dùng trong khi giảm thiểu các thách thức như các khoảng trống kỹ thuật, các vấn đề tiện dụng và tính phức tạp.
Kết luận
Rõ ràng xác thực đa nhân tố là bắt buộc hiện nay. Tuy nhiên, các nhân tố thường phải được đặt trong các kênh hay các mạng khác nhau sao cho càng độc lập nhau càng tốt. Nếu chỉ sử dụng mật khẩu để bảo vệ danh tính thì cũng cần dùng bộ quản lý mật khẩu riêng để sinh ngẫu nhiên và lưu trữ an toàn các mật khẩu của bạn.
Xác thực sinh trắc học được cho là an toàn hơn xác thực mật khẩu, nhưng cũng cần phối hợp thêm một hoặc nhiều nhân tố khác để tăng tính bảo mật. Nhân tố an toàn cả hiện nay là thiết bị vật lý như thẻ thông minh hay USB Token sử dụng mật mã PKI mà khóa bí mật được lưu vật lý trên thẻ thông minh và việc nhân bản được thiết bị thẻ thông minh này rất khó thực hiện.
Trần Quang Kỳ
15:00 | 20/01/2021
15:00 | 22/01/2021
09:00 | 26/01/2021
15:00 | 05/08/2019
14:00 | 07/01/2020
10:00 | 20/09/2019
10:00 | 16/08/2024
Trong những năm gần đây, công nghệ Deepfake đã trở nên ngày càng phổ biến hơn, cho phép tạo ra các video thực đến mức chúng ta khó có thể phân biệt với các video quay thực tế. Tuy nhiên, công nghệ này đã bị các tác nhân đe dọa lợi dụng để tạo ra những nội dung giả mạo, hoán đổi khuôn mặt nhằm mục đích lừa đảo, gây ảnh hưởng tiêu cực đến xã hội. Do đó, việc phát triển các công cụ phát hiện Deepfake mang tính cấp bách hơn bao giờ hết. Bài viết này sẽ giới thiệu tổng quan về một số kỹ thuật và công cụ phát hiện Deepfake hiệu quả.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
10:00 | 03/10/2023
Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.
10:00 | 04/10/2024