Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Secure Internet Banking Authentication?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Secure Internet Banking Authentication?

    Hi All,


    Tôi thấy mọi người thảo luận về các thuật toán mã hóa, CA...Và ứng dụng các ứng dụng cho việc bảo mật...ở threat dưới(RSA). Hiên nay tôi đang nghiên cứu cơ chế Authentication một User, rất mong mọi người thảo luận về vấn đề này!

    Hiện nay để xác nhận sự hợp lệ một user thì có các cách như sau:
    1.Something the user knows (PIN, Password...)
    2. Something the user has (Smart card, usb token...)
    3. Something the user is (fingerprint, voice, face...)

    Nếu mà chỉ dụng phương pháp 1 thì độ bảo mật sẽ thấp, do vậy hiện nay các ngân hàng dùng cả phương pháp một và phương pháp 2 để xác định tính hợp lệ một User và cho phép dùng các dịch vụ nhất định như xem tài khoản, chuyển khoản v v.

    Cơ chế của phương pháp 1 và phương pháp 3 thì khá rõ ràng.
    Đối với cơ chế 2, tôi tham khảo một số website của một số ngân hàng, thì thấy cần phải thực hiện các thao tác như sau:
    1.Đăng kí 1 certificate (dùng banking account+pin, thông tin cá nhân) và lưu certificate này vào HDD, floppy disk,CD-room, Smart Card, USB Token.
    2. Khi chuyển khoản thì cần phải nhập banking account+Pin of account,chọn certificate+Pin of cert.

    Theo tôi hiểu thì khi vào trang web của ngân hàng kiểu này, một SSL sẽ được thiết lập(Server Authentication). Khi thực hiên giao dịch, Server sẽ gửi một thông điệp tới Client, Client sẽ Sign thông điệp này bằng private key của mình và gửi cho server, server kiểm tra chữ kí đó có đúng là của user này không bằng cách dùng public key trên certificate của user này. Như vậy quá trình này chứng minh User này sở hữu Private key tương ứng với Certificate của user này mà bank đã cấp trước đó, có nghĩa là "something the use has"

    Mọi nguời có ai hiểu việc chọn Certificate+Pin này mục đích của nó là để làm gi không? Xin chỉ giáo!

    Thanks!

  • #2
    Xác thực đơn yếu tố và xác thực đa yếu tố.

    Ngày nay, sử dụng thẻ ATM để rút tiền tự động đã trở nên rất quen thuộc với nhiều người. Ai cũng nhận thấy được lợi ích do nó mang lại, nhất là tính an toàn của nó. Người chủ thẻ vẫn có quyền an tâm khi bị mất thẻ, vì để rút tiền từ máy, người sử dụng không những phải có thẻ ATM mà còn cần thêm mã PIN của thẻ đó. Chỉ sau một số lần nhập sai mã PIN, thẻ sẽ tự động bị giữ lại và không sử dụng được nữa.
    Đó là ví dụ của khái niệm xác thực đa yếu tố.
    Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và là một người dùng hợp lệ. Cách thông thường nhất, hệ thống xác thực bằng cách cấp cho người dùng tên truy cập (username) và mật khẩu (password) để kiểm tra khi đăng nhập vào hệ thống. Mức độ mạnh yếu của mỗi phương thức xác thực được đánh giá trên khả năng chống giả mạo của nó.
    One-factor Authentication - xác thực đơn yếu tố: Cách xác thực này chỉ dựa vào một yếu tố duy nhất là mật khẩu, phải được giữ kín, còn tên truy cập thường được công khai. Điểm yếu của nó chính là mật khẩu rất dễ bị bẻ khóa, đánh cắp (bằng phần mềm gián điệp ghi nhận phím gõ), cho mượn, đoán, nghe lén, hơn nữa khó nhớ, khó quản lý nhiều mật khẩu và nhất là đối với các ứng dụng truy cập từ xa. Đây là một loại xác thực yếu.
    Multi-factor Authentication – xác thực đa yếu tố: Quá trình xác nhận người dùng bằng nhiều yếu tố khác nhau. Thông dụng nhất là gồm hai yếu tố: cái bạn có (một đồ vật) và cái bạn biết (mật khẩu). Cái bạn có ví dụ như là thẻ ATM ứng dụng ở ngân hàng, thẻ Smart card dùng trong các thiết bị phần cứng, và Token dành cho các ứng dụng phần mềm.
    Ta có thể tham khảo một ví dụ của Token như hình vẽ. Token có nhiệm vụ tạo ra mật khẩu chỉ sử dụng một lần. Sử dụng mật khẩu này với mã PIN bạn biết, tạo ra một mật khẩu hợp lệ để đăng nhập vào hệ thống. Sau mỗi lần xác thực, mật khẩu vừa sử dụng sẽ không còn tác dụng, cho nên dù nó bị bắt được nhưng lại hoàn toàn vô dụng đối với hacker.

    Mật khẩu được sinh ra như thế nào, đồng bộ hóa giữa Token và server ra sao, tất cả những thuật toán phức tạp này đều là bí mật công nghệ của mỗi sản phẩm. Do đó việc dự đoán mật khẩu sẽ không bao giờ hiện thực được. Điều này cho thấy đằng sau sự tiện lợi và an toàn của người dùng là cả một hệ thống với nhiều công nghệ hiện đại khác nhau.



    TH&ĐS

    PS: bạn muốn nghiên cứu mô hình triển khai như thế nào có thể vào trang securecomputing.com để xem, hoặc rsa.com, hoặc PM mình nếu cần thiết.
    Last edited by one2two; 25-03-2008, 12:12 PM.
    Solution Engineer

    Working with Microsoft, Cisco, Juniper, Nortel, Secure Computing, McAfee, Astaro, IBM, Netapp, One Access, Packeteer, Polycom, Vbrick, Kaspersky, and more...

    The next: CMS, DMS, CRM, ERP...


    Know more, but No deep,

    And No Certificate!

    Comment


    • #3
      Mình có thắc mắc tí:
      Ở mục One - Factor Authentication: nếu mình không dùng mật khẩu mà dùng vân tay hay gì đó có được không? Hay bắt buộc phải là "mật khẩu"?
      Xin cám ơn :)
      Update in progress, Please wait ...

      Comment


      • #4
        Được bác ạ. Các giải pháp chứng thực hiện nay đáp ứng hầu hết các yêu cầu cho một hệ thống xác thực cấp cao.

        Ví dụ bác có thể tham khảo www.entrust.com hoặc em :D để biết thêm chi tiết.

        Bác muốn có live demo thì reg một account tại sàn chứng khoán online SBS nhé :D
        http://ldakvn1.forumgogo.com - My new home

        Comment


        • #5
          Originally posted by security_plus View Post
          Mình có thắc mắc tí:
          Ở mục One - Factor Authentication: nếu mình không dùng mật khẩu mà dùng vân tay hay gì đó có được không? Hay bắt buộc phải là "mật khẩu"?
          Xin cám ơn :)
          Chà, chắc lúc đó đâu cần giết người nhỉ, chỉ cần xin mỗi cái ngón trỏ là đủ sài rùi he.

          Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


          Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

          Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

          Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

          Hướng dẫn cài đặt cấu hình Retrospect Backup Server

          Cài đặt và cấu hình phần mềm FSA Audit Files Server

          CAMAPTRANG
          http://www.asterisk.vn

          Comment


          • #6
            Originally posted by ldakvn1 View Post
            Được bác ạ. Các giải pháp chứng thực hiện nay đáp ứng hầu hết các yêu cầu cho một hệ thống xác thực cấp cao.

            Ví dụ bác có thể tham khảo www.entrust.com hoặc em :D để biết thêm chi tiết.

            Bác muốn có live demo thì reg một account tại sàn chứng khoán online SBS nhé :D
            Nhờ bác Khoa qua bên Lạc Việt hoặc bên LV qua bên bác tìm hiểu về Entrust được không ạ? :)
            Update in progress, Please wait ...

            Comment


            • #7
              Em có một câu hỏi thế này:
              Để chọn giải pháp chứng thực mạnh/an toàn thì mình nên chọn?

              a) Sử dụng Password dài, phức tạp, đổi password thường xuyên.
              b) Sử dụng "máy" tạo password sau đó cấp cho người dùng. Dùng các công cụ crack password để kiểm tra.
              c) Sử dụng card + PIN.
              d) Sử dụng Token tạo password bằng cách nhập số PIN.

              Nếu chỉ có một lựa chọn thì các bác chọn cái nào ạ?
              Xin cám ơn
              Update in progress, Please wait ...

              Comment


              • #8
                Tùy budget thôi bác.

                Dùng grid card + password thì tăng thêm một level, giá hợp lý. Nhưng vẫn sợ bị người ta chụp hình lén cái card + sniff pasword phá được.

                Cao hơn chút thì dùng password + Token thì cao hơn một chút.

                Sang nữa thì nhận dạng vân tay, tuy nhiên tốt cost nhiều và phải cân nhắc tỷ lệ đúng/sai nữa.
                http://ldakvn1.forumgogo.com - My new home

                Comment


                • #9
                  Originally posted by ldakvn1 View Post
                  Tùy budget thôi bác.

                  Dùng grid card + password thì tăng thêm một level, giá hợp lý. Nhưng vẫn sợ bị người ta chụp hình lén cái card + sniff pasword phá được.

                  Cao hơn chút thì dùng password + Token thì cao hơn một chút.

                  Sang nữa thì nhận dạng vân tay, tuy nhiên tốt cost nhiều và phải cân nhắc tỷ lệ đúng/sai nữa.
                  Các bác cứ coi như đây là một câu hỏi trong đề thi. Mà đề thi thì bắt buộc phải chọn phương án rồi :)

                  Nhận dạng bằng vân tay thì ok rồi. Nhưng em có một ý muốn hỏi là dùng vân tay có gì bất lợi ạ? :)
                  Update in progress, Please wait ...

                  Comment


                  • #10
                    Originally posted by security_plus View Post
                    Các bác cứ coi như đây là một câu hỏi trong đề thi. Mà đề thi thì bắt buộc phải chọn phương án rồi :)

                    Nhận dạng bằng vân tay thì ok rồi. Nhưng em có một ý muốn hỏi là dùng vân tay có gì bất lợi ạ? :)
                    Trời ! anh Security_Plus đang có tấm CER hàng đỉnh của Secu mà còn hỏi làm sao em út dám mơ bàn luận nhỉ, một chuyên gia đỉnh cao trong Sec mà còn không hình dung làm sao ai mà biết được.
                    Call me for Spam mail Services and mobile messages

                    Comment


                    • #11
                      a) Sử dụng Password dài, phức tạp, đổi password thường xuyên.
                      Cái này là xác thực yếu, dù password phức tạp, đổi thường xuyên nhưng chỉ dành cho các chuyên gia, còn người dùng sẵn sàng ghi password của họ lên bất kì đâu để dể nhớ. Phương pháp này chỉ tránh được việc dò tìm password bằng tool
                      b) Sử dụng "máy" tạo password sau đó cấp cho người dùng. Dùng các công cụ crack password để kiểm tra.
                      Trường hợp này tương tự trường hợp trên
                      c) Sử dụng card + PIN.
                      Xác thực mạnh, vì nếu có card mà không có PIN thì chào thua. Tuy nhiên card có thể bị làm giả, nhất là thẻ từ.
                      d) Sử dụng Token tạo password bằng cách nhập số PIN.
                      Xác thực mạnh, password sẽ được đồng bộ giữa token và server, đồng bộ thế nào là bí mật công nghệ, cho nên không làm token giả được. Tuy nhiên mất cả token lẫn PIN thì vẫn die. Do đó khi mất token, yêu cầu user phải báo mất ngay để lock cái token đó lại --> giảm nguy cơ rò rỉ thông tin

                      Vậy đáp án cuối cùng là (D)

                      Còn sử dụng vân tay hay mống mắt cho One factor authen thì ok. Tuy nhiên với tội phạm công nghệ cao (xem trên phim ảnh) cả vân tay và mống mắt đều làm giả được.

                      :)
                      Solution Engineer

                      Working with Microsoft, Cisco, Juniper, Nortel, Secure Computing, McAfee, Astaro, IBM, Netapp, One Access, Packeteer, Polycom, Vbrick, Kaspersky, and more...

                      The next: CMS, DMS, CRM, ERP...


                      Know more, but No deep,

                      And No Certificate!

                      Comment


                      • #12
                        http://vnpro.org/forum/showthread.php?t=15373 --> Xem thêm
                        Solution Engineer

                        Working with Microsoft, Cisco, Juniper, Nortel, Secure Computing, McAfee, Astaro, IBM, Netapp, One Access, Packeteer, Polycom, Vbrick, Kaspersky, and more...

                        The next: CMS, DMS, CRM, ERP...


                        Know more, but No deep,

                        And No Certificate!

                        Comment


                        • #13
                          Bác này quảng cáo Safeword dữ hén! Bạn gì đó ơi, dùng VeriSign hay RSA nó mới pro chứ!!!
                          nhatpc@

                          Comment


                          • #14
                            Các anh Bình luận khá hay, nhưng mình thấy khi học microsoft thì các hệ thống rất đề cao việc " certificate Authority" , nhưng trong thực tế kể cả hệ thống mạng nội bộ của Ngân Hàng và các cty chứng khoán cũng không dùng đến. Học xong rồi để đó và nghiên cứu thêm, các anh IT làm hệ thống lớn hình như rất sợ trách nhiệm và phiền hà, có lẽ cái này phài tùy thuộc vào Sếp quản lý. 1 Chút ý kiến

                            Comment


                            • #15
                              Originally posted by one2two View Post
                              Cái này là xác thực yếu, dù password phức tạp, đổi thường xuyên nhưng chỉ dành cho các chuyên gia, còn người dùng sẵn sàng ghi password của họ lên bất kì đâu để dể nhớ. Phương pháp này chỉ tránh được việc dò tìm password bằng tool

                              Trường hợp này tương tự trường hợp trên


                              Xác thực mạnh, vì nếu có card mà không có PIN thì chào thua. Tuy nhiên card có thể bị làm giả, nhất là thẻ từ.


                              Xác thực mạnh, password sẽ được đồng bộ giữa token và server, đồng bộ thế nào là bí mật công nghệ, cho nên không làm token giả được. Tuy nhiên mất cả token lẫn PIN thì vẫn die. Do đó khi mất token, yêu cầu user phải báo mất ngay để lock cái token đó lại --> giảm nguy cơ rò rỉ thông tin

                              Vậy đáp án cuối cùng là (D)

                              Còn sử dụng vân tay hay mống mắt cho One factor authen thì ok. Tuy nhiên với tội phạm công nghệ cao (xem trên phim ảnh) cả vân tay và mống mắt đều làm giả được.

                              :)
                              Cám ơn one2two!
                              Update in progress, Please wait ...

                              Comment

                              Working...
                              X