Xác thực đơn yếu tố và xác thực đa yếu tố.

Ngày nay, sử dụng thẻ ATM để rút tiền tự động đã trở nên rất quen thuộc với nhiều người. Ai cũng nhận thấy được lợi ích do nó mang lại, nhất là tính an toàn của nó. Người chủ thẻ vẫn có quyền an tâm khi bị mất thẻ, vì để rút tiền từ máy, người sử dụng không những phải có thẻ ATM mà còn cần thêm mã PIN của thẻ đó. Chỉ sau một số lần nhập sai mã PIN, thẻ sẽ tự động bị giữ lại và không sử dụng được nữa.
Đó là ví dụ của khái niệm xác thực đa yếu tố.
Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và là một người dùng hợp lệ. Cách thông thường nhất, hệ thống xác thực bằng cách cấp cho người dùng tên truy cập (username) và mật khẩu (password) để kiểm tra khi đăng nhập vào hệ thống. Mức độ mạnh yếu của mỗi phương thức xác thực được đánh giá trên khả năng chống giả mạo của nó.
One-factor Authentication - xác thực đơn yếu tố: Cách xác thực này chỉ dựa vào một yếu tố duy nhất là mật khẩu, phải được giữ kín, còn tên truy cập thường được công khai. Điểm yếu của nó chính là mật khẩu rất dễ bị bẻ khóa, đánh cắp (bằng phần mềm gián điệp ghi nhận phím gõ), cho mượn, đoán, nghe lén, hơn nữa khó nhớ, khó quản lý nhiều mật khẩu và nhất là đối với các ứng dụng truy cập từ xa. Đây là một loại xác thực yếu.
Multi-factor Authentication – xác thực đa yếu tố: Quá trình xác nhận người dùng bằng nhiều yếu tố khác nhau. Thông dụng nhất là gồm hai yếu tố: cái bạn có (một đồ vật) và cái bạn biết (mật khẩu). Cái bạn có ví dụ như là thẻ ATM ứng dụng ở ngân hàng, thẻ Smart card dùng trong các thiết bị phần cứng, và Token dành cho các ứng dụng phần mềm.
Ta có thể tham khảo một ví dụ của Token như hình vẽ. Token có nhiệm vụ tạo ra mật khẩu chỉ sử dụng một lần. Sử dụng mật khẩu này với mã PIN bạn biết, tạo ra một mật khẩu hợp lệ để đăng nhập vào hệ thống. Sau mỗi lần xác thực, mật khẩu vừa sử dụng sẽ không còn tác dụng, cho nên dù nó bị bắt được nhưng lại hoàn toàn vô dụng đối với hacker.

Mật khẩu được sinh ra như thế nào, đồng bộ hóa giữa Token và server ra sao, tất cả những thuật toán phức tạp này đều là bí mật công nghệ của mỗi sản phẩm. Do đó việc dự đoán mật khẩu sẽ không bao giờ hiện thực được. Điều này cho thấy đằng sau sự tiện lợi và an toàn của người dùng là cả một hệ thống với nhiều công nghệ hiện đại khác nhau.



TH&ĐS

PS: bạn muốn nghiên cứu mô hình triển khai như thế nào có thể vào trang securecomputing.com để xem, hoặc rsa.com, hoặc PM mình nếu cần thiết.

Mình có thắc mắc tí:
Ở mục One - Factor Authentication: nếu mình không dùng mật khẩu mà dùng vân tay hay gì đó có được không? Hay bắt buộc phải là "mật khẩu"?
Xin cám ơn :)

Được bác ạ. Các giải pháp chứng thực hiện nay đáp ứng hầu hết các yêu cầu cho một hệ thống xác thực cấp cao.

Ví dụ bác có thể tham khảo www.entrust.com hoặc em :D để biết thêm chi tiết.

Bác muốn có live demo thì reg một account tại sàn chứng khoán online SBS nhé :D

Chà, chắc lúc đó đâu cần giết người nhỉ, chỉ cần xin mỗi cái ngón trỏ là đủ sài rùi he.

Nhờ bác Khoa qua bên Lạc Việt hoặc bên LV qua bên bác tìm hiểu về Entrust được không ạ? :)

Em có một câu hỏi thế này:
Để chọn giải pháp chứng thực mạnh/an toàn thì mình nên chọn?

a) Sử dụng Password dài, phức tạp, đổi password thường xuyên.
b) Sử dụng "máy" tạo password sau đó cấp cho người dùng. Dùng các công cụ crack password để kiểm tra.
c) Sử dụng card + PIN.
d) Sử dụng Token tạo password bằng cách nhập số PIN.

Nếu chỉ có một lựa chọn thì các bác chọn cái nào ạ?
Xin cám ơn

Tùy budget thôi bác.

Dùng grid card + password thì tăng thêm một level, giá hợp lý. Nhưng vẫn sợ bị người ta chụp hình lén cái card + sniff pasword phá được.

Cao hơn chút thì dùng password + Token thì cao hơn một chút.

Sang nữa thì nhận dạng vân tay, tuy nhiên tốt cost nhiều và phải cân nhắc tỷ lệ đúng/sai nữa.

Các bác cứ coi như đây là một câu hỏi trong đề thi. Mà đề thi thì bắt buộc phải chọn phương án rồi :)

Nhận dạng bằng vân tay thì ok rồi. Nhưng em có một ý muốn hỏi là dùng vân tay có gì bất lợi ạ? :)

Trời ! anh Security_Plus đang có tấm CER hàng đỉnh của Secu mà còn hỏi làm sao em út dám mơ bàn luận nhỉ, một chuyên gia đỉnh cao trong Sec mà còn không hình dung làm sao ai mà biết được.

Cái này là xác thực yếu, dù password phức tạp, đổi thường xuyên nhưng chỉ dành cho các chuyên gia, còn người dùng sẵn sàng ghi password của họ lên bất kì đâu để dể nhớ. Phương pháp này chỉ tránh được việc dò tìm password bằng tool
Trường hợp này tương tự trường hợp trên
Xác thực mạnh, vì nếu có card mà không có PIN thì chào thua. Tuy nhiên card có thể bị làm giả, nhất là thẻ từ.
Xác thực mạnh, password sẽ được đồng bộ giữa token và server, đồng bộ thế nào là bí mật công nghệ, cho nên không làm token giả được. Tuy nhiên mất cả token lẫn PIN thì vẫn die. Do đó khi mất token, yêu cầu user phải báo mất ngay để lock cái token đó lại --> giảm nguy cơ rò rỉ thông tin

Vậy đáp án cuối cùng là (D)

Còn sử dụng vân tay hay mống mắt cho One factor authen thì ok. Tuy nhiên với tội phạm công nghệ cao (xem trên phim ảnh) cả vân tay và mống mắt đều làm giả được.

:)

http://vnpro.org/forum/showthread.php?t=15373 --> Xem thêm

Bác này quảng cáo Safeword dữ hén! Bạn gì đó ơi, dùng VeriSign hay RSA nó mới pro chứ!!!

Các anh Bình luận khá hay, nhưng mình thấy khi học microsoft thì các hệ thống rất đề cao việc " certificate Authority" , nhưng trong thực tế kể cả hệ thống mạng nội bộ của Ngân Hàng và các cty chứng khoán cũng không dùng đến. Học xong rồi để đó và nghiên cứu thêm, các anh IT làm hệ thống lớn hình như rất sợ trách nhiệm và phiền hà, có lẽ cái này phài tùy thuộc vào Sếp quản lý. 1 Chút ý kiến

Cám ơn one2two!