Hi All,
Tôi thấy mọi người thảo luận về các thuật toán mã hóa, CA...Và ứng dụng các ứng dụng cho việc bảo mật...ở threat dưới(RSA). Hiên nay tôi đang nghiên cứu cơ chế Authentication một User, rất mong mọi người thảo luận về vấn đề này!
Hiện nay để xác nhận sự hợp lệ một user thì có các cách như sau:
1.Something the user knows (PIN, Password...)
2. Something the user has (Smart card, usb token...)
3. Something the user is (fingerprint, voice, face...)
Nếu mà chỉ dụng phương pháp 1 thì độ bảo mật sẽ thấp, do vậy hiện nay các ngân hàng dùng cả phương pháp một và phương pháp 2 để xác định tính hợp lệ một User và cho phép dùng các dịch vụ nhất định như xem tài khoản, chuyển khoản v v.
Cơ chế của phương pháp 1 và phương pháp 3 thì khá rõ ràng.
Đối với cơ chế 2, tôi tham khảo một số website của một số ngân hàng, thì thấy cần phải thực hiện các thao tác như sau:
1.Đăng kí 1 certificate (dùng banking account+pin, thông tin cá nhân) và lưu certificate này vào HDD, floppy disk,CD-room, Smart Card, USB Token.
2. Khi chuyển khoản thì cần phải nhập banking account+Pin of account,chọn certificate+Pin of cert.
Theo tôi hiểu thì khi vào trang web của ngân hàng kiểu này, một SSL sẽ được thiết lập(Server Authentication). Khi thực hiên giao dịch, Server sẽ gửi một thông điệp tới Client, Client sẽ Sign thông điệp này bằng private key của mình và gửi cho server, server kiểm tra chữ kí đó có đúng là của user này không bằng cách dùng public key trên certificate của user này. Như vậy quá trình này chứng minh User này sở hữu Private key tương ứng với Certificate của user này mà bank đã cấp trước đó, có nghĩa là "something the use has"
Mọi nguời có ai hiểu việc chọn Certificate+Pin này mục đích của nó là để làm gi không? Xin chỉ giáo!
Thanks!
Tôi thấy mọi người thảo luận về các thuật toán mã hóa, CA...Và ứng dụng các ứng dụng cho việc bảo mật...ở threat dưới(RSA). Hiên nay tôi đang nghiên cứu cơ chế Authentication một User, rất mong mọi người thảo luận về vấn đề này!
Hiện nay để xác nhận sự hợp lệ một user thì có các cách như sau:
1.Something the user knows (PIN, Password...)
2. Something the user has (Smart card, usb token...)
3. Something the user is (fingerprint, voice, face...)
Nếu mà chỉ dụng phương pháp 1 thì độ bảo mật sẽ thấp, do vậy hiện nay các ngân hàng dùng cả phương pháp một và phương pháp 2 để xác định tính hợp lệ một User và cho phép dùng các dịch vụ nhất định như xem tài khoản, chuyển khoản v v.
Cơ chế của phương pháp 1 và phương pháp 3 thì khá rõ ràng.
Đối với cơ chế 2, tôi tham khảo một số website của một số ngân hàng, thì thấy cần phải thực hiện các thao tác như sau:
1.Đăng kí 1 certificate (dùng banking account+pin, thông tin cá nhân) và lưu certificate này vào HDD, floppy disk,CD-room, Smart Card, USB Token.
2. Khi chuyển khoản thì cần phải nhập banking account+Pin of account,chọn certificate+Pin of cert.
Theo tôi hiểu thì khi vào trang web của ngân hàng kiểu này, một SSL sẽ được thiết lập(Server Authentication). Khi thực hiên giao dịch, Server sẽ gửi một thông điệp tới Client, Client sẽ Sign thông điệp này bằng private key của mình và gửi cho server, server kiểm tra chữ kí đó có đúng là của user này không bằng cách dùng public key trên certificate của user này. Như vậy quá trình này chứng minh User này sở hữu Private key tương ứng với Certificate của user này mà bank đã cấp trước đó, có nghĩa là "something the use has"
Mọi nguời có ai hiểu việc chọn Certificate+Pin này mục đích của nó là để làm gi không? Xin chỉ giáo!
Thanks!
Comment