Tweet
Xác thực
Nhận dạng
Nhận dạng là quá trình cung cấp danh tính của một chủ thể hoặc người dùng. Đây là bước đầu tiên trong quy trình xác thực, ủy quyền và kế toán. Việc cung cấp tên người dùng, hộ chiếu, địa chỉ IP, hoặc thậm chí phát âm tên của bạn là một hình thức nhận dạng. Một danh tính an toàn phải là duy nhất, nghĩa là hai người dùng phải có thể nhận dạng mình một cách rõ ràng. Điều này đặc biệt quan trọng trong bối cảnh giám sát tài khoản. Việc trùng lặp danh tính có thể xảy ra nếu các hệ thống xác thực không được kết nối. Ví dụ, một người dùng có thể sử dụng cùng một ID người dùng cho tài khoản công ty và tài khoản email cá nhân. Một danh tính an toàn cũng nên không mang tính mô tả để không thể suy ra thông tin về danh tính của người dùng. Ví dụ, việc sử dụng “Administrator” làm ID người dùng thường không được khuyến nghị. Một danh tính cũng cần được cấp phát một cách an toàn. Điều này bao gồm tất cả các quy trình và bước trong việc yêu cầu và phê duyệt một yêu cầu danh tính. Thuộc tính này thường được gọi là “cấp phát an toàn”.
Danh sách sau đây làm nổi bật các khái niệm chính của nhận dạng:
■ Danh tính phải duy nhất. Không được phép có hai người dùng cùng một danh tính.
■ Danh tính phải không mang tính mô tả, nghĩa là không thể suy ra vai trò hoặc chức năng của người dùng từ danh tính của họ. Ví dụ, một người dùng tên “admin” là danh tính mang tính mô tả, trong khi một người dùng tên “om1337ar” là danh tính không mang tính mô tả.
■ Danh tính phải được cấp phát an toàn. Cần thiết lập một quy trình an toàn để cấp phát danh tính cho người dùng.
■ Danh tính có thể dựa trên vị trí. Cần thiết lập một quy trình để xác thực ai đó dựa trên vị trí của họ.
Có ba loại yếu tố: kiến thức (thứ mà người dùng biết), sở hữu (thứ mà người dùng có), và đặc điểm (thứ mà người dùng là).
Xác thực bằng kiến thức
Xác thực bằng kiến thức là khi người dùng cung cấp một bí mật mà chỉ họ biết. Ví dụ về xác thực bằng kiến thức bao gồm việc người dùng cung cấp mật khẩu, mã số định danh cá nhân (PIN), hoặc trả lời các câu hỏi bảo mật.
Nhược điểm của phương pháp này là nếu thông tin bị mất hoặc bị đánh cắp (ví dụ, nếu mật khẩu của người dùng bị đánh cắp), kẻ tấn công sẽ có thể xác thực thành công. Ngày nay, không ngày nào trôi qua mà không nghe về một vụ vi phạm dữ liệu mới tại các nhà bán lẻ, nhà cung cấp dịch vụ, dịch vụ đám mây, và các công ty truyền thông xã hội.
Thứ bạn biết là xác thực dựa trên kiến thức. Nó có thể là một chuỗi ký tự, được gọi là mật khẩu hoặc PIN, hoặc có thể là câu trả lời cho một câu hỏi. Mật khẩu là phương pháp xác thực mạng đơn yếu tố phổ biến nhất. Độ mạnh của xác thực mật khẩu phụ thuộc vào độ dài, độ phức tạp và tính không thể dự đoán của nó. Nếu dễ đoán hoặc dễ bị phá giải, nó sẽ dễ bị tấn công. Một khi đã bị biết, nó không còn hữu ích như một công cụ xác minh. Thách thức là làm sao để người dùng tạo, giữ bí mật và nhớ mật khẩu an toàn. Mật khẩu yếu có thể bị phát hiện trong vài phút hoặc thậm chí vài giây bằng cách sử dụng các công cụ bẻ khóa mật khẩu công khai hoặc kỹ thuật xã hội.
Các thực tiễn tốt nhất yêu cầu mật khẩu có độ dài tối thiểu 8 ký tự (tốt hơn là dài hơn), bao gồm sự kết hợp của ít nhất ba trong số các loại sau: chữ hoa và/hoặc chữ thường, dấu câu, ký hiệu, và số (gọi là độ phức tạp), được thay đổi thường xuyên, và phải là duy nhất. Việc sử dụng cùng một mật khẩu để đăng nhập vào nhiều ứng dụng và trang web làm tăng đáng kể nguy cơ bị lộ.
Thông thường, khi người dùng được cấp quyền truy cập ban đầu vào một hệ thống thông tin, họ được cung cấp một mật khẩu tạm thời. Hầu hết các hệ thống có một kiểm soát kỹ thuật buộc người dùng phải thay đổi mật khẩu của họ khi đăng nhập lần đầu tiên. Mật khẩu nên được thay đổi ngay lập tức nếu có bất kỳ nghi ngờ nào rằng nó đã bị xâm phạm.
Như bất kỳ nhân viên hỗ trợ nào sẽ nói với bạn, người dùng quên mật khẩu của họ với tần suất đáng kinh ngạc. Nếu người dùng quên mật khẩu, cần có một quy trình để cấp lại mật khẩu bao gồm việc xác minh rằng người yêu cầu thực sự là người mà họ nói. Thông thường, mật khẩu nhận thức được sử dụng như một phương thức xác minh thứ cấp. Mật khẩu nhận thức là một hình thức xác thực dựa trên kiến thức yêu cầu người dùng trả lời một câu hỏi dựa trên điều gì đó quen thuộc với họ. Các ví dụ phổ biến là tên thời con gái của mẹ hoặc màu yêu thích. Vấn đề, tất nhiên, là thông tin này thường có sẵn công khai. Điểm yếu này có thể được giải quyết bằng cách sử dụng các câu hỏi phức tạp lấy từ các cơ sở dữ liệu đăng ký như báo cáo tín dụng. Những câu hỏi này thường được gọi là câu hỏi thách thức ngoài ví (out-of-wallet challenge questions). Thuật ngữ này được đặt ra để chỉ ra rằng câu trả lời không dễ dàng có sẵn cho người khác ngoài người dùng, và người dùng không có khả năng mang theo thông tin đó trong ví của họ. Hệ thống câu hỏi ngoài ví thường yêu cầu người dùng trả lời đúng nhiều hơn một câu hỏi và thường bao gồm một câu hỏi “mồi nhử” được thiết kế để đánh lừa kẻ mạo danh nhưng người dùng hợp pháp sẽ nhận ra là vô nghĩa.
Có thể cảm thấy rất tiện lợi khi một trang web hoặc ứng dụng đề nghị ghi nhớ thông tin đăng nhập của người dùng hoặc cung cấp đăng nhập tự động vào hệ thống, nhưng thực tiễn này nên bị cấm nghiêm ngặt. Nếu người dùng cho phép các trang web hoặc ứng dụng tự động hóa quy trình xác thực, các thiết bị không được giám sát có thể bị người không được ủy quyền sử dụng để truy cập vào các tài nguyên thông tin.
Xác thực bằng sở hữu
Với loại xác thực này, người dùng được yêu cầu cung cấp bằng chứng rằng họ sở hữu một thứ gì đó cụ thể—ví dụ, một hệ thống có thể yêu cầu nhân viên sử dụng thẻ để truy cập vào một cơ sở. Một ví dụ khác của xác thực bằng sở hữu là việc sử dụng mã thông báo hoặc thẻ thông minh.
Tương tự như phương pháp trước, nếu kẻ tấn công có thể đánh cắp đối tượng được sử dụng để xác thực, họ sẽ có thể truy cập hệ thống thành công.
Các ví dụ về xác thực bằng sở hữu bao gồm: mã một lần, thẻ nhớ, thẻ thông minh, và giao tiếp ngoài băng tần.
Phổ biến nhất trong bốn loại này là mã một lần được gửi đến một thiết bị mà người dùng sở hữu. Mã một lần (OTP) là một tập hợp các đặc điểm có thể được sử dụng để chứng minh danh tính của một chủ thể một lần và chỉ một lần. Vì OTP chỉ có hiệu lực cho một lần truy cập, nếu nó bị bắt, quyền truy cập bổ sung sẽ tự động bị từ chối. OTP thường được gửi qua một thiết bị mã thông báo phần cứng hoặc phần mềm. Mã thông báo hiển thị mã, sau đó mã này phải được nhập vào màn hình xác thực. Ngoài ra, OTP có thể được gửi qua email, tin nhắn văn bản, hoặc cuộc gọi điện thoại đến một địa chỉ hoặc số điện thoại đã được xác định trước.
Thẻ nhớ là một cơ chế xác thực chứa thông tin người dùng trong một dải từ tính và dựa vào một đầu đọc để xử lý thông tin. Người dùng chèn thẻ vào đầu đọc và nhập mã số định danh cá nhân (PIN). Thông thường, PIN được băm và lưu trữ trên dải từ tính. Đầu đọc băm PIN được nhập và so sánh nó với giá trị trên thẻ. Một ví dụ quen thuộc về điều này là thẻ ATM ngân hàng.
Thẻ thông minh hoạt động theo cách tương tự. Thay vì dải từ tính, nó có một vi xử lý và các mạch tích hợp. Người dùng chèn thẻ vào một đầu đọc, có các điểm tiếp xúc điện để giao tiếp với thẻ và cung cấp năng lượng cho bộ xử lý. Người dùng nhập PIN để mở khóa thông tin. Thẻ có thể chứa khóa riêng của người dùng, tạo ra OTP, hoặc trả lời một thử thách-phản hồi.
Xác thực ngoài băng tần yêu cầu giao tiếp qua một kênh khác biệt với yếu tố đầu tiên. Mạng di động thường được sử dụng cho xác thực ngoài băng tần. Ví dụ, một người dùng nhập tên và mật khẩu của họ tại lời nhắc đăng nhập ứng dụng (yếu tố 1). Sau đó, người dùng nhận được một cuộc gọi trên điện thoại di động của họ; người dùng trả lời và cung cấp một mã được xác định trước (yếu tố 2). Để xác thực bị xâm phạm, kẻ tấn công sẽ phải có quyền truy cập vào cả máy tính và điện thoại.
Xác thực bằng đặc điểm
Một hệ thống sử dụng xác thực bằng đặc điểm xác thực người dùng dựa trên một đặc điểm vật lý hoặc hành vi, đôi khi được gọi là thuộc tính sinh trắc học. Các đặc điểm vật lý hoặc sinh lý được sử dụng phổ biến nhất bao gồm:
■ Vân tay
■ Nhận diện khuôn mặt
■ Mống mắt và võng mạc
■ Hình dạng lòng bàn tay và bàn tay
■ Thông tin máu và mạch máu
■ Nhận diện giọng nói
Các ví dụ về đặc điểm hành vi bao gồm:
■ Động lực chữ ký
■ Mô hình gõ phím
Nhược điểm của hệ thống dựa trên loại xác thực này là nó dễ gặp lỗi về độ chính xác. Ví dụ, một hệ thống dựa trên động lực chữ ký sẽ xác thực người dùng bằng cách yêu cầu người dùng viết chữ ký của mình và sau đó so sánh mẫu chữ ký với bản ghi trong hệ thống. Vì cách một người ký tên khác nhau một chút mỗi lần, hệ thống nên được thiết kế để người dùng vẫn có thể xác thực, ngay cả khi chữ ký và mẫu không hoàn toàn giống với bản ghi trong hệ thống. Tuy nhiên, nó cũng không nên quá lỏng lẻo và vô tình xác thực một người dùng không được ủy quyền đang cố gắng bắt chước mẫu.
Có hai loại lỗi liên quan đến độ chính xác của một hệ thống sinh trắc học:
■ Lỗi loại I, còn gọi là từ chối sai, xảy ra khi hệ thống từ chối một người dùng hợp lệ lẽ ra nên được xác thực.
■ Lỗi loại II, còn gọi là chấp nhận sai, xảy ra khi hệ thống chấp nhận một người dùng lẽ ra nên bị từ chối (ví dụ, một kẻ tấn công cố gắng mạo danh một người dùng hợp lệ).
Tỷ lệ lỗi giao nhau (CER), còn gọi là tỷ lệ lỗi bằng nhau (EER), là điểm mà tỷ lệ lỗi từ chối sai (FRR) và tỷ lệ lỗi chấp nhận sai (FAR) bằng nhau. Đây thường được chấp nhận là một chỉ số về độ chính xác (và do đó là chất lượng) của một hệ thống sinh trắc học.
Xác thực đa yếu tố
Quá trình xác thực yêu cầu chủ thể cung cấp các thông tin xác minh có thể kiểm chứng. Các thông tin này thường được gọi là yếu tố.
Xác thực đơn yếu tố là khi chỉ một yếu tố được trình bày. Phương pháp xác thực đơn yếu tố phổ biến nhất là sử dụng mật khẩu.
Xác thực đa yếu tố là khi hai hoặc nhiều yếu tố được trình bày. Xác thực đa tầng là khi hai hoặc nhiều yếu tố cùng loại được trình bày. Phân loại dữ liệu, yêu cầu quy định, tác động của truy cập không được ủy quyền, và khả năng một mối đe dọa được thực hiện đều nên được xem xét khi quyết định mức độ xác thực cần thiết. Càng nhiều yếu tố, quá trình xác thực càng mạnh mẽ.
Nhận dạng và xác thực thường được thực hiện cùng nhau; tuy nhiên, điều quan trọng là phải hiểu rằng chúng là hai hoạt động khác nhau. Nhận dạng là về việc thiết lập bạn là ai, trong khi xác thực là về việc chứng minh bạn là thực thể mà bạn tuyên bố.
Để đối phó với sự không an toàn của mật khẩu, nhiều tổ chức đã triển khai các tùy chọn xác thực đa yếu tố cho người dùng của họ. Với xác thực đa yếu tố, các tài khoản được bảo vệ bởi thứ bạn biết (mật khẩu) và thứ bạn có (mã xác minh một lần được cung cấp cho bạn). Thậm chí, những người chơi game cũng đã bảo vệ tài khoản của họ bằng MFA trong nhiều năm.
Nhận dạng
Nhận dạng là quá trình cung cấp danh tính của một chủ thể hoặc người dùng. Đây là bước đầu tiên trong quy trình xác thực, ủy quyền và kế toán. Việc cung cấp tên người dùng, hộ chiếu, địa chỉ IP, hoặc thậm chí phát âm tên của bạn là một hình thức nhận dạng. Một danh tính an toàn phải là duy nhất, nghĩa là hai người dùng phải có thể nhận dạng mình một cách rõ ràng. Điều này đặc biệt quan trọng trong bối cảnh giám sát tài khoản. Việc trùng lặp danh tính có thể xảy ra nếu các hệ thống xác thực không được kết nối. Ví dụ, một người dùng có thể sử dụng cùng một ID người dùng cho tài khoản công ty và tài khoản email cá nhân. Một danh tính an toàn cũng nên không mang tính mô tả để không thể suy ra thông tin về danh tính của người dùng. Ví dụ, việc sử dụng “Administrator” làm ID người dùng thường không được khuyến nghị. Một danh tính cũng cần được cấp phát một cách an toàn. Điều này bao gồm tất cả các quy trình và bước trong việc yêu cầu và phê duyệt một yêu cầu danh tính. Thuộc tính này thường được gọi là “cấp phát an toàn”.
Danh sách sau đây làm nổi bật các khái niệm chính của nhận dạng:
■ Danh tính phải duy nhất. Không được phép có hai người dùng cùng một danh tính.
■ Danh tính phải không mang tính mô tả, nghĩa là không thể suy ra vai trò hoặc chức năng của người dùng từ danh tính của họ. Ví dụ, một người dùng tên “admin” là danh tính mang tính mô tả, trong khi một người dùng tên “om1337ar” là danh tính không mang tính mô tả.
■ Danh tính phải được cấp phát an toàn. Cần thiết lập một quy trình an toàn để cấp phát danh tính cho người dùng.
■ Danh tính có thể dựa trên vị trí. Cần thiết lập một quy trình để xác thực ai đó dựa trên vị trí của họ.
Có ba loại yếu tố: kiến thức (thứ mà người dùng biết), sở hữu (thứ mà người dùng có), và đặc điểm (thứ mà người dùng là).
Xác thực bằng kiến thức
Xác thực bằng kiến thức là khi người dùng cung cấp một bí mật mà chỉ họ biết. Ví dụ về xác thực bằng kiến thức bao gồm việc người dùng cung cấp mật khẩu, mã số định danh cá nhân (PIN), hoặc trả lời các câu hỏi bảo mật.
Nhược điểm của phương pháp này là nếu thông tin bị mất hoặc bị đánh cắp (ví dụ, nếu mật khẩu của người dùng bị đánh cắp), kẻ tấn công sẽ có thể xác thực thành công. Ngày nay, không ngày nào trôi qua mà không nghe về một vụ vi phạm dữ liệu mới tại các nhà bán lẻ, nhà cung cấp dịch vụ, dịch vụ đám mây, và các công ty truyền thông xã hội.
Thứ bạn biết là xác thực dựa trên kiến thức. Nó có thể là một chuỗi ký tự, được gọi là mật khẩu hoặc PIN, hoặc có thể là câu trả lời cho một câu hỏi. Mật khẩu là phương pháp xác thực mạng đơn yếu tố phổ biến nhất. Độ mạnh của xác thực mật khẩu phụ thuộc vào độ dài, độ phức tạp và tính không thể dự đoán của nó. Nếu dễ đoán hoặc dễ bị phá giải, nó sẽ dễ bị tấn công. Một khi đã bị biết, nó không còn hữu ích như một công cụ xác minh. Thách thức là làm sao để người dùng tạo, giữ bí mật và nhớ mật khẩu an toàn. Mật khẩu yếu có thể bị phát hiện trong vài phút hoặc thậm chí vài giây bằng cách sử dụng các công cụ bẻ khóa mật khẩu công khai hoặc kỹ thuật xã hội.
Các thực tiễn tốt nhất yêu cầu mật khẩu có độ dài tối thiểu 8 ký tự (tốt hơn là dài hơn), bao gồm sự kết hợp của ít nhất ba trong số các loại sau: chữ hoa và/hoặc chữ thường, dấu câu, ký hiệu, và số (gọi là độ phức tạp), được thay đổi thường xuyên, và phải là duy nhất. Việc sử dụng cùng một mật khẩu để đăng nhập vào nhiều ứng dụng và trang web làm tăng đáng kể nguy cơ bị lộ.
Thông thường, khi người dùng được cấp quyền truy cập ban đầu vào một hệ thống thông tin, họ được cung cấp một mật khẩu tạm thời. Hầu hết các hệ thống có một kiểm soát kỹ thuật buộc người dùng phải thay đổi mật khẩu của họ khi đăng nhập lần đầu tiên. Mật khẩu nên được thay đổi ngay lập tức nếu có bất kỳ nghi ngờ nào rằng nó đã bị xâm phạm.
Như bất kỳ nhân viên hỗ trợ nào sẽ nói với bạn, người dùng quên mật khẩu của họ với tần suất đáng kinh ngạc. Nếu người dùng quên mật khẩu, cần có một quy trình để cấp lại mật khẩu bao gồm việc xác minh rằng người yêu cầu thực sự là người mà họ nói. Thông thường, mật khẩu nhận thức được sử dụng như một phương thức xác minh thứ cấp. Mật khẩu nhận thức là một hình thức xác thực dựa trên kiến thức yêu cầu người dùng trả lời một câu hỏi dựa trên điều gì đó quen thuộc với họ. Các ví dụ phổ biến là tên thời con gái của mẹ hoặc màu yêu thích. Vấn đề, tất nhiên, là thông tin này thường có sẵn công khai. Điểm yếu này có thể được giải quyết bằng cách sử dụng các câu hỏi phức tạp lấy từ các cơ sở dữ liệu đăng ký như báo cáo tín dụng. Những câu hỏi này thường được gọi là câu hỏi thách thức ngoài ví (out-of-wallet challenge questions). Thuật ngữ này được đặt ra để chỉ ra rằng câu trả lời không dễ dàng có sẵn cho người khác ngoài người dùng, và người dùng không có khả năng mang theo thông tin đó trong ví của họ. Hệ thống câu hỏi ngoài ví thường yêu cầu người dùng trả lời đúng nhiều hơn một câu hỏi và thường bao gồm một câu hỏi “mồi nhử” được thiết kế để đánh lừa kẻ mạo danh nhưng người dùng hợp pháp sẽ nhận ra là vô nghĩa.
Có thể cảm thấy rất tiện lợi khi một trang web hoặc ứng dụng đề nghị ghi nhớ thông tin đăng nhập của người dùng hoặc cung cấp đăng nhập tự động vào hệ thống, nhưng thực tiễn này nên bị cấm nghiêm ngặt. Nếu người dùng cho phép các trang web hoặc ứng dụng tự động hóa quy trình xác thực, các thiết bị không được giám sát có thể bị người không được ủy quyền sử dụng để truy cập vào các tài nguyên thông tin.
Xác thực bằng sở hữu
Với loại xác thực này, người dùng được yêu cầu cung cấp bằng chứng rằng họ sở hữu một thứ gì đó cụ thể—ví dụ, một hệ thống có thể yêu cầu nhân viên sử dụng thẻ để truy cập vào một cơ sở. Một ví dụ khác của xác thực bằng sở hữu là việc sử dụng mã thông báo hoặc thẻ thông minh.
Tương tự như phương pháp trước, nếu kẻ tấn công có thể đánh cắp đối tượng được sử dụng để xác thực, họ sẽ có thể truy cập hệ thống thành công.
Các ví dụ về xác thực bằng sở hữu bao gồm: mã một lần, thẻ nhớ, thẻ thông minh, và giao tiếp ngoài băng tần.
Phổ biến nhất trong bốn loại này là mã một lần được gửi đến một thiết bị mà người dùng sở hữu. Mã một lần (OTP) là một tập hợp các đặc điểm có thể được sử dụng để chứng minh danh tính của một chủ thể một lần và chỉ một lần. Vì OTP chỉ có hiệu lực cho một lần truy cập, nếu nó bị bắt, quyền truy cập bổ sung sẽ tự động bị từ chối. OTP thường được gửi qua một thiết bị mã thông báo phần cứng hoặc phần mềm. Mã thông báo hiển thị mã, sau đó mã này phải được nhập vào màn hình xác thực. Ngoài ra, OTP có thể được gửi qua email, tin nhắn văn bản, hoặc cuộc gọi điện thoại đến một địa chỉ hoặc số điện thoại đã được xác định trước.
Thẻ nhớ là một cơ chế xác thực chứa thông tin người dùng trong một dải từ tính và dựa vào một đầu đọc để xử lý thông tin. Người dùng chèn thẻ vào đầu đọc và nhập mã số định danh cá nhân (PIN). Thông thường, PIN được băm và lưu trữ trên dải từ tính. Đầu đọc băm PIN được nhập và so sánh nó với giá trị trên thẻ. Một ví dụ quen thuộc về điều này là thẻ ATM ngân hàng.
Thẻ thông minh hoạt động theo cách tương tự. Thay vì dải từ tính, nó có một vi xử lý và các mạch tích hợp. Người dùng chèn thẻ vào một đầu đọc, có các điểm tiếp xúc điện để giao tiếp với thẻ và cung cấp năng lượng cho bộ xử lý. Người dùng nhập PIN để mở khóa thông tin. Thẻ có thể chứa khóa riêng của người dùng, tạo ra OTP, hoặc trả lời một thử thách-phản hồi.
Xác thực ngoài băng tần yêu cầu giao tiếp qua một kênh khác biệt với yếu tố đầu tiên. Mạng di động thường được sử dụng cho xác thực ngoài băng tần. Ví dụ, một người dùng nhập tên và mật khẩu của họ tại lời nhắc đăng nhập ứng dụng (yếu tố 1). Sau đó, người dùng nhận được một cuộc gọi trên điện thoại di động của họ; người dùng trả lời và cung cấp một mã được xác định trước (yếu tố 2). Để xác thực bị xâm phạm, kẻ tấn công sẽ phải có quyền truy cập vào cả máy tính và điện thoại.
Xác thực bằng đặc điểm
Một hệ thống sử dụng xác thực bằng đặc điểm xác thực người dùng dựa trên một đặc điểm vật lý hoặc hành vi, đôi khi được gọi là thuộc tính sinh trắc học. Các đặc điểm vật lý hoặc sinh lý được sử dụng phổ biến nhất bao gồm:
■ Vân tay
■ Nhận diện khuôn mặt
■ Mống mắt và võng mạc
■ Hình dạng lòng bàn tay và bàn tay
■ Thông tin máu và mạch máu
■ Nhận diện giọng nói
Các ví dụ về đặc điểm hành vi bao gồm:
■ Động lực chữ ký
■ Mô hình gõ phím
Nhược điểm của hệ thống dựa trên loại xác thực này là nó dễ gặp lỗi về độ chính xác. Ví dụ, một hệ thống dựa trên động lực chữ ký sẽ xác thực người dùng bằng cách yêu cầu người dùng viết chữ ký của mình và sau đó so sánh mẫu chữ ký với bản ghi trong hệ thống. Vì cách một người ký tên khác nhau một chút mỗi lần, hệ thống nên được thiết kế để người dùng vẫn có thể xác thực, ngay cả khi chữ ký và mẫu không hoàn toàn giống với bản ghi trong hệ thống. Tuy nhiên, nó cũng không nên quá lỏng lẻo và vô tình xác thực một người dùng không được ủy quyền đang cố gắng bắt chước mẫu.
Có hai loại lỗi liên quan đến độ chính xác của một hệ thống sinh trắc học:
■ Lỗi loại I, còn gọi là từ chối sai, xảy ra khi hệ thống từ chối một người dùng hợp lệ lẽ ra nên được xác thực.
■ Lỗi loại II, còn gọi là chấp nhận sai, xảy ra khi hệ thống chấp nhận một người dùng lẽ ra nên bị từ chối (ví dụ, một kẻ tấn công cố gắng mạo danh một người dùng hợp lệ).
Tỷ lệ lỗi giao nhau (CER), còn gọi là tỷ lệ lỗi bằng nhau (EER), là điểm mà tỷ lệ lỗi từ chối sai (FRR) và tỷ lệ lỗi chấp nhận sai (FAR) bằng nhau. Đây thường được chấp nhận là một chỉ số về độ chính xác (và do đó là chất lượng) của một hệ thống sinh trắc học.
Xác thực đa yếu tố
Quá trình xác thực yêu cầu chủ thể cung cấp các thông tin xác minh có thể kiểm chứng. Các thông tin này thường được gọi là yếu tố.
Xác thực đơn yếu tố là khi chỉ một yếu tố được trình bày. Phương pháp xác thực đơn yếu tố phổ biến nhất là sử dụng mật khẩu.
Xác thực đa yếu tố là khi hai hoặc nhiều yếu tố được trình bày. Xác thực đa tầng là khi hai hoặc nhiều yếu tố cùng loại được trình bày. Phân loại dữ liệu, yêu cầu quy định, tác động của truy cập không được ủy quyền, và khả năng một mối đe dọa được thực hiện đều nên được xem xét khi quyết định mức độ xác thực cần thiết. Càng nhiều yếu tố, quá trình xác thực càng mạnh mẽ.
Nhận dạng và xác thực thường được thực hiện cùng nhau; tuy nhiên, điều quan trọng là phải hiểu rằng chúng là hai hoạt động khác nhau. Nhận dạng là về việc thiết lập bạn là ai, trong khi xác thực là về việc chứng minh bạn là thực thể mà bạn tuyên bố.
Để đối phó với sự không an toàn của mật khẩu, nhiều tổ chức đã triển khai các tùy chọn xác thực đa yếu tố cho người dùng của họ. Với xác thực đa yếu tố, các tài khoản được bảo vệ bởi thứ bạn biết (mật khẩu) và thứ bạn có (mã xác minh một lần được cung cấp cho bạn). Thậm chí, những người chơi game cũng đã bảo vệ tài khoản của họ bằng MFA trong nhiều năm.