Tìm hiểu Xác thực đa nhân tố ( MFA- Multi-factor Authentication)
Công nghệ thông tin ngày càng đổi mới và phát triển, đi kèm với nó là những mối đe dọa, thách thức với an ninh thương mại điện tử. Thương mại điện tử cũng là một ngành nhạy cảm và phải đối mặt với nhiều thách thức bảo mật an ninh. Theo những thống kê gần đây:
- 32,4% các cuộc tấn công mạng thuộc ngành thương mại điện tử
- 25,7% thuộc ngành tài chính
- 23,1% thuộc ngành truyền thông xã hội
- 12,8% thuộc giao dịch tiền tệ
- 4% thuộc ngành dịch vụ
- 2% thuộc các ngành hàng khác
Có thể dễ dàng nhận thấy số lượng lớn các cuộc tấn công mạng là nhằm vào ngành thương mại điện tử. Các cuộc tấn công này được thực hiện dưới nhiều hình thức khác nhau. Các nhóm tin tặc lợi dụng những lỗ hổng bảo mật để đánh cắp các dữ liệu và thông tin nhạy cảm, lan truyền các phần mềm độc hại. Vì vậy, tăng cường các biện pháp an ninh thương mại điện tử là một trong những ưu tiên hàng đầu của các doanh nghiệp
Một trong những giải pháp bảo mật cho các vấn đề an ninh thương mại điện tử hiện nay là bảo mật hệ thống. Trong đó có thiết lập xác thực đa nhân tố( MFA) trên tài khoản của bạn ở bất kỳ đâu. MFA không chỉ giúp bảo mật tài khoản người dùng, mà còn giúp website thương mại điện tử phòng tránh các cuộc tấn công nghe lén,
Xác thực đa yếu tố (MFA - Multi-factor Authentication) được coi là tiêu chuẩn vàng để bảo mật tài khoản, với khả năng giúp bạn bảo mật tốt nhất các thông tin liên lạc kỹ thuật số.
1. Khái niệm xác thực đa nhân tố (MFA - Multi-factor Authentication)
Xác thực là quá trình xác minh tính hợp lệ của một thực thể hoặc người dùng nào đó. Việc xác minh này tránh việc giả danh thành công để có quyền truy cập trái phép đến tài nguyên mạng mà người giả danh không có quyền như vậy. Xác thực rất quan trọng bởi vì khi việc giả danh thành công thì việc bảo vệ tài nguyên mạng là thất bại. Hậu quả của việc giả danh này có thể rất trầm trọng, thậm chí phá vỡ hoàn toàn các tài nguyên mạng và các hệ thống mạng đang hoạt động.
Xác thực đa nhân tố (Multi-factor Authentication – MFA) là một hệ thống bảo mật yêu cầu nhiều phương thức xác thực giúp ngăn chặn truy cập tài khoản trái phép khi mật khẩu hệ thống bị lộ. Quy trình đăng nhập tài khoản gồm nhiều bước, trong đó, yêu cầu người dùng nhập thêm thông tin khác ngoài mật khẩu. Ví dụ: cùng với mật khẩu, người dùng có thể được yêu cầu nhập mã gửi qua email, điện thoại, trả lời câu hỏi bí mật hoặc quét vân tay.
Xác thực đa nhân tố kết hợp hai hoặc nhiều thông tin độc lập: những gì người dùng biết (câu hỏi xác minh, mật khẩu và OTP); những gì người dùng có (OTP trên thiết bị di động được gửi qua SMS hoặc Email và một số thiết bị khác như USB, thẻ thông minh, khóa bảo mật, mã thông báo), những gì thuộc về duy nhất người dùng (sinh trắc học, nhận dạng khuôn mặt và giọng nói… hoặc thực hiện phân tích hành vi xác minh).
Xác thực Multi-factor kết hợp hai hoặc nhiều thông tin độc lập:
-
Những gì người dùng biết (password-mật khẩu).
-
Những gì người dùng có (security token-mã thông báo bảo mật).
-
Những gì thuộc về duy nhất người dùng (biometric verification-xác minh sinh trắc học).
Mục tiêu của MFA là tạo ra một lớp bảo vệ kiên cố, đồng thời gây khó khăn cho một người không được phép truy cập vào một mục tiêu cụ thể, như: vị trí thực tế, thiết bị máy tính, mạng hoặc cơ sở dữ liệu. Nếu một yếu tố xác thực bị xâm phạm, kẻ tấn công vẫn phải vượt qua ít nhất một rào cản nữa để vi có thể xâm nhập trái phép thành công vào mục tiêu.
Nhu cầu xác thực đa nhân tố
Trước hết, xác thực một nhân tố là xác thực khi mà mỗi danh tính của một thực thể được gắn với một mật khẩu (mật khẩu này chỉ có thực thể này biết). Khi đăng nhập truy cập tài nguyên mạng, thực thể này cung cấp danh tính và mật khẩu cho hệ thống. Hệ thống sẽ kiểm tra danh tính và mật khẩu xem có trùng khớp với bộ danh tính và mật khẩu tương ứng được lưu trữ không. Nếu đúng thì quá trình xác thực thành công và thực thể được hệ thống cấp quyền truy cập vào các tài nguyên mạng theo phân quyền .
Vì chỉ có một nhân tố là mật khẩu nên nếu thực thể chính để lộ mật khẩu thì thực thể khác có thể dễ dàng giả danh. Bản thân hệ thống cũng phải có cơ chế hoạt động sao cho mật khẩu của các thực thể không thể bị lộ khi lưu trữ hoặc truyền trên mạng. Để cho quá trình xác thực khó giả danh hơn người ta có thể đưa thêm nhân tố mới đặc trưng cho thực thể khác hoàn toàn với nhân tố ban đầu để có được xác thực hai nhân tố. Nếu thấy cần, người ta lại đưa thêm nhân tố thứ ba khác với hai nhân tố đầu để có được xác thực ba nhân tố. Quá trình xác thực mà có sử dụng từ hai nhân tố trở lên được gọi là xác thực đa nhân tố. Việc lựa chọn nhân tố đặc trưng cho thực thể phải đảm bảo các nhân tố này phải khác biệt nhau, không có tính tương tự thì mới có nhiều ý nghĩa. Ví dụ một định danh có hai nhân tố đều là mật khẩu thì có rất ít ý nghĩa.
2. Xác thực đa bước và xác thực đa nhân tố
Sự khác biệt là xác thực đa bước kiểm tra hợp lệ các nhân tố riêng rẽ trong khi xác thực đa nhân tố kiểm tra hợp lệ các nhân tố cùng nhau.
Ví dụ: Xác thực đơn nhân tố đơn giản nhất là chỉ gồm có tài khoản người sử dụng (User Account) đi đôi với mật khẩu (Password). Nhân tố duy nhất chính là mật khẩu. Xác thực hai nhân tố phổ biến là khi sử dụng USB Token và số nhận diện các nhân PIN để ký số lên tài liệu điện tử. Khi đó, hai nhân tố là USB Token là cái ta có và số PIN là cái ta biết.
Khi một hệ thống yêu cầu danh tính và mật khẩu theo sau bởi một thẻ thông minh, nếu xác thực là đa nhân tố thì hệ thống sẽ không kiểm tra hợp lệ danh tính và mật khẩu chừng nào thẻ thông minh chưa được cung cấp. Lợi thế của cách tiếp cận này là nếu xác thực thất bại thì người ta không thể biết danh tính, mật khẩu hay thẻ thông minh không đúng. Ngược lại nếu xác thực là đa bước thì hệ thống sẽ kiểm tra hợp lệ danh tính và mật khẩu trước. Nếu cả hai chính xác thì thẻ thông minh mới được kiểm tra hợp lệ. Khi đó quá trình xác thực trở thành đơn nhân tố. Chỉ có nhân tố chưa biết được là chính thẻ thông minh.
3. Các phương pháp xác thực đa nhân tố
Multi factor authentication là một loại thông tin xác thực được sử dụng để xác minh danh tính. Đối với MFA, mỗi yếu tố xác thực bổ sung nhằm mục đích tăng cường bảo mật. Việc sử dụng nhiều hình thức xác thực khiến ý đồ hacker trở nên khó khăn hơn.
Mỗi yếu tố xác thực là một loại chứng chỉ được sử dụng để xác minh danh tính. Đối với MFA, chúng bổ sung cho nhau, nhằm mục đích tăng cường bảo mật. Hệ thống sẽ hiểu rõ ai, hay cái gì đang giao dịch hoặc yêu cầu quyền truy cập. Việc sử dụng nhiều hình thức xác thực có thể khiến công việc của hacker trở nên khó khăn hơn.
MFA hoạt động bằng cách kết hợp hai hoặc nhiều yếu tố từ các xác thực dưới đây:
1. Xác thực dựa vào tri thức
Xác thực dựa vào tri thức -- Yêu cầu người dùng trả lời câu hỏi bảo mật cá nhân: mật khẩu, số nhận dạng cá nhân bốn chữ số (PIN) và mật khẩu dùng một lần (OTP).
Ví dụ về trường hợp xác thực dựa trên tri thức:
- Quẹt thẻ, nhập mã PIN khi thanh toán hàng hóa;
- Cung cấp thông tin, Ví dụ: Tên thời thơ ấu của bạn hoặc địa chỉ trước đây bạn đã ở, để có quyền truy cập hệ thống
2. Xác thực sở hữu
Xác thực sở hữu: Người dùng phải sở hữu công cụ để login. Ví dụ: Điện thoại di động, sẽ được cung cấp xác thức yếu tố sở hữu bằng dãy số OTP.
- Các tình huống về xác thực sở hữu như:
- Xác thực di động: Người dùng nhận mã qua điện thoại thông minh, được gửi qua tin nhắn văn bản, hay qua các cuộc gọi điện thoại ứng dụng, OTP trên điện thoại thông minh, thẻ SIM và thẻ thông minh với xác thực được lưu trữ dữ liệu;
- Gắn mã thông báo phần cứng USB vào laptop/máy tính tạo OTP và sử dụng mã này để đăng nhập vào máy khách VPN.
3.Xác thực qua đặc điểm sinh học
Xác thực qua đặc điểm sinh học: Sử dụng đặc điểm sinh học của người dùng đã được xác nhận để đăng nhập. Sử dụng công nghệ đồng nhất với phương pháp xác minh Sinh trắc học:
- Quét vân tay
- Giọng nói
- Nhận dạng khuôn mặt
- hình học bàn tay
- …
Quy trình xác thực: Các thành phần của thiết bị sinh trắc học gồm: Đầu đọc, cơ sở dữ liệu và phần mềm chuyển đổi dữ liệu sinh trắc học đã quét thành định dạng kỹ thuật số, so sánh các điểm phù hợp của dữ liệu quan sát với dữ liệu được lưu trữ.
Các trường hợp sử dụng xác thực sinh học:
- Sử dụng dấu vân tay hoặc nhận dạng khuôn mặt truy cập điện thoại thông minh;
- Cung cấp chữ ký điện tử khi thanh toán
- Xác định tội phạm bằng cách sử dụng hình học dái tai.
- Ngoài ra, xác thực qua vị trí, thời gian
- Vị trí của người dùng: Người dùng thường mang theo điện thoại và tất cả các điện thoại thông minh cơ bản đều có “theo dõi hệ thống định vị toàn cầu” cung cấp xác nhận về vị trí đăng nhập.
- Xác thực dựa trên thời gian cũng được sử dụng để chứng minh danh tính của một người bằng cách phát hiện sự hiện diện tại một thời điểm cụ thể trong ngày và cấp quyền truy cập vào một hệ thống hoặc vị trí nhất định.
4. Tầm quan trọng của việc sử dụng MFA
Một trong những vấn đề lớn nhất với user ID và password truyền thống là cần phải duy trì password database. Cho dù được mã hóa hay không, nếu cơ sở dữ liệu bị bắt lại, nó sẽ trở thành nguồn dùng để xác minh các dự đoán của hacker.
Khi tốc độ xử lý của CPU tăng lên, các cuộc tấn công bruce force trở thành một mối đe dọa thực sự nguy hiểm. Những phát triển xa hơn như GPU password cracking và các rainbow tables đã cung cấp những lợi thế tương tự cho những kẻ tấn công. Ví dụ như GPU cracking có thể sản xuất hơn 500.000 mật khẩu mỗi giây, ngay cả trên phần cứng chơi game cấp thấp hơn.
Tùy thuộc vào phần mềm cụ thể, rainbow table có thể được sử dụng để crack mật khẩu gồm 14 ký tự chữ và số trong khoảng 160 giây. Giờ đây, các thẻ FPGA được xây dựng theo mục đích (purpose-built FPGA cards), giống như các thẻ được các cơ quan an ninh sử dụng, cung cấp hiệu suất gấp mười lần hiệu suất ở một phần nhỏ của sức mạnh GPU. Một cơ sở dữ liệu mật khẩu sẽ không có cơ hội chống lại các phương pháp như vậy khi nó trở thành một mục tiêu tấn công thực sự.
Trước đây, các hệ thống MFA thường dựa vào xác thực hai yếu tố (two-factor authentication). Ngày nay, các nhà cung cấp đang sử dụng nhãn "multi-factor" để mô tả bất kỳ phương pháp xác thực nào yêu cầu nhiều hơn một thông tin xác thực danh tính.
Ví dụ về tầm quan trọng của MFA; Vào một ngày đẹp trời, thông tin đăng nhập của một nhân viên đã bị rò rỉ, điều này đã cho phép một hacker đăng nhập vào hệ thống của doanh nghiệp bạn. Nếu như doanh nghiệp yêu cầu MFA đối với hệ thống đó, hacker sẽ nhập tên người dùng và mật khẩu bị đánh cắp và sau đó sẽ được yêu cầu cho một hình thức xác thực thứ hai. Điều này sẽ kích hoạt cảnh báo và cảnh báo này được gửi tới điện thoại hoặc email của người dùng thực tế, yêu cầu họ xác thực. Vì tin tặc sẽ không có quyền truy cập vào yêu cầu thông tin thứ hai đó, chúng sẽ không thể đăng nhập và tấn công có thể đã bị ngăn chặn.
~~Lời kết: ~~
Việc bảo mật website thương mại điện tử khá quan trọng bởi điều này ảnh hưởng đến sự an toàn của khách hàng, doanh nghiệp. Thậm chí, nhiều doanh nghiệp còn phải chi một khoản lớn để đền bù cho khách hàng nếu làm rò rỉ thông tin và dữ liệu của họ. Từ các vần đó việc Xây dựng hệ thống xác thực đa nhân tố để tăng độ an toàn cho người sử dụng cũng như các doanh nghiệp.
Tham khảo: tổng hợp nhiều nguồn
All rights reserved