Bảo mật hai lớp là gì?
Thông thường việc xác thực người dùng được thực hiện bằng tên đăng nhập và mật khẩu. Bảo mật 2 lớp là giải pháp tạo thêm một bước xác thực, yêu cầu người dùng phải nhập thêm mã xác thực (dạng mã PIN 6-7 chữ số, hoặc mã OTP- One Time Password) sau khi đăng nhập thành công bằng mật khẩu hoặc trước khi thực hiện giao dịch online.
Đăng nhập sử dụng bảo mật 2 lớp.
Một số cách thức thông dụng:
- Xác thực thông qua phần cứng:
Phần cứng ở đây là một thiết bị nhỏ, có hình dạng và kích thước như các móc gắn chìa khoá, thường được các ngân hàng sử dụng nhiều, cấp cho khách hàng dùng trong các giao dịch trực tuyến. Thiết bị sẽ tạo ra một mã OTP ngẫu nhiên được khống chế thời gian hiệu lực (30-60 giây).
Thiết bị sinh mã OTP của một số ngân hàng.
Ngoài ra còn có hình thức xác thực “chứng thư số” thông qua USB token hoặc SmartCard. Trong thiết bị sẽ chứa cặp khóa công khai và bí mật. Khi khách hàng đăng ký dịch vụ chứng thư số, nhà cung cấp thiết bị sẽ nạp thông tin khách hàng vào trong USB Token đồng thời tạo ra một cặp khóa công khai và bí mật. Thiết bị đảm bảo khóa bí mật được lưu trữ an toàn, không thể sao chép hay nhân bản được và cũng không thể bị virus phá hỏng.
Đăng nhập dùng USB Token trên hệ thống hóa đơn điện tử.
- Xác thực thông qua SMS và cuộc gọi:
Hình thức xác thực này sẽ gửi trực tiếp mã OPT cho người dùng thông qua tin nhắn SMS hoặc cuộc gọi từ tổng đài. Người dùng phải nhập mã xác thực OTP để tiếp tục đăng nhập hoặc thực hiện các giao dịch khác. Cách xác thực này được sử dụng rộng rãi vì tính phổ biến của điện thoại di động, từ các giao dịch ngân hàng cho đến các chương trình nhắn tin như Zalo.
Thông báo mã xác thực đến người dùng từ tổng đài Zalo.
- Xác thực thông qua ứng dụng:
Xác thực thông qua ứng dụng hay Soft OTP cũng là một trong những cách xác thực dùng mã OTP. Tuy nhiên khác với những cách trên, mã xác thực được cấp thông qua một ứng dụng được cài đặt trên điện thoại (Android hoặc iOS). Soft OTP có độ bảo mật cao hơn, được sinh từ một hệ thống sinh mã độc lập, theo thuật toán riêng, không thể làm giả, hoặc can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30s.
Xác thực dùng Soft OTP
Cách thức nào thì an toàn?
Theo ông Nguyễn Tử Quảng, CEO BKAV điểm yếu lớn nhất của phương pháp SMS OTP là thiếu tính “chống chối bỏ”. Vậy thiếu tính “chống chối bỏ” là như thế nào?
Xác thực SMS OTP
Đối với SMS OTP, mã xác thực sẽ được tạo ra ở máy chủ, sau đó gửi tin nhắn SMS về số điện thoại người dùng. Trong một số trường hợp, hacker có thể lừa đảo người dùng để lấy mã OTP, hoặc cài đặt malware trên điện thoại để lấy mã OTP trong tin nhắn mà người dùng không hề hay biết. Khi xác thực máy chủ không thể phân biệt được giao dịch xuất phát từ đâu, từ máy người dùng hay từ hacker để có biện pháp ngăn chặn.
So với các cách xác thực SMS OTP thì Soft OTP có thể xem là an toàn hơn vì mã xác thực được sinh ra trên chính ứng dụng, thuật toán sinh mã sẽ kiểm tra được người dùng đang đăng nhập, thiết bị nào đang được sử dụng… Thậm chí nếu giao dịch giả mạo được thực hiện trong cùng một thời điểm sử dụng cùng mã OTP nhưng nếu đăng nhập trên một máy tính, một thiết bị khác thì máy chủ vẫn phân biệt được giao dịch giả mạo và có cách thức ngăn chặn phù hợp.
Cùng với sự phát triển của công nghệ, cách thức lừa đảo càng ngày càng trở nên tinh vi. Để bảo vệ an toàn dữ liệu, thông tin cá nhân thì cần phải có sự thay đổi ở cả người dùng lẫn đội ngũ phát triển.
Đối với người dùng, cách thức bảo mật nào cũng sẽ trở nên không an toàn nếu người dùng thiếu ý thức, thiếu các biện pháp tự bảo vệ mình. Một thiết bị không an toàn (bị root, bị jailbreak) sẽ tiềm ẩn nhiều nguy cơ bị các phần mềm độc hại khai thác, lấy trộm mã OTP vì thế người dùng không nên cài đặt các ứng dụng không rõ nguồn gốc, cũng như không cấp nhiều quyền (đọc tin nhắn, danh bạ…) cho các ứng dụng không cần thiết.
Đối với đội ngũ phát triển, cần trau dồi kiến thức về ATTT, nghiên cứu áp dụng các giải pháp bảo mật 2 lớp nhằm nâng cao hơn tính bảo mật đối với các hệ thống thông tin quan trọng.
Kỳ sau: Thiết lập bảo mật 2 lớp với Google Authenticator.