II. Gi i pháp an toàn trong thanh toán đi n t
Nh đã gi i thi u trên, cách t t nh t b o đ m an toàn trong thanhư
toán đi n t hóa các thông tin c n đ c truy n đi trên m ng. Hi n ượ
nay nhi u giao th c đ c s d ng cho phép th c hi n giao d ch trongượ
không gian o. B n ch t c a giao d ch cũng ch s chuy n ti n t tay
ng i này qua ng i khác. Trong ph n này chúng ta s xem xét hai giaoườ ườ
th c m cho phép th c hi n giao d ch an toàn, đó là SSL và SET.
1. Giao th c t ng c m an toàn (Secure Sockets Layer – SSL)
Giao th c SSL đ c thi t k b i Nestcape nh m t ph ng pháp b o ượ ế ế ư ươ
đ m s an tn c a k t n i kch (client) – ch (server) trên môi tr ng Internet. ế ườ
SSL công ngh đ hóa vi c truy n d li u gi a trình duy t web
máy ch web. Công ngh này đ c s d ng th ng xuyên b i các trang web ngân ượ ườ
hàng tr c tuy n trang web th ng m i đi n t . Trang web khác cũng th tri n ế ươ
khai SSL d i hình th c h n ch h n -- d : đ giúp b o v m t kh u c a b n khiướ ế ơ
nh p thông tin đăng nh p c a b n.
Đ a ch web đ c b o m t b ng SSL b t đ u v i ượ https: thay http: nên các
đi u kho n th ng đ c s d ng thay th cho nhau. ườ ượ ế
C Ch Ho t Đ ng C a SSLơ ế
V c b n, giao th c SSL ho t đ ng ngay d i các giao th c ơ ướ
ng d ng (nh HTTP, SMTP,Telnet, FTP, Gopher NNTP) n m ư
trên giao th c m ng TCP/IP .
Đi u đó cho phép SSL v n hành đ c l p đ i v i các giao th c ng d ng
m ng. SSL s d ng ph ng pháp hóa khóa công khai đã gi i thi u ươ
trên, v i thu t toán RAS dùng đ mã hóa. SSL cho phép:
-Client và server nh n d ng l n nhau.
-S d ng ch ng th c s đ ch ng th c tính toàn v n.
-Mã hóa toàn b thông tin đ đ m b o tính bí m t.
Đ làm đ c đi u này c n m t máy ch b o m t, đó do t i ượ
sao b n th ng nh n đ c thông báo ki u này: ườ ượ
Các máy ch b o m t th ng chu i HTTPS hình chi c khóa ườ ế
trong URL thay vì HTTP nh bình th ng.ư ườ
Quá trình b n b t đ u m t phiên làm vi c v i m t máy ch web
d i s b o m t c a SSL đ c g iướ ượ quá trình b t tay”. M t quá trình
b t tay bao g m:
-Trình duy t và server quy t đ nh c p đ cách th c mã hóa ế
dùng cho phiên làm vi c.
-Trình duy t server t o chia s chìa khóa dùng đ
hóa.
-Trình duy t yêu c u nh n ch ng th c s t server (không
b t bu c).
-Server yêu c u nh n ch ng th c s t trình duy t (không
b t bu c).
Sau khi quá trình b t tay k t thúc, b n hoàn thành giao d ch. Ch c n ế
phiên làm vi c ch a k t thúc thì m i d li u truy n đi gi a trình duy t ư ế
server đ u đ c hóa. Khi phiên làm vi c hoàn thành, trình ch b o ượ
m t s chuy n b n v trình ch không b o m t.
SSL an toàn đ n đâu?ế
H u h t chúng ta không quan tâm t i vi c SSL ho t đ ng nh th ế ư ế
nào, chúng ta ch mu n bi t th c s ho t đ ng hay không. N u ế ế
gi thông tin th tín d ng c a b n an toàn thì không ph i phàn nàn.
T t nhiên, hóa s d ng trong SSL th b phá v nh ng r t ư
t n kém. Trong h u h t các ng d ng, SSL v n đ c coi gi i pháp ế ượ
hàng đ u đ b o v thông tin th tín d ng khi giao d ch tr c tuy n. H n ế ơ
n a, SSL th đ c phát tri n, đ c bi t n u Nestcape Microsoft ượ ế
đ c chính ph M cho phép s d ng nh ng ph ng pháp hóa m nhượ ươ
h n.ơ
2. Giao th c giao d ch an toàn (Secure Electronic Transaction)
Giao th c SET đ c thi t k nguyên th y b i Visa MasterCard ượ ế ế
vào năm 1997 đ c phát tri n d n lên t đó. Giao th c SET đáp ngượ
đ c 4 yêu c u v b o m t cho TMĐT gi ng nh SSLượ ư
Khi b n b t đ u m t phiên làm vi c v i m t website th ng m i thông ươ
qua SSL, đi u đó ch ng khác gì b n đ a th tín d ng c a mình cho ng i ư ườ
bán hàng . Anh ta nói giá, b n đ ng ý, b n đ i cho ng i bán yêu c u ườ
xác đ nh giá tr th v i ngân hàng. N u th đ c xác nh n, m t phi u bán ế ượ ế
hàng đ c in ra. B nvào phi u bán hàng, ng i bán gi m t b n copyượ ế ườ
cho h s c a b n. ơ
V i SET, ngân hàng phát hành th cũng tham gia trong quá
trình giao d ch v i vai trò ng i trung gian. ườ Khi b n nh p s th c a
mình trong m t giao d ch v i SET, site th ng m i s không bao gi th y ươ
đ c s th c a b n. Thay vào đó, thông tin đ c g i đ n c quan tàiượ ượ ế ơ
chính thông qua c ng thanh toán, ng i s xác th c th c a b n th c ườ
hi n thanh toán v i site th ng m i đi n t . Đ i l i, công vi c đó đòi h i ươ
m t chi phí nh t đ nh.
Giao th c SET yêu c u khách hàng ph i t i m t ph n m m
đ c bi t g i đi n t (electronic wallet) hay s (digital wallet)
đ l u gi ch ng th c c a khách hàng t i máy tính nhân hay th ư
IC (Intergrated circuit card) c a h .
Đ k t n i đi n t v i nh ng ng i kinh doanh khác nhau, kh năng ế ườ
liên v n hành m t đ c tính quan tr ng c n đ c đáp ng. Do tính liên ượ
v n hành c a s c a ng i ch s h u th v i ph n m m c a b t c ườ
ng i kinh doanh nào đi u c b n, m t liên hi p các công ty (Visa,ườ ơ
MasterCard, JCB ngân hàng phát hành th c a Nh t American
Express) đã thành l p m t công ty đ c g i SETCO (Secure Electronic ượ
Transaction LLC 1999). Công ty này th c hi n các th nghi m liên v n
hành phát hành m t nhãn hi u SET nh m t xác nh n v tính liên v n ư
hành. IBM, Netscape, Microsoft, Verisign, Tandem MetaLand cung c p
các ví s có kh năng liên v n hành nh v y. ư
3. So sánh SSL và SET
Khác v i giao th c SSL 3 th c th ng i ch s h u th , ườ
ng i kinh doanh c quan ch ng th c (CA), SET có thêm m t th c thườ ơ
c ng thanh toán. Đây là c ng k t n i Internet v i các m ng đ c quy n ế
c a các ngân hàng. M i th c th tham gia c n ch ng th c riêng.
Trên thuy t, ếSET b o m t h n SSL ơ . V i SSL, thông tin th tín
d ng c a b n công khai v i ng i bán, c ng i bán ngân hàng c a ườ ư
b n đ u bi t b n ai mua nh ng gì. Đi u này xâm ph m quy n riêng ế
t . Đ i v i SET thì không, ng i bán không bao gi nhìn th y s th c aư ườ
b n, b n ch ph i cung c p thông tin v th c a mình cho c quan đã bi t ơ ế
quá v nó. Ng i bán không bi t b n ai, còn ngân hàng c a b n ườ ế
không bi t b n mua nh ng gì.ế
Tuy nhiên trên th c t , ế SET không đ c ng d ng r ng rãi nhượ ư
ng i ta mong đ i do tính ph c t p, th i gian ph n h i ch m sườ
c n thi t ph i cài đ t s máy tính c a khách hàng. ế Nhi u ngân
hàng o và c a hàng đi n t duy trì giao th c SSL, m t s s d ng c hai
giao th c nh WalMart Online. Hi n ch 1% k ho ch kinh doanh đi n ư ế
t di chuy n sang SET.
III. Nh ng hình th c gian l n trong TMĐT cách phòng
ch ng
1. Phishing
Phishing m t d ng l a đ o tr c tuy n ngày càng ph bi n. K ế ế
thu t l a đ o Phishing b t đ u b ng m t email gi danh m t công ty h p
pháp, ch ng h n nh Ebay hay CityBank. ư
Thông th ng, n i dung c a email gi danh thông báo cho n n nhânườ
tài kho n c a h đã h t h n ho c đ i lo i nh v y. N n nhân s đ c ế ư ư
h ng d n đ nh p chu t vào m t liên k t d n đ n m t website giướ ế ế
m o. N u n n nhân vào website này, nó s b o b n khai báo các thông tin ế
cá nhân quan tr ng nh s th tín d ng hay s tài kho n cá nhân. H u qu ư
n n nhân b b n chúng vét s ch ti n trong tài kho n không hi u
sao.
Hi n nay nhi u ph n m m cho phép t o l p website gi m o c a
các công ty h p pháp m t cách d dàng mà không đòi h i k l a đ o ph i
nhi u ki n th c v l p trình, ch đ n gi n c t dán nên v n n n ế ơ
Phishing s còn gia tăng trong th i gian t i. Trong khi nhi u ng i dùng ườ
cho r ng Web Caller ID không ph i ph ng th c toàn năng ch a tr ươ
tri t đ v n n n phishing.
Đ phòng ch ng Phishing b n th s d ng s n ph m Web Caller
– ID c a công ty WholeSecurity.
Web Caller ID ho t đ ng theo nguyên phân tích các đ a ch Web
đ tìm nh ng đ u m i cho bi t m t website gi m o hay không. ế
Ch ng h n n u đ a ch URL c a website dài lu n qu n, ho c n u ế ế
ch a m t dãy s dài và đ c ngăn cách b i các d u ch m trong đ a ch ượ
IP thì nhi u kh năng website m o danh. Ch ng trình cũng kh ươ