Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ
---------***----------
GIẢI PHÁP XÁC THỰC MẠNH 2 YẾU TỐ
CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN
INTERNET BANKING, CHỨNG KHOÁN
Khách hàng: Công ty Chứng khoán Phương Đông
Đơn vị lập phương án Công ty MISOFT
Mã dự án:
Tiêu đề: Giải pháp Xác thực mạnh 2 yếu tố
Nội dung:
Phiên bản:
Loại tài liệu: Cung cấp cho khách hàng
Ngày hoàn thành 12 năm 2007
Người thực hiện Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh
Hà Nội : 12-2007
1
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
MỤC LỤC
I. ĐẶT VẤN ĐỀ..............................................................................................................................3
I.1 Xác thực danh tính trực tuyến................................................................................................3
I.2 Lựa chọn phương pháp xác thực phù hợp..............................................................................4
I.3 Xác thực 2 yếu tố....................................................................................................................5
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ.....................................7
II.1 Xác thực mạnh kết hợp nhiều phương pháp.........................................................................7
II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming............................................................10
II.3 Khả năng tích hợp của Entrust IdentityGuard....................................................................10
II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán........................13
II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực .....................................14
II.4 Các thành phần chính trong IdentityGuard Server..............................................................17
II.5 Lập kế hoach triển khai Entrust IdentityGuard...................................................................19
II.5.1 Các công việc cần xem xét và thực thi.....................................................................19
II.5.2 Tiến độ thực hiện.....................................................................................................20
III. DỰ TOÁN KINH PHÍ...........................................................................................................20
IV. KẾT LUẬN.............................................................................................................................22
....................................................................................................................................................22
2
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
I. ĐẶT VẤN ĐỀ
I.1 Xác thực danh tính trực tuyến
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân
hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của
mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích các dịch
vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất
với chi phí hợp lý nhất vẫn bảo vệ được thông tin đăng của khách hàng khi họ tham gia
vào các dịch vụ trực tuyến. Đây được coi quyn lợi chính đáng của khách hàng cũng
trách nhiệm không thể coi nhẹ của nhà cung cấp dịch vụ tài chính.
Một trong những
thông tin quan trọng nhất
của khách hàng để họ
thể truy cập dịch vụ
giao dịch tài chính
Danh tính trực tuyến
(Online Identity). Thông
tin này được sử dụng để
chứng thực một người đúng khách hàng đã đăng với nhà cung cấp dịch vụ trước khi họ
thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.
Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của
Hacker đều nhằm vào việc tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công thể
ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy
cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên
đăng nhập/Mật khẩu, S tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công
khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hànglên bàn phím để từ
đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính
hành vi lừa đảo trực tuyến đã thực sự y lo ngại cho khách hàng đã không ít lần gây
3
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
những tổn thất hậu quả cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực
tuyến.
Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán các dịch vụ trực
tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi xác
thực 1 yếu tố. họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không
còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu.
Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu
các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản và giám sát hoạt
động tài chính ép buộc phải thực thi.
Thực tế hiện nay rất nhiều công nghệ phương pháp để xác thực danh tính trong
giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh nhân, chứng chỉ số
sử dụng PKI, các thiết bị bảo mật vật như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu
tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối
tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa
trên 3 yếu tố cơ bản sau:
1. Something a person knows: Thường được sử dụng là số PIN, mật khẩu
2. Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token…
3. Something a person is: Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt
Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố
để chống lại nguy lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi Xác thực mạnh. Chi phí
của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống.
Mặc vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ
còn phụ thuộc rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn
thực thi an toàn thông tin, khả năng quản giám sát hệ thống. đặc biệt một hệ thống
hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo
mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai.
I.2 Lựa chọn phương pháp xác thực phù hợp
Với sự bùng phát ngày càng tăng nguy lừa đảo mức độ rủi ro trong các giao dịch
thương mại trực tuyến trên Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) được sự
hỗ trợ của một loạt các ngân hàng hàng đầu trên thế giới đã soạn thảo một ấn phẩm vào năm 2001
tên “Xác thực trong môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực
tuyến”. Mục tiêu của ấn phẩm này là để hướng dẫn thực thi những chính sách xác thực mạnh cho
những tổ chức tài chính tham gia vào các dịch vụ giao dịch điện tử. Nội dung của ấn phẩm đề
cập đến những hậu quả khi mất cắp danh tính các chỉ dẫn lựa chọn công nghệ xác thực mạnh
phù hợp cho tổ chức tài chính:
Những kẻ lừa đảo đang khai thác điểm yểu bảo mật của khách hàng khi họ hoàn toàn
tin tưởng và việc xác thực 1 yếu tố khi truy cập vào các dịch vụ trực tuyến của ngân hàng, chứng
4
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
khoán, email những website giao dịch điện tử. Các tổ chức tài chính nên cân nhắc từng yếu
tố sau đề nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy đánh cắp danh
tính:”
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng…
3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng cần thiết của xác
thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin cộng tác giữa ngành công
nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công
việc được thực hiện trong đề xuất thứ 2 thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của
FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố
sự lựa chọn tối ưu cho các giao dịch truy cập trực tuyến của ngành tài chính, ngân hàng,
chứng khoán và bảo hiểm.
I.3 Xác thực 2 yếu tố
Xác thực 2 yếu tố (Two-factor authentication) phương pháp xác thực yêu cầu 2 yếu tố
phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên
những thông tin người dùng biết (số PIN, mật khẩu) cùng với những người dùng
(SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng
thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố
bị đánh cắp cũng chưa đủ để tin tặc sdụng. Phương phápy đảm bảo an toàn hơn rất nhiều so
với phương pháp xác thực truyn thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.
Ích lợi của việc chuyn từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được tả
như sau:
Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi thể giải quyết
được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2
yếu tố có khả năng giúp bạn làm được điều đó”
Tấn công Phishing đã những thành công nhất định trong việc đánh cắp Mật khẩu
tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh
vô nghĩa.
Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi
danh tính đó được bảo vệ bằng 2 yếu tố thay 1 yếu tố (mật khẩu/số PIN) như trước
đây.
5