Trang 18 Tìm hiểu về công nghệ bảo mật xác thực đa yếu tố - Nguyễn Võ Anh Thưo Phản hồi Response: Đáp ứng ngay khi có hành vi vi phạm, đảm bảoviệc ngăn chặn tiếp tục xảy ra và khắc phục
TỔNG QUAN
Lý do chọn đề tài
Do sự tăng cường về mặt số hóa và kết nối mạng, bên cạnh sự gia tăng đáng kể về các cuộc tấn công mạng và xâm nhập dữ liệu cá nhân, việc đảm bảo an toàn thông tin trở thành một ưu tiên hàng đầu Công nghệ bảo mật xác thực đa yếu tố đã thu hút sự quan tâm bởi khả năng kết hợp nhiều yếu tố xác thực khác nhau như mật khẩu, vân tay, khuôn mặt và thậm chí là các thiết bị vật lý để cung cấp một lớp bảo mật mạnh mẽ hơn.
Sự phổ biến của các vấn đề về bảo mật thông tin cùng với tích hợp đa dạng của công nghệ xác thực đa yếu tố đã khơi nguồn cho nhu cầu tìm hiểu sâu hơn về cách thức hoạt động và ứng dụng của chúng Điều này không chỉ giúp hiểu rõ hơn về cách công nghệ này bảo vệ thông tin cá nhân và dữ liệu quan trọng khỏi các cuộc tấn công, mà còn giúp áp dụng chúng vào thực tế trong nhiều lĩnh vực như tài chính, quản lý tài sản và quản lý tài liệu.
Lựa chọn đề tài "Tìm hiểu về Công nghệ bảo mật xác thực đa yếu tố" phản ánh tầm quan trọng của an toàn thông tin trong thế giới kỹ thuật hiện đại và mong muốn hiểu sâu hơn về các giải pháp bảo mật tiên tiến.
Mục tiêu nghiên cứu
Mục tiêu tổng quát: Mục tiêu tổng quát của nghiên cứu là tìm hiểu sâu vềCông nghệ bảo mật xác thực đa yếu tố và hiểu rõ tầm quan trọng của nó trong việc bảo vệ thông tin và dữ liệu trong môi trường số hóa ngày càng phức tạp Nghiên cứu sẽ đảm bảo rằng em có kiến thức sâu về cách hoạt động, ứng dụng và thách thức liên quan đến việc triển khai công nghệ này.Mục tiêu cụ thể: Trong việc thực hiện đề tài, em đặt ra mục tiêu cụ thể như sau:
Hiểu rõ về nguyên tắc và phương pháp xác thực đa yếu tố: Tìm hiểu sâu về cách các yếu tố xác thực khác nhau như vân tay, khuôn mặt, thiết bị vật lý và mã OTP hoạt động, cách chúng hoạt động cùng với sự kết hợp để tạo ra một lớp bảo mật mạnh mẽ hơn.
Phân tích ứng dụng thực tế: Nghiên cứu cách công nghệ xác thực đa yếu tố được áp dụng trong các lĩnh vực khác nhau như tài chính, quản lý tài sản và quản lý tài liệu Điều này giúp em hiểu rõ tầm quan trọng và ứng dụng thực tiễn của công nghệ này. Đánh giá tính khả thi và hiệu quả: So sánh và đánh giá hiệu quả của công nghệ xác thực đa yếu tố với các phương pháp xác thực truyền thống Xác định rõ tính khả thi và lợi ích của việc triển khai công nghệ này.
Xem xét thách thức và cơ hội: Nghiên cứu về các thách thức mà công nghệ đang phải đối mặt, như cách thức đối phó với các kỹ thuật tấn công mới.Cũng xem xét cơ hội phát triển và cách cải thiện công nghệ trong tương lai.
Phạm vi của đề tài
Không gian: Phạm vi của đề tài sẽ tập trung vào việc tìm hiểu và nghiên cứu về Công nghệ bảo mật xác thực đa yếu tố trong môi trường số hóa Các phương pháp xác thực như vân tay, khuôn mặt, thiết bị vật lý và mã OTP sẽ được xem xét trong phạm vi của đề tài Nghiên cứu sẽ tập trung vào việc hiểu rõ nguyên tắc hoạt động, ứng dụng, cách tích hợp và triển khai, cùng với thách thức và cơ hội của công nghệ xác thực đa yếu tố.
Thời gian: Phạm vi thời gian của đề tài sẽ bắt đầu từ thời điểm nghiên cứu bắt đầu và kéo dài cho đến khi hoàn thành bài đồ án Trong khoảng thời gian này, em sẽ tập trung vào việc thu thập và nghiên cứu tài liệu, phân tích và so sánh các phương pháp xác thực, tìm hiểu về ứng dụng thực tế và đánh giá tính khả thi và hiệu quả của công nghệ.
Hạn chế phạm vi: Mặc dù sẽ cố gắng tìm hiểu và nghiên cứu sâu về nhiều khía cạnh của công nghệ xác thực đa yếu tố, đề tài sẽ không thể bao quát toàn bộ các khía cạnh của an toàn thông tin và các phương pháp xác thực khác Các yếu tố thời gian, nguồn lực và kiến thức hạn chế sẽ ảnh hưởng đến khả năng tiến xa hơn trong việc nghiên cứu.
Đối tượng nghiên cứu
Công nghệ xác thực đa yếu tố: Đối tượng nghiên cứu sẽ là các phương pháp và cơ chế xác thực đa yếu tố như xác thực bằng vân tay, khuôn mặt, thiết bị vật lý, mã OTP (One-Time Password) và các hệ thống tích hợp chúng. Nghiên cứu sẽ tập trung vào cách chúng hoạt động, tích hợp và ứng dụng trong việc đảm bảo an toàn thông tin.
Hệ thống và ứng dụng thực tế: Đối tượng nghiên cứu cũng sẽ bao gồm các hệ thống và ứng dụng thực tế mà công nghệ xác thực đa yếu tố được triển khai. Điều này có thể bao gồm các ứng dụng trong lĩnh vực tài chính, quản lý tài sản, quản lý tài liệu và bảo vệ thông tin cá nhân.
Người dùng và quản trị viên: Một phần quan trọng của đối tượng nghiên cứu sẽ liên quan đến người dùng cuối và quản trị viên của các hệ thống và ứng dụng sử dụng công nghệ xác thực đa yếu tố Sẽ xem xét về trải nghiệm người dùng, cách thức quản lý và cấu hình các yếu tố xác thực, cũng như việc áp dụng và tuân thủ các quy tắc bảo mật.
Phương pháp nghiên cứu
Phương pháp chủ đạo: Phân tích và so sánh
Phương pháp phân tích và so sánh sẽ được sử dụng như phương pháp chủ đạo trong quá trình nghiên cứu Thông qua việc phân tích, em sẽ tìm hiểu sâu về cách hoạt động, ứng dụng và ưu nhược điểm của các phương pháp xác thực đa yếu tố như vân tay, khuôn mặt, thiết bị vật lý và mã OTP Em sẽ tiến hành so sánh giữa các phương pháp này, xác định điểm mạnh và hạn chế của từng phương pháp, cùng với khả năng ứng dụng trong các ngữ cảnh thực tế Phân tích và so sánh giúp em xác định rõ sự đóng góp của từng phương pháp vào việc cải thiện an toàn thông tin.Phương pháp bổ trợ: Nghiên cứu tài liệu
Nghiên cứu tài liệu sẽ được sử dụng để tìm hiểu về lý thuyết và nguyên tắc hoạt động của Công nghệ bảo mật xác thực đa yếu tố và các phương pháp xác thực.Thông qua việc tìm hiểu các tài liệu tham khảo như sách, bài báo và tài liệu chính thống, em sẽ xây dựng nền tảng kiến thức cơ bản.
CƠ SỞ LÝ THUYẾT
Vấn đề an toàn bảo mật thông tin
Khái niệm: An toàn bảo mật thông tin là một khía cạnh quan trọng của quản lý thông tin và dữ liệu, nhằm đảm bảo rằng thông tin quý báu và dữ liệu nhạy cảm được bảo vệ khỏi các mối đe dọa, tấn công và lạm dụng Điều này đảm bảo rằng thông tin chỉ được tiết lộ cho những người có quyền truy cập và được bảo vệ khỏi sự can thiệp trái phép.
Tầm quan trọng: o Bảo vệ thông tin cá nhân: An toàn bảo mật thông tin đảm bảo sự bảo vệ cho thông tin cá nhân khỏi việc truy cập và sử dụng trái phép. o Bảo vệ tổ chức: Nó đảm bảo tính bí mật của thông tin tổ chức, đảm bảo không có thông tin quan trọng bị lộ ra ngoài. o Phát triển bền vững: An toàn bảo mật thông tin là yếu tố cơ bản cho sự phát triển bền vững của một tổ chức hoặc quốc gia, giúp đảm bảo sự ổn định và thịnh vượng.
Yêu cầu bảo mật thông tin: o Bảo mật (Confidentiality): Đảm bảo tính bí mật của thông tin, ngăn chặn việc tiết lộ trái phép. o Toàn vẹn (Integrity): Đảm bảo thông tin không bị sửa đổi trái phép hoặc thay đổi không đáng có. o Khả dụng (Availability): Đảm bảo thông tin luôn sẵn sàng và truy cập được khi cần thiết.
Mục tiêu của an toàn bảo mật thông tin: o Ngăn chặn (Prevent): Ngăn chặn các hành vi vi phạm chính sách bảo mật thông tin, ngăn chặn các mối đe dọa tiềm ẩn. o Phát hiện (Detect): Phát hiện sự vi phạm chính sách bảo mật thông tin,nhận diện các nguy cơ có thể xảy ra. o Phản hồi (Response): Đáp ứng ngay khi có hành vi vi phạm, đảm bảo việc ngăn chặn tiếp tục xảy ra và khắc phục hậu quả. o Phục hồi (Recovery): Khắc phục hậu quả sau khi xảy ra vi phạm, đảm bảo hoạt động trở lại bình thường.
Quy trình bảo mật thông tin: o Xác định mối đe dọa: Xác định các mối đe dọa và nguy cơ tiềm ẩn đối với thông tin và hệ thống. o Thiết lập chính sách: Đề ra các quy định và hướng dẫn cần thiết để đảm bảo tính bí mật, toàn vẹn và khả dụng của thông tin. o Lựa chọn biện pháp bảo mật: Xác định các biện pháp cụ thể để thực hiện chính sách bảo mật thông tin và đảm bảo tuân thủ yêu cầu bảo mật.
Xác thực đa yếu tố
Xác thực đa yếu tố (Multi-factor authentication - MFA): Là phương pháp xác thực người dùng thông qua việc yêu cầu nhiều yếu tố khác nhau để chứng minh tính xác thực của họ Các yếu tố này thường bao gồm kiến thức (mật khẩu), sở hữu (thẻ, điện thoại) và tính biểu diễn sinh trắc học (dấu vân tay, nhận dạng khuôn mặt).
Lợi ích của xác thực đa yếu tố: o Tăng cường bảo mật: MFA tạo ra một lớp bảo vệ bổ sung, ngăn chặn người không có quyền truy cập vào hệ thống. o Ngăn chặn tấn công: Ngay cả khi mật khẩu bị lộ, kẻ tấn công cũng cần phải vượt qua các yếu tố khác để xâm nhập thành công. o Bảo vệ thông tin quan trọng: MFA là một biện pháp hiệu quả để đảm bảo tính bí mật và toàn vẹn của thông tin quan trọng.
Các yếu tố xác thực đa yếu tố: o Yếu tố kiến thức (Knowledge factor): Gồm mật khẩu, câu hỏi bí mật, mã PIN, thường được người dùng biết và nhập vào. o Yếu tố sở hữu (Possession factor): Gồm thẻ bảo mật, thiết bị di động, thiết bị USB mà người dùng có thể sở hữu để chứng minh tính xác thực. o Yếu tố biểu diễn sinh trắc học (Inherence factor): Sử dụng thông tin sinh trắc học như dấu vân tay, nhận dạng khuôn mặt, quét mống mắt, giọng nói để xác thực.
Hình 2.1: Các yếu tố xác thực đa yếu tố
Cách thức hoạt động: o Người dùng cần phải cung cấp ít nhất hai yếu tố xác thực khác nhau để được xác thực và truy cập hệ thống. o Hệ thống sẽ yêu cầu nhập mật khẩu (yếu tố kiến thức) kèm theo việc cung cấp yếu tố sở hữu (như mã OTP gửi qua điện thoại). o Một số hệ thống cũng sử dụng yếu tố sinh trắc học như dấu vân tay hoặc nhận dạng khuôn mặt. Áp dụng của xác thực đa yếu tố: o Truy cập hệ thống: Xác thực đa yếu tố được sử dụng để đảm bảo người dùng chỉ truy cập vào hệ thống khi họ có đủ yếu tố xác thực. o Giao dịch tài chính: Nhiều dịch vụ tài chính yêu cầu xác thực đa yếu tố để đảm bảo tính bảo mật trong các giao dịch quan trọng.
KẾT QUẢ NGHIÊN CỨU
Khảo sát các phương pháp xác thực đa yếu tố
3.1.1 Phương pháp sử dụng kiến thức (Knowledge-based methods) 3.1.1.1 Mật khẩu (Passwords)
Mật khẩu là một chuỗi ký tự hoặc cụm từ được sử dụng để xác thực danh tính của người dùng và cho phép họ truy cập vào các hệ thống, tài khoản hoặc dịch vụ bảo mật Mật khẩu hoạt động dựa trên nguyên tắc xác minh danh tính thông qua thông tin bí mật mà chỉ người dùng được ủy quyền biết Khi người dùng cố gắng truy cập vào hệ thống hoặc tài khoản bảo mật, hệ thống sẽ yêu cầu họ cung cấp mật khẩu tương ứng Hệ thống sau đó sẽ so sánh mật khẩu này với thông tin đã lưu trữ để xác định xem người dùng có quyền truy cập hay không.
Các đặc điểm chính của mật khẩu Độ dài và phức tạp: Mật khẩu có thể bao gồm các loại ký tự khác nhau như chữ cái (hoa và thường), số và ký tự đặc biệt Độ dài của mật khẩu quan trọng vì nó ảnh hưởng đến khả năng bị tấn công bằng cách thử tất cả các khả năng có thể.
Không dễ đoán: Mật khẩu nên tránh sử dụng thông tin cá nhân dễ dàng đoán biết như tên người dùng, ngày sinh, số điện thoại,… Mật khẩu không nên bao gồm các từ có trong từ điển.
Không sử dụng lại: Mật khẩu cho mỗi tài khoản hoặc hệ thống cần phải là duy nhất Sử dụng cùng một mật khẩu cho nhiều tài khoản tạo nguy cơ nếu một tài khoản bị xâm nhập, tất cả các tài khoản khác cũng có thể bị ảnh hưởng. Ứng dụng của Mật khẩu (Passwords):
Truy cập hệ thống: Mật khẩu được sử dụng để xác thực và cho phép người dùng truy cập vào các hệ thống máy tính, ứng dụng và dịch vụ.
Hình 3.1: Yêu cầu mật khẩu khi đăng nhập vào tài khoản trên trang web uis.ufm.edu.vn
Hình 3.3: Yêu cầu mật khẩu khi đăng nhập vào ứng dụng Facebook trên điện thoại Hình 3.2: Yêu cầu mật khẩu khi đăng nhập vào ứng dụngMomo trên điện thoại
Bảo vệ dữ liệu cá nhân: Mật khẩu đảm bảo rằng chỉ người dùng có mật khẩu chính xác mới có thể truy cập vào dữ liệu cá nhân hoặc quan trọng.
Hình 3.4: Hệ thống thông báo nhập sai mật khẩu
Xác thực giao dịch: Trong các tài khoản ngân hàng hoặc trang mua sắm trực tuyến, mật khẩu được sử dụng để xác thực và đảm bảo rằng người dùng thực hiện các giao dịch chỉ khi họ cung cấp mật khẩu đúng.
Hình 3.5: Sử dụng mật khẩu để xác thực
Cách tích hợp và triển khai Mật khẩu (Passwords)
Yêu cầu tạo mật khẩu mạnh: Hệ thống có thể yêu cầu người dùng tạo mật khẩu mạnh bằng cách yêu cầu sử dụng chữ cái hoa/thường, số và ký tự đặc biệt Điều này đảm bảo tính bảo mật cao hơn.
Hạn chế số lần nhập sai: Hệ thống có thể áp dụng hạn chế số lần nhập sai mật khẩu để ngăn cản các cuộc tấn công thử mật khẩu.
Hình 3.6: Yêu cầu tạo mật khẩu mạnh khi đăng ký tài khoản Shopee Hình 3.7: Yêu cầu tạo mật khẩu mạnh khi tạo tài khoản Google
Hình 3.8: Hạn chế số lần nhập sai mật khẩu trên ứng dụng Momo
Yếu điểm của con người: Người dùng có thể tạo mật khẩu dễ đoán hoặc sử dụng lại mật khẩu cho nhiều tài khoản.
Tấn công brute-force: Tấn công bằng cách thử tất cả các khả năng có thể để đoán mật khẩu.
Xâm nhập: Nếu hệ thống lưu trữ mật khẩu không đủ an toàn, chúng có thể bị đánh cắp bởi các hacker.
Xác thực hai yếu tố: Mật khẩu có thể được kết hợp với các yếu tố xác thực khác như mã OTP hoặc sinh trắc học để tăng cường tính bảo mật.
Quản lý mật khẩu: Phát triển các ứng dụng quản lý mật khẩu giúp người dùng tạo và quản lý các mật khẩu một cách an toàn.
Tự động đổi mật khẩu: Hệ thống có thể yêu cầu người dùng thay đổi mật khẩu định kỳ để tăng cường tính bảo mật.
3.1.1.2 Mã PIN cá nhân (Personal Identification Numbers - PINs)
Mã PIN là một chuỗi số ngắn, thường được sử dụng để xác thực danh tính của người dùng và cho phép họ truy cập vào hệ thống, thiết bị hoặc dịch vụ bảo mật Khi người dùng cố gắng truy cập, hệ thống yêu cầu họ cung cấp mã PIN tương ứng Hệ thống sau đó so sánh mã PIN này với thông tin đã lưu trữ để xác định xem người dùng có quyền truy cập hay không. Ứng dụng của Mã PIN cá nhân (PINs)
Xác thực thiết bị: Mã PIN thường được sử dụng để mở khóa điện thoại di động, máy tính bảng hoặc các thiết bị cá nhân khác.
Hình 3.9: Mở khóa điện thoại bằng mã PIN
Giao dịch ngân hàng: Mã PIN được sử dụng để thực hiện các giao dịch tài chính tại máy ATM hoặc trong ứng dụng ngân hàng trực tuyến.
Xác thực thẻ: Mã PIN thường đi kèm với thẻ tín dụng hoặc thẻ ghi nợ để xác thực giao dịch tại các cửa hàng hoặc trang mua sắm trực tuyến.
Cách tích hợp và triển khai Mã PIN cá nhân (PINs):
Hạn chế số lần nhập sai: Hệ thống có thể áp dụng hạn chế số lần nhập sai mã PIN để ngăn cản các cuộc tấn công thử mã PIN.
Hình 3.10: Sử dụng mã PIN để thực hiện giao dịch trong SmartBanking
Hình 3.11: Hạn chế số lần nhập sai mã PIN trong SmartBanking
Không lưu mã PIN: Hệ thống không nên lưu trữ mã PIN ở dạng văn bản thô, mà nên mã hóa hoặc băm mã PIN để đảm bảo tính bảo mật.
Yêu cầu đổi mã PIN định kỳ: Hệ thống có thể yêu cầu người dùng thay đổi mã PIN định kỳ để đảm bảo tính bảo mật.
Mã PIN dễ đoán: Người dùng có thể sử dụng mã PIN dễ đoán như ngày sinh, số điện thoại hoặc mã thường thấy như "1234" hoặc "0000".
Tấn công brute-force: Tấn công bằng cách thử tất cả các khả năng có thể để đoán mã PIN.
Nguy cơ xem trộm: Mã PIN có thể bị xem trộm khi người dùng nhập trên các thiết bị công cộng hoặc không an toàn.
Xác thực hai yếu tố: Mã PIN có thể kết hợp với yếu tố xác thực khác như thẻ thông minh hoặc sinh trắc học để tăng tính bảo mật.
Phân tích và so sánh các phương pháp xác thực đa yếu tố
3.2.1 So sánh về bảo mật
Tốt: TOTP (phần mềm) và TOTP (vật lý) đều có khả năng bảo vệ khá tốt chống lại việc lừa đảo do thời gian hiệu lực của mã sinh ra thường rất ngắn. Tuy nhiên, một nhược điểm lớn là cả người dùng và dịch vụ đều sở hữu cùng một bí mật chia sẻ Trong trường hợp thông tin chia sẻ tại nhà cung cấp dịch vụ bị xâm phạm, kẻ tấn công có thể sử dụng chính thông tin chia sẻ đó trong ứng dụng TOTP để tạo ra mã hợp lệ và truy cập vào tài khoản của nạn nhân. Trung bình: Thông báo đẩy có hai nhược điểm nghiêm trọng Một mặt, có thể xảy ra tình trạng người dùng vô tình xác nhận (hoặc từ chối) một yêu cầu, dù họ có ý click vào hành động ngược lại Thứ hai, các cuộc tấn công "MFA fatigue" đã gây ra một số việc vi phạm nghiêm trọng gần đây Trong các cuộc tấn công này, nạn nhân bị spam thông báo đẩy cho đến khi họ xác nhận một yêu cầu do mệt mỏi, để thông báo dừng lại Một yêu cầu xác minh yếu tố thứ hai được xác nhận là đủ cho một kẻ tấn công truy cập vào tài khoản của nạn nhân.
Kém: Cả email và SMS đều có các yếu điểm nghiêm trọng Cả hai đều sử dụng giao thức truyền không an toàn mà không sử dụng mã hóa end-to-end(E2EE) Điều này có nghĩa là kẻ tấn công nếu ở trên cùng mạng với người gửi hoặc người nhận có thể đọc tin nhắn và nhận mã Hơn nữa, tin nhắn có thể được lưu trữ bởi các ghi chú mạng và bị rò rỉ từ đó Hơn nữa, cả hai đều dễ bị tổn thương với vấn đề "use-after-free" Nói cách khác, nếu nạn nhân thay đổi số điện thoại di động hoặc tài khoản email, những thông tin này sẽ lại tự do cho những người khác Kẻ tấn công sau đó có thể sử dụng chúng để đọc mã trừ khi nạn nhân đã cập nhật số điện thoại di động hoặc địa chỉ email cho MFA Trong trường hợp SMS, cuộc tấn công "SIM swapping" thường được kẻ tấn công sử dụng để truy cập vào tin nhắn SMS và OTP của nạn nhân Email có vấn đề là thường chỉ có mật khẩu được sử dụng để bảo vệ tài khoản email chính.
Bảng 3.1: So sánh bảo mật của các yếu tố sở hữu phổ biến nhất
Lừa đảo Tấn công từ xa Rò rỉ bởi dịch vụ TOTP
Phụ thuộc vào việc thực hiện, có thể có điểm yếu
Có thể bấm nhầm hoặc gửi thư rác
Phụ thuộc vào việc thực hiện, có thể có điểm yếu
Phụ thuộc vào việc thực hiện
Email Thường có giá trị lâu dài
Xác thực email thường được bảo vệ chỉ bằng một mật khẩu, giao thức truyền yếu, có thể truy cập bởi nhà cung cấp email
Mã phải được tạo ngẫu nhiên
SMS Thường có giá trị lâu dài
Hoán đổi SIM miễn phí, ứng dụng độc hại, giao thức truyền dẫn yếu, có thể truy cập bởi nhà khai thác di động
Mã phải được tạo ngẫu nhiên
Rất tốt Tốt Trung bình Kém
3.2.2 So sánh về tính khả dụng
Rất tốt: TOTP (phần mềm) và Email đều dễ sử dụng và không có nhược điểm đáng kể.
Tốt: TOTP (vật lý) có nhược điểm là người dùng phải mang theo một mã thông báo vật lý Tuy nhiên, có thể đặt các mã thông báo vật lý khác nhau tại nhiều vị trí khác nhau SMS có vấn đề về tiện ích là không phải lúc nào cũng có tín hiệu SMS trong tất cả các tình huống (ví dụ, bên trong một tòa nhà). Trung bình: Thông báo đẩy có vấn đề là chỉ có thể sử dụng cho một dịch vụ duy nhất Do đó, số lượng yếu tố cá nhân cần thiết tăng tuyến tính theo số lượng dịch vụ được sử dụng Thực tế là mỗi dịch vụ mới phải được cài đặt một ứng dụng riêng có thể tạo rào cản cho người dùng Hơn nữa, có nguy cơ rằng một yêu cầu có thể được chấp nhận hoặc từ chối theo nhầm lẫn, mặc dù người dùng có ý định thực hiện hành động ngược lại.
Bảng 3.2: So sánh tính khả dụng của các yếu tố sở hữu phổ biến nhất
Hỗ trợ cho nhiều dịch vụ
Cách sử dụng Chi phí ban đầu TOTP
Có Mã thông báo vật lý phải được mang theo
Không, chỉ một cho mỗi dịch vụ Ứng dụng mới phải được cài đặt cho môci dịch vụ, có thể bấm nhầm
Email Có Xác thực email thường được bảo vệ chỉ bằng một mật khẩu, giao thức truyền yếu, có thể truy cập bởi nhà cung cấp email
SMS Có Không phải lúc nào cũng nhận được thiết bị di động
3.2.3 So sánh về Quyền riêng tư
Rất tốt: Cả TOTP (phần mềm) và TOTP (vật lý) đều không tiết lộ bất kỳ thông tin nào về người dùng cho dịch vụ hoặc bên thứ ba.
Tốt: Thông báo đẩy thường là các ứng dụng độc quyền được cài đặt trên thiết bị cá nhân của người dùng và thường chứa các tùy chọn theo dõi chi tiết, ví dụ như xác định thông qua số nhận dạng thiết bị.
Trung bình: Cả email và SMS đều có vấn đề là sử dụng giao thức có thể không an toàn cho việc truyền dữ liệu Tương tự, cả địa chỉ email và số điện thoại có thể liên kết qua các dịch vụ khác nhau Nhà cung cấp email, nhà khai thác di động và nhà cung cấp SMS của dịch vụ có thể thấy rõ ràng các dịch vụ mà người dùng đang sử dụng với SMS hoặc email MFA.
Bảng 3.3: So sánh quyền riêng tư của các yếu tố sở hữu phổ biến nhất
Nhiều ứng dụng TOTP mã nguồn mở, không cần kết nối internet, dịch vụ chỉ nhận TOTP
Không cần kết nối internet, dịch vụ chỉ nhận TOTP
Thông báo đẩy Thường độc quyền với các tùy chọn theo dõi mở rộng
Email Khả năng liên kết, siêu dữ liệu đăng nhập (thời gian, dịch vụ) hiển thị cho nhà cung cấp email
SMS Khả năng liên kết, tiết lộ số điện thoại, siêu dữ liệu đăng nhập (thời gian, dịch vụ) hiển thị cho nhà điều hành di động
Khi so sánh những yếu tố sở hữu phổ biến nhất dựa trên mức độ bảo mật, tiện ích và quyền riêng tư, có những yếu tố rõ ràng vượt trội hơn so với các yếu tố khác Các yếu tố dựa trên TOTP có thể được khuyến nghị gần như mà không cần suy xét thêm, trong khi email, SMS và thông báo đẩy có nhiều điểm yếu
Hình 3.25: So sánh tổng thể các yếu tố sở hữu phổ biến nhất