BO TAI CHINH TRƯỜNG DAI HOC TAI CHINH —- MARKETING KHOA CONG NGHE THONG TIN ĐỎ ÁN MÔN HỌC AN TỒN THƠNG TIN
Tên đề tài:
TIM HIEU VE CONG NGHE BAO MAT XAC THUC DA YEU TO
GVHD: Th.S Mai Thanh Tam
Sinh viên thực hiện: Nguyễn Võ Anh Thư MSSV: 2121001026
Lớp HP: 2321112002701
Trang 2BO TAI CHINH TRƯỜNG DAI HOC TAI CHINH —- MARKETING KHOA CONG NGHE THONG TIN ĐỎ ÁN MÔN HỌC AN TỒN THƠNG TIN
Tên đề tài:
TIM HIEU VE CONG NGHE BAO MAT XAC THUC DA YEU TO
GVHD: Th.S Mai Thanh Tam
Sinh viên thực hiện: Nguyễn Võ Anh Thư MSSV: 2121001026
Lớp HP: 2321112002701
Trang 3LOI CAM ON
Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến cô Mai Thanh Tâm về sự hướng dẫn tận tâm và kiến thức quý báu ma cô đã truyền đạt trong suốt quá trình học tập môn An Toản Thông Tin Sự hiểu biết sâu rộng của cô trong lĩnh vực này đã giúp em có cái nhìn tông quan và sâu sắc hơn về các vấn đề liên quan đến bảo mật
thông tin
Nhờ vào sự chỉ bảo kỹ cảng từ cô, em đã có cơ hội được khám phá và áp dụng những kiến thức thực tiễn vào dự án của mình Cô đã luôn sẵn sảng trả lời những thắc mắc của em và hồ trợ em trong việc tìm kiêm thông tin cân thiết
Em cũng xin cô thông cảm cho những sai sót, hạn chê mà em có thê đã gặp phải trong quá trình nghiên cứu và thực hiện đô án Dù đã cô găng hệt sức đê hoàn thiện, nhưng em hiệu răng còn nhiêu điều cân phải học hỏi và cải thiện
Trang 4ĐÁNH GIÁ VÀ NHẬN XÉT CỦA GIẢNG VIÊN
Tp HCM, ngày 21 tháng 8 nam 2023 Giảng viên phụ trách học phần
Trang 51H
Trang 6DANH MUC TU VIET TAT
OTP One-Time Password SMS Short message service MFA Multi-factor Authentication TOTP Time-based one-time password E2EE End-to-end encryption
Trang 7DANH MUC THUAT NGU ANH - VIET Tiếng Anh Tiếng Việt OTP - One-Time Password Mã xác thực sử dụng chỉ một lần SMS - Short message service Giao thức được sử dụng dé gửi tin nhắn ngắn qua mạng không dây MFA - Multi-factor Authentication Hệ thông bảo mật yêu câu nhiêu phương thức xác thực TOTP - Time-based one-time password Mật mã tạm thời, sử dụng một lần
E2EE - End-to-end encryption
Phương thức mã hóa mà chỉ người nhận và gửi có thê hiệu được thông điệp mã hóa này
Trang 8DANH MUC BANG
Bảng 3.: So sánh bảo mật của các yếu tố sở hữu phô biến nhắt - 5s: Bảng 3.2: So sánh tính khả dụng của các yếu tô sở hữu phố biến nhất Bảng 3.3: So sánh quyền riêng tư của các yếu tô sở hữu phố biến nhất
Trang 9DANH MUC HINH
Hinh 2.1: Cac yếu tố xác thực đa yếu 7 Hình 3.L: Yêu cầu mật khâu khi đăng nhập vào tài khoản trên trang web
"IS 10000801104: 5Hdaii 10 Hình 3.3: Yêu cầu mật khẩu khi đăng nhập vào ứng dụng Facebook trên điện thoại
HH 10 Hình 3.2: Yêu cầu mật khâu khi đăng nhập vào ứng dụngMomo trên điện thoại LŨ Hinh 3.4: Hệ thống thông báo nhập sai mật khẩu 5 2n ng S11 12 15115111 5E see 11 Hinh 3.5: Su dung mat khâu đề xác thực giao dịch trên ứng dụng Mlomo 12 Hình 3.6: Yêu cầu tạo mật khẩu mạnh khi đăng ký tài khoản Shopee 13 Hình 3.7: Yêu cầu tạo mật khâu mạnh khi tạo tải khoản Gooale 2 13 Hình 3.8: Hạn chế số lần nhập sai mật khâu trên ứng dụng Momo 14
Hình 3.9: Mở khóa điện thoại bằng mã PIN -5- + s2 11 S21111111211221211 xe l5
Hình 3.10: Sử đụng mã PIN đề thực hiện giao dich trong SmartBanking 16 Hình 3.11: Hạn chế số lần nhập sai mã PIN trong SmartBanking - 17 Hình 3.12: Thiết lập câu hỏi bảo mật sử dụng đề xác thực tài khoản 19 Hình 3.13: Khôi phục mật khâu tải khoản Lazada bằng cách nhận mã xác minh qua kằM/addadaddaaddiddaảđáaaăaiẳ.ẦẢỶẢ 20
Hình 3.14: Xác thực người dùng đăng nhập thiết bị mới bằng liên kết SMS I 20 Hình 3.15: Xác thực người dùng đăng nhập thiết bị mới bằng liên kết SMS 2 2 l
Hình 3.16: Mở khóa điện thoại di động băng vân tay 5c Sn nen 26 Hình 3.17: Mở khóa laptop bằng vân tay - Scn T22 1211111111111 re 26 Hình 3.18: Cai đặt vân tay đề xác thực giao dịch vả truy cập vào tài khoản ngân hàng trực tuyÊn 120 0120112111211 1 121115211 111111 0111501118111 1 11H k KH k ng k1 và 27 Hình 3.19: Hệ thống kiểm soát cửa ra vào sử đụng vân tay - 5s csnnsrsre 28 Hình 3.20: Cảm biến vân tay tích hợp trong điện thoại + ccsccz£E22zxzcez 28
Hình 3.21: Thiết bị đọc vân tay độc lập -s- St TS 2E 2112111221111 xe 28 Hình 3.22: Mở khóa điện thoại băng nhận đạng khuôn mặt - 2-5 s25: 30
Hình 3.23: Kiểm soát ra vào bằng nhận diện khuôn mặt - - G 222 s2 30 Hình 3.24: Nhận dạng mống mắt 5 S12 111 52111111211111111111111 1.111 grrreg 33 Hình 3.25: So sánh tông thê các yếu tô sở hữu phố biến nhất - 5c csczsccs¿ 39
Trang 10MUC LUC
I9 E9.) 00) i ĐÁNH GIÁ VÀ NHẬN XÉT CỦA GIẢNG VIÊN - 5222222212222 ii DANH MỤC TỪ VIẾT TẮTT - 22-22222222222211222512221112211122111222112211221221 22C iii
DANH MUC THUAT NGU ANH — VIET cccccccccccssseseecseesteessessieeeesestseeeeneeen iv M.908)10/98:7.9)Iic0 V DANH MỤC HÌNH - 52-222 2221222112221122271122211221112211211.111 121.1 vi MỤC LỤC L2 2 221221211121 121 121151121111 121111 111171111111 2111 101110111111 0110 11g h vii CHUONG 1: TONG QUAN cccccccsccscssessessesseserseesesssssssesstsersressssssesevevsnssssnsesevens 1 LL Ly do chon dé tain cicccccccccccccsessessssessescseesessesessesessesecsessesessnsetseseesesensesees 1 1.2 Mure ti@u nghién cứu - c2: 1221121111211 151 112111181115 211 181111811221 1 1.3 Phạm vi của đỀ tải 5 22221 2211112111222112221122211121111210121112 2e 2 1.4 Đối tượng nghiên cứu - 5s cSs2211521111 111111111121 211111 1101111 rre 3 1.5 Phương pháp nghiên cứu - c1 221222111211 11211 1521115111121 1 1181118111 r2 3 CHƯƠNG2: CƠ SỞ LÝ THUYT -.2::222222222122222112222112271112271 22212 ee 5 2.1 Vấn đề an tồn bảo mật thơng tIH - 2 2 222211112111 1211111 1111111112211 x12 5 22_ Xác thực đa yếu An Ta 6
CHƯƠNG 3: KẾT QUÁ NGHIÊN CỨU 25+ 222121221111 221711 2112112221 rxe 9
3.1 Khảo sát cdc phuong phap xac thye da yéu 6.0 ccc cesses essen 9 3.1.1 Phuong phap str dung kién thirc (Knowledge-based methods) 9
3.1.1.1 Mat khau (Passwords) 0.00cccccccccsccssssesescseesesssesesessesessesessessnsessees 9
3.1.1.2 Mã PIN cá nhân (Personal Identification Numbers - PINs) 15 3.1.1.3 Câu hỏi bảo mật (Security Question§) -cccc c2 2222 18 3.1.2 Phương pháp sở hữu (Possesstion-based methods) - 19 3.1.2.1 Mã xác minh qua Email va SMS (Verification Codes) 19 3.1.2.2 Mã một lần dựa trên thời gian (TOTPs - Time-based, One-Time
11277 21
3.1.2.3 Thông bao day (Push Notifications) 0.0.ccccccccescseseseeeseseseeeeeesees 23 3.1.2.4 Phuong tién phan ctmg (Hardware Keys) 0.ccccccccscsesseeeseseseees 24 3.1.3 Phương pháp sinh trắc học (Inherence methods) 5 s5 +52 25 3.1.3.1 Nhận Dạng Dấu Vân Tay (Fingerprint Recognition) 25
Trang 113.1.3.2 Nhận Dạng Khuôn Mặt (Face Recognition) «- 29 3.1.3.3 Nhận Dạng Giọng Nói (Volce Recogrntion) ‹c-2-+- 31 3.1.3.4 Nhận Dạng Mống Mắt (Iris Recognition)) sc se srcreci 32 3.1.3.5 Nhận Dạng Chữ Ký (SIenature Recognition) .- 34 3.2 Phân tích vả so sánh các phương pháp xác thực đa yếu tố c-5¿ 35
Trang 12Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
CHƯƠNG 1: TONG QUAN
1.1 Ly do chon dé tai
Do sự tăng cường về mặt số hóa và kết nỗi mạng, bên cạnh sự gia tang dang kế về các cuộc tấn công mạng và xâm nhập dữ liệu cá nhân, việc đảm bảo an tồn thơng tin trở thành một ưu tiên hàng đầu Công nghệ bảo mật xác thực đa yếu tố đã thu hút sự quan tâm bởi khả năng kết hợp nhiều yếu tổ xác thực khác nhau như mật khâu, vân tay, khuôn mặt và thậm chí là các thiết bị vật lý đề cung cấp một lớp bảo mật mạnh mẽ hơn
Sự phô biến của các vấn đề về bảo mật thông tin cùng với tích hợp đa dạng của công nghệ xác thực đa yếu tố đã khơi nguồn cho nhu cầu tìm hiểu sâu hơn về cách thức hoạt động và ứng dụng của chúng Điều này không chỉ giúp hiểu rõ hơn về cách công nghệ nảy bảo vệ thông tin cá nhân và đữ liệu quan trọng khỏi các cuộc tấn công, mả còn giúp áp dụng chúng vảo thực tế trong nhiều lĩnh vực như tải chính, quản lý tài sản và quản lý tải liệu
Lựa chọn đề tài "Tìm hiểu về Công nghệ bảo mật xác thực đa yếu tố" phản ánh tầm quan trọng của an toản thông tin trong thế giới kỹ thuật hiện đại vả mong muốn hiểu sâu hơn về các giải pháp bảo mật tiên tiến
1.2 Mục tiêu nghiên cứu
Trang 13Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư © - Hiểu rõ về nguyên tắc và phương pháp xác thực đa yếu tố: Tìm hiểu sâu về
cách các yếu tố xác thực khác nhau như vân tay, khuôn mặt, thiết bị vật lý và mã OTP hoạt động, cách chúng hoạt động củng với sự kết hợp đề tạo ra một lớp bảo mật mạnh mẽ hơn
© Phân tích ứng dụng thực tế: Nghiên cứu cách công nghệ xác thực đa yếu tố được áp dụng trong các lĩnh vực khác nhau như tài chính, quản lý tài sản và quan ly tải liệu Điều này giúp em hiểu rõ tầm quan trọng vả ứng dụng thực tiễn của cơng nghệ nảy
® Đánh giá tính khả thi và hiệu quả: So sánh và đánh giả hiệu quả của công nghệ xác thực đa yếu tố với các phương pháp xác thực truyền thống Xác
định rõ tính khả thi và lợi ích của việc triển khai công nghệ ny
đâ Xem xột thỏch thức vả cơ hội: Nghiên cứu về các thách thức mả công nghệ đang phải đối mặt, như cách thức đối phó với các kỹ thuật tấn công mới Cũng xem xét cơ hội phát triển và cách cải thiện công nghệ trong tương lai 1.3 Phạm vi của đề tài
© _ Không gian: Phạm vi của dé tài sẽ tập trung vào việc tìm hiểu vả nghiên cứu về Công nghệ bảo mật xác thực đa yếu tố trong môi trường số hóa Các phương pháp xác thực như vân tay, khuôn mặt, thiết bị vật lý và mã OTP sẽ được xem xét trong phạm vi của đề tài Nghiên cứu sẽ tập trung vảo việc hiểu rõ nguyên tắc hoạt động, ứng dụng, cách tích hợp và triển khai, cùng với thách thức và cơ hội của công nghệ xác thực đa yếu tố
e©_ Thời gian: Phạm vi thời gian của đề tải sẽ bắt đầu từ thời điểm nghiên cứu bắt đầu và kéo dải cho đến khi hoàn thành bài đồ án Trong khoảng thời gian nảy, em sẽ tập trung vào việc thu thập và nghiên cứu tải liệu, phân tích và so sánh các phương pháp xác thực, tìm hiểu về ứng dụng thực tế và đánh giá tính khả thi và hiệu quả của công nghệ
Trang 14Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư khác Các yêu tô thời gian, nguồn lực và kiên thức hạn chê sẽ ảnh hưởng đên khả năng tiên xa hơn trong việc nghiên cứu
1.4 Đối tượng nghiên cứu
Công nghệ xác thực đa yếu tố: Đối tượng nghiên cứu sẽ là các phương pháp và cơ chế xác thực đa yếu tố như xác thực bằng vân tay, khuôn mặt, thiết bị vật lý, mã OTP (One-Time Password) vả các hệ thống tích hợp chúng Nghiên cứu sẽ tập trung vào cách chúng hoạt động, tích hợp và ứng dụng trong việc đảm bảo an tồn thơng tin
Hệ thống và ứng dụng thực tế: Đôi tượng nghiên cứu cũng sẽ bao gồm các hệ thống và ứng dụng thực tế mả công nghệ xác thực đa yếu tô được triển khai Điều này có thể bao gồm các ứng dụng trong lĩnh vực tài chính, quản lý tải sản, quản lý tài liệu và bảo vệ thông tin cá nhân
Người dùng và quản trị viên: Một phần quan trọng của đối tượng nghiên cứu sẽ liên quan đến người dùng cuối và quản trị viên của các hệ thông và ứng dụng sử dụng công nghệ xác thực đa yếu tố Sẽ xem xét về trải nghiệm người dùng, cách thức quản lý và cấu hình các yếu tô xác thực, cũng như việc áp dụng vả tuân thủ các quy tắc bảo mật
1.5Phương pháp nghiên cứu
s* Phương pháp chủ đạo: Phân tích và so sánh
Phương pháp phân tích và so sánh sẽ được sử dụng như phương pháp chủ đạo trong quá trình nghiên cứu Thông qua việc phân tích, em sẽ tìm hiểu sâu về cách hoạt động, ứng dụng và ưu nhược điểm của các phương pháp xác thực đa yếu tố như vân tay, khuôn mặt, thiết bị vật lý va ma OTP Em sé tiến hành so sánh giữa các phương pháp này, xác định điểm mạnh vả hạn chế của từng phương pháp, cùng với khả năng ứng dụng trong các ngữ cảnh thực tế Phân tích và so sánh giúp em xác định rõ sự đóng góp của từng phương pháp vào việc cải thiện an tồn thơng tin
Trang 16Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
CHƯƠNG 2: CO SO LY THUYET
2.1 Vấn đề an toàn bảo mật thơng tin
¢ Khai niém: An toan bao mật thông tin là một khía cạnh quan trọng của quản lý thông tin và đữ liệu, nhằm đảm bảo rằng thông tin quý báu và đữ liệu nhạy cảm được bảo vệ khỏi các mối đe dọa, tấn công và lạm dụng Điều nay dam bảo rằng thông tin chỉ được tiết lộ cho những người có quyền truy cập va được bảo vệ khỏi sự can thiệp trái phép
e© Tầm quan trọng:
o Bao vé thong tin cá nhân: An toàn bảo mật thông tin dam bao sy bao vệ cho thông tin cá nhân khỏi việc truy cập và sử dụng trái phép o_ Bảo vệ tô chức: Nó đảm bảo tính bí mật của thông tin tô chức, đảm
bảo không có thông tin quan trọng bị lộ ra ngoài
o_ Phát triển bên vững: An toàn bảo mật thông tin là yếu tố cơ bản cho sự phát triển bền vững của một tổ chức hoặc quốc gia, giúp đảm bảo sự ôn định và thịnh vượng
e© Yêu cầu bảo mật thông tin:
o Bao mật (Confidentiality): Đảm bảo tính bí mật của thông tin, ngăn chặn việc tiết lộ trái phép
o_ Toàn vẹn (Integrity): Đảm bảo thông tin không bị sửa đổi trái phép hoặc thay đối không đáng có
o_ Khả dụng (Availability): Đảm bảo thông tin luôn sẵn sảng vả truy cập được khi cần thiết
® Mục tiêu của an toàn bảo mật thông tin:
o Ngan chan (Prevent): Ngăn chặn các hành vi vĩ phạm chính sách bảo mật thông tin, ngăn chặn các mối đe đọa tiềm ân
o Phat hién (Detect): Phat hién su vi pham chính sách bảo mật thông tin, nhận diện các nguy cơ có thê xảy ra