Sự phô biến của các vấn đề về bảo mật thông tin cùng với tích hợp đa dạng của công nghệ xác thực đa yếu tố đã khơi nguồn cho nhu cầu tìm hiểu sâu hơn về cách thức hoạt động và ứng dụng c
Trang 1BO TAI CHINH TRƯỜNG DAI HOC TAI CHINH —- MARKETING KHOA CONG NGHE THONG TIN
GVHD: Th.S Mai Thanh Tam
Sinh viên thực hiện: Nguyễn Võ Anh Thư
MSSV: 2121001026
Lớp HP: 2321112002701
TP.HCM, tháng 8 nam 2023
Trang 2BO TAI CHINH TRƯỜNG DAI HOC TAI CHINH —- MARKETING KHOA CONG NGHE THONG TIN
GVHD: Th.S Mai Thanh Tam
Sinh viên thực hiện: Nguyễn Võ Anh Thư
MSSV: 2121001026
Lớp HP: 2321112002701
TP.HCM, tháng 8 nam 2023
Trang 3LOI CAM ON
Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến cô Mai Thanh Tâm về sự hướng dẫn tận tâm và kiến thức quý báu ma cô đã truyền đạt trong suốt quá trình học tập môn An Toản Thông Tin Sự hiểu biết sâu rộng của cô trong lĩnh vực này đã giúp em có cái nhìn tông quan và sâu sắc hơn về các vấn đề liên quan đến bảo mật
Nhờ vào sự chỉ bảo kỹ cảng từ cô, em đã có cơ hội được khám phá và áp dụng những kiến thức thực tiễn vào dự án của mình Cô đã luôn sẵn sảng trả lời những thắc mắc của em và hồ trợ em trong việc tìm kiêm thông tin cân thiết
Em cũng xin cô thông cảm cho những sai sót, hạn chê mà em có thê đã gặp phải trong quá trình nghiên cứu và thực hiện đô án Dù đã cô găng hệt sức đê hoàn thiện, nhưng em hiệu răng còn nhiêu điều cân phải học hỏi và cải thiện
Một lân nữa, em xin bày tỏ lòng biệt ơn sâu sắc đên cô vì tât cả những hồ trợ
và định hướng mà cô đã mang lại cho em Em kính chúc cô sức khỏe, thành công và hạnh phúc!
Trang 4ĐÁNH GIÁ VÀ NHẬN XÉT CỦA GIẢNG VIÊN
Tp HCM, ngày 21 tháng 8 nam 2023 Giảng viên phụ trách học phần (Ký và ghi rõ họ và tên)
Trang 51H
Mai Thanh Tâm
Trang 6DANH MUC TU VIET TAT
OTP One-Time Password
SMS Short message service
MFA Multi-factor Authentication
TOTP Time-based one-time password
E2EE End-to-end encryption
Trang 7
DANH MUC THUAT NGU ANH - VIET
SMS - Short message service Giao thức được sử dụng dé gửi tin nhắn
ngắn qua mạng không dây
E2EE - End-to-end encryption
Phương thức mã hóa mà chỉ người
nhận và gửi có thê hiệu được thông điệp mã hóa này
Trang 8
DANH MUC BANG
Bảng 3.: So sánh bảo mật của các yếu tố sở hữu phô biến nhắt - 5s: Bảng 3.2: So sánh tính khả dụng của các yếu tô sở hữu phố biến nhất Bảng 3.3: So sánh quyền riêng tư của các yếu tô sở hữu phố biến nhất
vi
Trang 9DANH MUC HINH
Hinh 2.1: Cac yếu tố xác thực đa yếu 7 Hình 3.L: Yêu cầu mật khâu khi đăng nhập vào tài khoản trên trang web
"IS 10000801104: 5Hdaii 10 Hình 3.3: Yêu cầu mật khẩu khi đăng nhập vào ứng dụng Facebook trên điện thoại
HH 10 Hình 3.2: Yêu cầu mật khâu khi đăng nhập vào ứng dụngMomo trên điện thoại LŨ Hinh 3.4: Hệ thống thông báo nhập sai mật khẩu 5 2n ng S11 12 15115111 5E see 11 Hinh 3.5: Su dung mat khâu đề xác thực giao dịch trên ứng dụng Mlomo 12 Hình 3.6: Yêu cầu tạo mật khẩu mạnh khi đăng ký tài khoản Shopee 13 Hình 3.7: Yêu cầu tạo mật khâu mạnh khi tạo tải khoản Gooale 2 13 Hình 3.8: Hạn chế số lần nhập sai mật khâu trên ứng dụng Momo 14
Hình 3.9: Mở khóa điện thoại bằng mã PIN -5- + s2 11 S21111111211221211 xe l5
Hình 3.10: Sử đụng mã PIN đề thực hiện giao dich trong SmartBanking 16 Hình 3.11: Hạn chế số lần nhập sai mã PIN trong SmartBanking - 17 Hình 3.12: Thiết lập câu hỏi bảo mật sử dụng đề xác thực tài khoản 19 Hình 3.13: Khôi phục mật khâu tải khoản Lazada bằng cách nhận mã xác minh qua kằM/addadaddaaddiddaảđáaaăaiẳ.ẦẢỶẢ 20
Hình 3.14: Xác thực người dùng đăng nhập thiết bị mới bằng liên kết SMS I 20 Hình 3.15: Xác thực người dùng đăng nhập thiết bị mới bằng liên kết SMS 2 2 l
Hình 3.16: Mở khóa điện thoại di động băng vân tay 5c Sn nen 26 Hình 3.17: Mở khóa laptop bằng vân tay - Scn T22 1211111111111 re 26 Hình 3.18: Cai đặt vân tay đề xác thực giao dịch vả truy cập vào tài khoản ngân hàng trực tuyÊn 120 0120112111211 1 121115211 111111 0111501118111 1 11H k KH k ng k1 và 27 Hình 3.19: Hệ thống kiểm soát cửa ra vào sử đụng vân tay - 5s csnnsrsre 28 Hình 3.20: Cảm biến vân tay tích hợp trong điện thoại + ccsccz£E22zxzcez 28
Hình 3.21: Thiết bị đọc vân tay độc lập -s- St TS 2E 2112111221111 xe 28 Hình 3.22: Mở khóa điện thoại băng nhận đạng khuôn mặt - 2-5 s25: 30
Hình 3.23: Kiểm soát ra vào bằng nhận diện khuôn mặt - - G 222 s2 30 Hình 3.24: Nhận dạng mống mắt 5 S12 111 52111111211111111111111 1.111 grrreg 33 Hình 3.25: So sánh tông thê các yếu tô sở hữu phố biến nhất - 5c csczsccs¿ 39
vu
Trang 10MUC LUC
I9 E9.) 00) i ĐÁNH GIÁ VÀ NHẬN XÉT CỦA GIẢNG VIÊN - 5222222212222 ii DANH MỤC TỪ VIẾT TẮTT - 22-22222222222211222512221112211122111222112211221221 22C iii
DANH MUC THUAT NGU ANH — VIET cccccccccccssseseecseesteessessieeeesestseeeeneeen iv M.908)10/98:7.9)Iic0 V
DANH MỤC HÌNH - 52-222 2221222112221122271122211221112211211.111 121.1 vi
MỤC LỤC L2 2 221221211121 121 121151121111 121111 111171111111 2111 101110111111 0110 11g h vii
CHUONG 1: TONG QUAN cccccccsccscssessessesseserseesesssssssesstsersressssssesevevsnssssnsesevens 1
LL Ly do chon dé tain cicccccccccccccsessessssessescseesessesessesessesecsessesessnsetseseesesensesees 1
1.2 Mure ti@u nghién cứu - c2: 1221121111211 151 112111181115 211 181111811221 1
1.3 Phạm vi của đỀ tải 5 22221 2211112111222112221122211121111210121112 2e 2
1.4 Đối tượng nghiên cứu - 5s cSs2211521111 111111111121 211111 1101111 rre 3 1.5 Phương pháp nghiên cứu - c1 221222111211 11211 1521115111121 1 1181118111 r2 3 CHƯƠNG2: CƠ SỞ LÝ THUYT -.2::222222222122222112222112271112271 22212 ee 5 2.1 Vấn đề an toàn bảo mật thông tIH - 2 2 222211112111 1211111 1111111112211 x12 5 22_ Xác thực đa yếu An Ta 6
CHƯƠNG 3: KẾT QUÁ NGHIÊN CỨU 25+ 222121221111 221711 2112112221 rxe 9
3.1 Khảo sát cdc phuong phap xac thye da yéu 6.0 ccc cesses essen 9 3.1.1 Phuong phap str dung kién thirc (Knowledge-based methods) 9
3.1.1.1 Mat khau (Passwords) 0.00cccccccccsccssssesescseesesssesesessesessesessessnsessees 9
3.1.1.2 Mã PIN cá nhân (Personal Identification Numbers - PINs) 15 3.1.1.3 Câu hỏi bảo mật (Security Question§) -cccc c2 2222 18 3.1.2 Phương pháp sở hữu (Possesstion-based methods) - 19 3.1.2.1 Mã xác minh qua Email va SMS (Verification Codes) 19 3.1.2.2 Mã một lần dựa trên thời gian (TOTPs - Time-based, One-Time
3.1.2.3 Thông bao day (Push Notifications) 0.0.ccccccccescseseseeeseseseeeeeesees 23 3.1.2.4 Phuong tién phan ctmg (Hardware Keys) 0.ccccccccscsesseeeseseseees 24 3.1.3 Phương pháp sinh trắc học (Inherence methods) 5 s5 +52 25 3.1.3.1 Nhận Dạng Dấu Vân Tay (Fingerprint Recognition) 25
vill
Trang 113.1.3.2 Nhận Dạng Khuôn Mặt (Face Recognition) «- 29 3.1.3.3 Nhận Dạng Giọng Nói (Volce Recogrntion) ‹c-2-+- 31 3.1.3.4 Nhận Dạng Mống Mắt (Iris Recognition)) sc se srcreci 32 3.1.3.5 Nhận Dạng Chữ Ký (SIenature Recognition) .- 34 3.2 Phân tích vả so sánh các phương pháp xác thực đa yếu tố c-5¿ 35
3.2.1 So sánh về bảo mật - +21 9 1112112121111121121121121212 1g ru 35 3.2.2 So sánh về tính khả dụng - s- s12 111121111111211111111E11 E1 eeg 37 3.2.3 So sánh về Quyền riêng tư - s- sn 1E E21 1121121211211112111 1111 xe 38 3.2.4 Kết luận 2s HH H1 1221 ng run 39 CHƯƠNG 4: KẾT LUẬN VÀ HƯỚNG PHÁT TRIẾN -5 2222222222 zxze2 40 ÔNG adaddaảảỶÝỶẢắỶẢỶÝỶẢẲẢỶẢ 40
AQ Điểm hạn chế - St E1 2E1511111211 1211111211111 1 11 11a 40 4.3 Hướng phát triỂn s- St St 1E 211 11211112112111121111 11H H ng 40
IV 180120093708 9:7 cự 41
Trang 12Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
CHƯƠNG 1: TONG QUAN
1.1 Ly do chon dé tai
Do sự tăng cường về mặt số hóa và kết nỗi mạng, bên cạnh sự gia tang dang
kế về các cuộc tấn công mạng và xâm nhập dữ liệu cá nhân, việc đảm bảo an toàn thông tin trở thành một ưu tiên hàng đầu Công nghệ bảo mật xác thực đa yếu tố đã thu hút sự quan tâm bởi khả năng kết hợp nhiều yếu tổ xác thực khác nhau như mật khâu, vân tay, khuôn mặt và thậm chí là các thiết bị vật lý đề cung cấp một lớp bảo mật mạnh mẽ hơn
Sự phô biến của các vấn đề về bảo mật thông tin cùng với tích hợp đa dạng của công nghệ xác thực đa yếu tố đã khơi nguồn cho nhu cầu tìm hiểu sâu hơn về cách thức hoạt động và ứng dụng của chúng Điều này không chỉ giúp hiểu rõ hơn
về cách công nghệ nảy bảo vệ thông tin cá nhân và đữ liệu quan trọng khỏi các cuộc tấn công, mả còn giúp áp dụng chúng vảo thực tế trong nhiều lĩnh vực như tải chính, quản lý tài sản và quản lý tải liệu
Lựa chọn đề tài "Tìm hiểu về Công nghệ bảo mật xác thực đa yếu tố" phản ánh tầm quan trọng của an toản thông tin trong thế giới kỹ thuật hiện đại vả mong muốn hiểu sâu hơn về các giải pháp bảo mật tiên tiến
1.2 Mục tiêu nghiên cứu
s* Mục tiêu tổng quát: Mục tiêu tổng quát của nghiên cứu là tìm hiểu sâu về Công nghệ bảo mật xác thực đa yếu tố và hiểu rõ tầm quan trọng của nó trong việc bảo vệ thông tin và dữ liệu trong môi trường số hóa ngảy cảng phức tạp Nghiên cứu sẽ đảm bảo rằng em có kiến thức sâu về cách hoạt động, ứng dụng và thách thức liên quan đến việc triển khai công nghệ nảy
%* Mục tiêu cụ thể: Trong việc thực hiện đề tài, em đặt ra mục tiêu cụ thê như
Trang 13Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
© - Hiểu rõ về nguyên tắc và phương pháp xác thực đa yếu tố: Tìm hiểu sâu về cách các yếu tố xác thực khác nhau như vân tay, khuôn mặt, thiết bị vật lý và
mã OTP hoạt động, cách chúng hoạt động củng với sự kết hợp đề tạo ra một lớp bảo mật mạnh mẽ hơn
© Phân tích ứng dụng thực tế: Nghiên cứu cách công nghệ xác thực đa yếu tố được áp dụng trong các lĩnh vực khác nhau như tài chính, quản lý tài sản và quan ly tải liệu Điều này giúp em hiểu rõ tầm quan trọng vả ứng dụng thực tiễn của công nghệ nảy
® Đánh giá tính khả thi và hiệu quả: So sánh và đánh giả hiệu quả của công nghệ xác thực đa yếu tố với các phương pháp xác thực truyền thống Xác
định rõ tính khả thi và lợi ích của việc triển khai công nghệ nảy
®© Xem xét thách thức vả cơ hội: Nghiên cứu về các thách thức mả công nghệ đang phải đối mặt, như cách thức đối phó với các kỹ thuật tấn công mới Cũng xem xét cơ hội phát triển và cách cải thiện công nghệ trong tương lai 1.3 Phạm vi của đề tài
© _ Không gian: Phạm vi của dé tài sẽ tập trung vào việc tìm hiểu vả nghiên cứu
về Công nghệ bảo mật xác thực đa yếu tố trong môi trường số hóa Các phương pháp xác thực như vân tay, khuôn mặt, thiết bị vật lý và mã OTP sẽ được xem xét trong phạm vi của đề tài Nghiên cứu sẽ tập trung vảo việc hiểu rõ nguyên tắc hoạt động, ứng dụng, cách tích hợp và triển khai, cùng với thách thức và cơ hội của công nghệ xác thực đa yếu tố
e©_ Thời gian: Phạm vi thời gian của đề tải sẽ bắt đầu từ thời điểm nghiên cứu bắt đầu và kéo dải cho đến khi hoàn thành bài đồ án Trong khoảng thời gian nảy, em sẽ tập trung vào việc thu thập và nghiên cứu tải liệu, phân tích và so sánh các phương pháp xác thực, tìm hiểu về ứng dụng thực tế và đánh giá tính khả thi và hiệu quả của công nghệ
© Hạn chế phạm vi: Mặc dủ sẽ cố gắng tìm hiểu và nghiên cứu sâu về nhiều khía cạnh của công nghệ xác thực đa yếu tố, đề tải sẽ không thể bao quát toàn bộ các khía cạnh của an toàn thông tin và các phương pháp xác thực
Trang 14Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư khác Các yêu tô thời gian, nguồn lực và kiên thức hạn chê sẽ ảnh hưởng đên khả năng tiên xa hơn trong việc nghiên cứu
1.4 Đối tượng nghiên cứu
Công nghệ xác thực đa yếu tố: Đối tượng nghiên cứu sẽ là các phương pháp
và cơ chế xác thực đa yếu tố như xác thực bằng vân tay, khuôn mặt, thiết bị vật lý, mã OTP (One-Time Password) vả các hệ thống tích hợp chúng Nghiên cứu sẽ tập trung vào cách chúng hoạt động, tích hợp và ứng dụng trong việc đảm bảo an toàn thông tin
Hệ thống và ứng dụng thực tế: Đôi tượng nghiên cứu cũng sẽ bao gồm các hệ thống và ứng dụng thực tế mả công nghệ xác thực đa yếu tô được triển khai Điều này có thể bao gồm các ứng dụng trong lĩnh vực tài chính, quản lý tải sản, quản lý tài liệu và bảo vệ thông tin cá nhân
Người dùng và quản trị viên: Một phần quan trọng của đối tượng nghiên cứu
sẽ liên quan đến người dùng cuối và quản trị viên của các hệ thông và ứng dụng sử dụng công nghệ xác thực đa yếu tố Sẽ xem xét về trải nghiệm người dùng, cách thức quản lý và cấu hình các yếu tô xác thực, cũng như việc áp dụng vả tuân thủ các quy tắc bảo mật
1.5Phương pháp nghiên cứu
s* Phương pháp chủ đạo: Phân tích và so sánh
Phương pháp phân tích và so sánh sẽ được sử dụng như phương pháp chủ đạo trong quá trình nghiên cứu Thông qua việc phân tích, em sẽ tìm hiểu sâu về cách hoạt động, ứng dụng và ưu nhược điểm của các phương pháp xác thực đa yếu
tố như vân tay, khuôn mặt, thiết bị vật lý va ma OTP Em sé tiến hành so sánh giữa các phương pháp này, xác định điểm mạnh vả hạn chế của từng phương pháp, cùng với khả năng ứng dụng trong các ngữ cảnh thực tế Phân tích và so sánh giúp em xác định rõ sự đóng góp của từng phương pháp vào việc cải thiện an toàn thông tin
* Phương pháp bồ trợ: Nghiên cứu tải liệu
Trang 15Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư Nghiên cứu tải liệu sẽ được sử dụng để tìm hiểu về lý thuyết và nguyên tắc hoạt động của Công nghệ bảo mật xác thực đa yếu tố vả các phương pháp xác thực Thông qua việc tìm hiểu các tải liệu tham khảo như sách, bài báo và tải liệu chính thông, em sẽ xây dựng nên tảng kiên thức cơ bản.
Trang 16Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
CHƯƠNG 2: CO SO LY THUYET
2.1 Vấn đề an toàn bảo mật thông tin
¢ Khai niém: An toan bao mật thông tin là một khía cạnh quan trọng của quản
lý thông tin và đữ liệu, nhằm đảm bảo rằng thông tin quý báu và đữ liệu nhạy cảm được bảo vệ khỏi các mối đe dọa, tấn công và lạm dụng Điều nay dam bảo rằng thông tin chỉ được tiết lộ cho những người có quyền truy cập va được bảo vệ khỏi sự can thiệp trái phép
e© Tầm quan trọng:
o Bao vé thong tin cá nhân: An toàn bảo mật thông tin dam bao sy bao
vệ cho thông tin cá nhân khỏi việc truy cập và sử dụng trái phép o_ Bảo vệ tô chức: Nó đảm bảo tính bí mật của thông tin tô chức, đảm bảo không có thông tin quan trọng bị lộ ra ngoài
o_ Phát triển bên vững: An toàn bảo mật thông tin là yếu tố cơ bản cho
sự phát triển bền vững của một tổ chức hoặc quốc gia, giúp đảm bảo
sự ôn định và thịnh vượng
e© Yêu cầu bảo mật thông tin:
o Bao mật (Confidentiality): Đảm bảo tính bí mật của thông tin, ngăn chặn việc tiết lộ trái phép
o_ Toàn vẹn (Integrity): Đảm bảo thông tin không bị sửa đổi trái phép hoặc thay đối không đáng có
o_ Khả dụng (Availability): Đảm bảo thông tin luôn sẵn sảng vả truy cập được khi cần thiết
® Mục tiêu của an toàn bảo mật thông tin:
o Ngan chan (Prevent): Ngăn chặn các hành vi vĩ phạm chính sách bảo mật thông tin, ngăn chặn các mối đe đọa tiềm ân
o Phat hién (Detect): Phat hién su vi pham chính sách bảo mật thông tin, nhận diện các nguy cơ có thê xảy ra
5
Trang 17Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư o_ Phản hồi (Response): Đáp ứng ngay khi có hành vi ví phạm, đảm bảo việc ngăn chặn tiếp tục xảy ra và khắc phục hậu quả
o_ Phục hồi (Recovery): Khắc phục hậu quả sau khi xảy ra vi phạm, đảm bảo hoạt động trở lại bình thường
® - Quy trỉnh bảo mật thông tin:
o_ Xác định mối đe dọa: Xác định các mối đe dọa và nguy co tiềm ân đối với thông tin vả hệ thống
o_ Thiết lập chính sách: Đề ra các quy định và hướng dẫn cần thiết để dam bao tinh bí mật, toàn vẹn và khả dụng của thông tin
o_ Lựa chọn biện pháp bảo mật: Xác định các biện pháp cụ thế đề thực hiện chính sách bảo mật thông tin và đảm bảo tuân thủ yêu cầu bảo
® Lợi ích của xác thực đa yếu tố:
o Tang cường bảo mật: MFA tạo ra một lớp bảo vệ bổ sung, ngăn chặn người không có quyền truy cập vào hệ thống
o Ngan chan tan công: Ngay cả khi mật khâu bị lộ, kẻ tấn công cũng cần phải vượt qua các yếu tô khác đề xâm nhập thành công
o Bao vé théng tin quan trong: MFA lả một biện pháp hiệu quả để dam bao tính bí mật và toàn vẹn của thông tin quan trong
© Các yếu tố xác thực đa yếu tố:
o_ Yếu tố kiến thức (Knowledge factor): Gồm mật khâu, câu hỏi bí mật,
mã PIN, thường được người dùng biết vả nhập vảo
6
Trang 18Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư o_ Yếu tổ sở hữu (Possession factor): Gém thé bao mat, thiét bi di động, thiết bị USB mà người đùng có thê sở hữu để chứng minh tính xác Yếu tổ biểu diễn sinh trắc học (Inherence factor): Sử dụng thông tin sinh trắc học như dấu vân tay, nhận dạng khuôn mặt, quét mống mắt,
(something you are)
Trang 19Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư o_ Một số hệ thống cũng sử đụng yếu tố sinh trắc học như dẫu vân tay
hoặc nhận dạng khuôn mặt
® - Áp dụng của xác thực đa yếu tố:
© Truy cập hệ thống: Xác thực đa yếu tố được sử dụng để đảm bảo người dùng chỉ truy cập vào hệ thống khi họ có đủ yếu tổ xác thực o_ Giao dịch tài chính: Nhiều dịch vụ tải chính yêu cầu xác thực đa yếu
tố để đảm bảo tính bảo mật trong các giao dịch quan trọng
Trang 20Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
CHƯƠNG 3: KÉT QUÁ NGHIÊN CỨU
3.1 Khảo sát các phương pháp xác thực đa yếu tố
311 Phuong phap sir dung kién thirc (Knowledge-based methods) 3.1.1.1 Mật khẩu (Passwords)
Mật khẩu là một chuỗi ký tự hoặc cụm từ được sử dụng để xác thực danh tính của người dùng và cho phép họ truy cập vào các hệ thống, tải khoản hoặc dịch
vụ bảo mật Mật khẩu hoạt động dựa trên nguyên tắc xác minh danh tính thông qua thông tin bí mật mà chỉ người dùng được ủy quyên biết Khi người dùng cô gắng truy cập vào hệ thống hoặc tài khoản bảo mật, hệ thống sẽ yêu cầu họ cung cấp mật khâu tương ứng Hệ thống sau đó sẽ so sánh mật khẩu nảy với thông tin đã lưu trữ
để xác định xem người dùng có quyền truy cập hay không
`
se Các đặc điểm chính của mật khâu
Độ đài và phức tạp: Mật khâu có thê bao gồm các loại ký tự khác nhau như chữ cái (hoa và thường), số và ký tự đặc biệt Độ dài của mật khâu quan trọng vì nó ảnh hưởng đến khả năng bị tắn công bằng cách thử tất cả các khả năng có thế
Không đễ đoán: Mật khâu nên tránh sử dụng thông tin cá nhân đễ đàng đoán biết như tên người dùng, ngày sinh, số điện thoại, Mật khâu không nên bao gồm các từ có trong từ điền
Không sử dụng lại: Mật khâu cho mỗi tải khoản hoặc hệ thống cần phải là duy nhất Sử dụng cùng một mật khâu cho nhiều tài khoản tạo nguy cơ nếu một tài khoản bị xâm nhập, tất cả các tài khoản khác cũng có thé bi anh huong
Ung dung cia Mat khau (Passwords):
Truy cập hệ thống: Mật khâu được sử dụng để xác thực vả cho phép người dùng truy cập vào các hệ thống máy tính, ứng dụng và dịch vu
Trang 21Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
TRƯỜNG ĐẠI HỌC TÀI CHÍNH - MARKETING
UNIVERSITY OF FINANCE - MARKETING
Địa chỉ: 778 Nguyễn Kiệm, Phường 4, Quộn Phú Nhuộn, TP Hồ W Điện thoại: 028 20 028 6 Email: phonge L edu Trang chi, Nganh Bộ mõn Văn bản | Tuyển sinh Tracứu Văn bằng Hưởng dẫn | Thanh toan hoc phi
Đăng nhập
@ sinh vién © Giang vién ` Nhân viên Ấ Ban lãnh đạo Tên đăng nhập: |2121001026
Mat ma: [errr |
Ghi nhớ lần đăng nhập sau
Số lượng truy cập : 274/420119 Đăng nhập
Hình 3.1: Yêu cầu mật khẩu khi đăng nhập vào tai khodn trén trang web uis.ufm.edu.yvn
00:43 @M Rs * Se eon) ey) |
Xin chao, NGUYEN VO ANH THU
Nhap mat khẩu SỐ
Quên mật khẩu? Đổi SĐT
Đăng nhập
Bạn quên mật khả
ứng dụng Momo trên điện thoại nhập vào ứng dụng Facebook trên điện
thoại
10
Trang 22Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
© Bảo vệ đữ liệu cá nhân: Mật khẩu đảm bảo rằng chỉ người dùng có mật khâu chính xác mới có thê truy cập vào đữ liệu cá nhân hoặc quan trọng
TRƯỜNG ĐẠI HỌC TÀI CHÍNH - MARKETING
UNIVERSITY OF FINANCE - MARKETING
) f7 u14 | Gn Phu Nhudn, TP HO Chi Mint
(Ê Sinh viên © Giang vien ` Nhân viên “` Ban lãnh đạo
A dang nhap va mat khau khong dung
Tén dang nhap: 2121001026
Mật mã: eeereseeeer
Ghỉ nhớ lần đăng nhập sau
Số lượng truy cập : 249/⁄420308 Đăng :ihập
Hình 3.4: Hệ thống thông báo nhập sai mật khẩu
© Xác thực giao địch: Trong các tài khoản ngân hàng hoặc trang mua sắm trực tuyến, mật khẩu được sử dụng để xác thực và đảm bảo rằng người dùng thực hiện các giao dịch chỉ khi họ cung cấp mật khâu đúng
Trang 23Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư s* Cách tích hợp và triển khai Mật khâu (Passwords)
® Yêu câu tạo mật khâu mạnh: Hệ thông có thê yêu câu người dùng tạo mật khâu mạnh bằng cách yêu cầu sử dụng chữ cái hoa/thường, số và ký tự đặc biệt Điều này đảm bảo tính bảo mật cao hơn
@gmail.com Ban có thế sử dụng chữ cái, số và dấu chấm
Sử dụng địa chỉ email hiện tại của tôi
.c«“c e &
Sử đụng 8 ky tự trở lên và kết hợp chữ cái, chữ số và biếu
tượng
Đăng nhập
Hình 3.6: Yêu cầu tạo một khẩu mạnh khi
đăng ký tài khoản Shopee Hình 3.7: Yên cầu tạo mật khẩu mạnh khi tạo tai khoan Google
mật khâu đề ngăn cản các cuộc tân công thử mật khâu
12
Trang 24Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư
Quên mật khẩu? Đổi SĐT
Hình 3.8: Hạn chế số lần nhập sai mật khẩu trên ứng dụng Momo
Thách thức
Yếu điểm của con người: Người đùng có thể tạo mật khâu để đoán hoặc sử
dụng lại mật khâu cho nhiều tải khoản
Tấn công brute-force: Tấn công bằng cách thử tất cả các khả năng có thê để đoán mật khâu
Xâm nhập: Nếu hệ thống lưu trữ mật khâu không đủ an toàn, chúng có thê bị đánh cắp bởi các hacker
Trang 25Tìm hiểu về công nghệ bảo mật xác thực đa yếu tổ - Nguyễn Võ Anh Thư 3.112 — Mã PIN cá nhân (Persomal ldemtfication Nuibers - PINs)
Mã PIN là một chuỗi số ngắn, thường được sử dụng để xác thực danh tính của người dùng và cho phép họ truy cập vào hệ thống, thiết bị hoặc dịch vụ bảo mật Khi người dùng có gắng truy cập, hệ thống yêu cầu họ cung cấp mã PIN tương ứng Hệ thống sau đó so sánh mã PIN này với thông tin đã lưu trữ để xác định xem người dùng có quyền truy cập hay không
* Ứng dụng của Mã PIN cá nhân (PINs)
®© Xác thực thiết bị: Mã PIN thường được sử dụng để mở khóa điện thoại di động, máy tính bảng hoặc các thiết bị cá nhân khác
Hình 3.9: Mở khóa điện thoại bằng mã PIN
14