Xác thực đa yếu tố FMA - Multi-factor AuthenticationXác thực đa yếu tố MFA là phương pháp xác minh danh tính trong đó người dùng phải cung cấp ít nhất 2 yếu tố xác thực, chẳng hạn như mậ
Trang 1ĐẠI HỌC BÁCH KHOA HÀ NỘI TRƯỜNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
BÁO CÁO BÀI TẬP LỚN CÁC GIẢI PHÁP VÀ CHÍNH SÁCH AN NINH MẠNG
ĐỀ TÀI: AN NINH SINH TRẮC VÀ XÁC THỰC HAI YẾU TỐ
Hà Nội,
tháng 10 năm 2024
Học viên thực hiện:
Giảng viên hướng dẫn:
Hồng Ngọc Giang - 20232164M Nguyễn Nam Phương - 20232051M
PGS TS Nguyễn Linh Giang
Trang 2MỤC LỤC
I Xác thực đa yếu tố (FMA - Multi-factor Authentication)
1 Cách MFA hoạt động
2 Các loại yếu tố xác thực
2.1 Yếu tố kiến thức
2.2 Yếu tố sở hữu
2.3 Các yếu tố hành vi
2.4 Các yếu tố vốn có
II Xác thực với yếu tố sinh trắc học
1 Định nghĩa
2 Phân loại sinh trắc học
3 Một số phương pháp xác thực sinh trắc học
3.1 Phương pháp xác thực hành vi
3.2 Phương pháp xác nhận hình dạng tai
3.3 Phương pháp xác nhận hình học võng mạc 10
3.4 Chữ ký động lực học 10
3.5 Phân tích DNA 10
4 Những tiến bộ gần đây trong việc sử dụng công nghệ sinh trắc học 11
5 Những phát triển gần đây trong xác thực sinh trắc học 12
III Kết luận 13
Trang 3I Xác thực đa yếu tố (FMA - Multi-factor Authentication)
Xác thực đa yếu tố (MFA) là phương pháp xác minh danh tính trong đó người dùng phải cung cấp ít nhất 2 yếu tố xác thực, chẳng hạn như mật khẩu và mật mã tạm thời, để chứng minh danh tính của họ
Hình thức MFA phổ biến nhất là xác thực 2 yếu tố Xác thực hai yếu tố (2FA) là phương pháp xác minh danh tính trong đó người dùng phải cung cấp hai bằng chứng, chẳng hạn như mật khẩu và mật mã một lần, để chứng minh danh tính của họ và có quyền truy cập vào tài khoản trực tuyến hoặc các tài nguyên nhạy cảm khác Hầu hết người dùng Internet có thể quen thuộc với hệ thống 2FA dựa trên tin nhắn SMS Một ứng dụng sẽ gửi mã số đến điện thoại di động của người dùng khi đăng nhập Người dùng phải nhập cả mật khẩu và mã này để được xác thực quyền truy cập Ví dụ, để đăng nhập tài khoản email, người dùng cần nhập cả mật khẩu tài khoản và mật mã sử dụng một lần mà nhà cung cấp email gửi đến điện thoại di động của họ qua tin nhắn văn bản Phương pháp MFA cũng được sử dụng bên ngoài Internet Sử dụng thẻ ngân hàng (bằng chứng đầu tiên) và mã PIN (bằng chứng thứ hai) để rút tiền mặt từ máy ATM cũng là một hình thức MFA
Hệ thống MFA bổ sung thêm một lớp bảo mật bằng cách yêu cầu nhiều hơn một bằng chứng để xác nhận danh tính của người dùng Ngay cả khi tin tặc đánh cắp được mật khẩu, thì cũng không đủ để truy cập trái phép vào hệ thống Hơn nữa, các yếu tố xác thực bổ sung thường là những thứ như quét dấu vân tay và mã thông báo bảo mật vật lý—khó bẻ khóa hơn nhiều so với mật khẩu đơn giản
1 Cách MFA hoạt động
Để truy cập vào các hệ thống và tài sản nhạy cảm, như ứng dụng ngân hàng, cơ sở
dữ liệu, … người dùng phải chứng minh rằng họ là người dùng có quyền truy cập bằng cách vượt qua 1 số hình thức xác thực Trong các hệ thống xác thực cơ bản nhất, chỉ cần một mật khẩu Trong hệ thống bảo mật MFA, người dùng cần ít nhất hai bằng chứng xác thực, được gọi là "yếu tố xác thực", để chứng minh danh tính của họ
Giả sử người dùng đang đăng nhập vào mạng nội bộ của công ty, được bảo vệ bằng giải pháp MFA Hệ thống sẽ yêu cầu yếu tố xác thực đầu tiên, thường là sự kết hợp tên đăng nhập và mật khẩu Nếu yếu tố đầu tiên hợp lệ, hệ thống sẽ yêu cầu yếu tố
Trang 4thứ hai Có nhiều biến thể hơn trong các yếu tố thứ hai, có thể từ mật mã một lần đến sinh trắc học và nhiều hơn nữa Nếu người dùng muốn truy cập vào một phần đặc biệt quan trọng của mạng, họ có thể phải cần cung cấp yếu tố thứ ba Người dùng chỉ có thể
truy cập hệ thống nếu mọi yếu tố bắt buộc đều được kiểm tra Nếu có bất kỳ sai sót
nào, việc đăng nhập sẽ thất bại.
2 Các loại yếu tố xác thực
Hệ thống MFA có thể sử dụng nhiều loại yếu tố xác thực và các hệ thống thực tế thường sử dụng ít nhất hai loại yếu tố khác nhau Sử dụng các loại yếu tố khác nhau được coi là an toàn hơn so với sử dụng nhiều yếu tố cùng loại vì tội phạm mạng sẽ cần
sử dụng các phương pháp riêng biệt trên nhiều kênh để bẻ khóa từng yếu tố Ví dụ, tin tặc có thể đánh cắp mật khẩu của người dùng bằng cách cài phần mềm gián điệp vào máy tính của họ Tuy nhiên, phần mềm gián điệp đó sẽ không nhận được mật mã một lần được gửi đến điện thoại của người dùng, cũng như không sao chép được dấu vân tay của người dùng Kẻ tấn công sẽ cần phải chặn tin nhắn SMS có chứa mật mã và hack máy quét dấu vân tay để thu thập tất cả thông tin đăng nhập mà chúng cần để chiếm tài khoản của người dùng.
2.1 Yếu tố kiến thức
Các yếu tố kiến thức là những thông tin mà về mặt lý thuyết, chỉ người dùng mới biết, như mật khẩu, mã PIN và câu trả lời cho các câu hỏi bảo mật Các yếu tố kiến thức, thường là mật khẩu, là yếu tố đầu tiên trong hầu hết các hệ thống MFA Tuy nhiên, các yếu tố kiến thức, đặc biệt là mật khẩu, cũng là các yếu tố xác thực dễ bị tấn công nhất Tin tặc có thể lấy được mật khẩu và các yếu tố kiến thức khác thông qua các cuộc tấn công lừa đảo (sử dụng email, tin nhắn văn bản, cuộc gọi, trang web lừa đảo chia sẻ thông tin), cài đặt phần mềm độc hại trên thiết bị của người dùng hoặc dùng công cụ để tạo và kiểm tra mật khẩu tiềm năng trên một tài khoản cho đến khi có mật khẩu đúng
Các loại yếu tố kiến thức khác không gây ra nhiều thử thách hơn với tin tặc Nhiều câu hỏi bảo mật như “Tên trường trung học bạn từng học là gì?” có thể bị bẻ khóa thông qua nghiên cứu thông tin cơ bản của người dùng hoặc các cuộc tấn công lừa đảo người dùng tiết lộ thông tin cá nhân 2 yếu tố yêu cầu mật khẩu và câu hỏi bảo
mật không phải là MFA thực sự vì nó sử dụng hai yếu tố cùng loại, trong trường hợp
Trang 5này là hai yếu tố kiến thức Thay vào đó, đây gọi là quy trình xác minh hai bước Xác minh hai bước cung cấp một số bảo mật bổ sung vì nó yêu cầu nhiều hơn một yếu tố, nhưng không an toàn bằng MFA thực sự
2.2 Yếu tố sở hữu
Yếu tố sở hữu là những thứ mà người dùng sở hữu và họ có thể sử dụng để chứng minh danh tính của mình Yếu tố sở hữu bao gồm cả token mềm kỹ thuật số và token cứng vật lý
Phổ biến hơn ngày nay, token mềm là khóa bảo mật kỹ thuật số được lưu trữ hoặc tạo ra bởi thiết bị mà người dùng sở hữu, thường là điện thoại thông minh hoặc thiết bị
di động khác Với token mềm, thiết bị của người dùng đóng vai trò là yếu tố sở hữu
Hệ thống MFA giả định rằng chỉ người dùng hợp pháp mới có quyền truy cập vào thiết
bị và bất kỳ thông tin nào trên đó
Token mềm có thể có nhiều dạng, từ chứng chỉ kỹ thuật số tự động xác thực người dùng đến mật khẩu một lần (OTP) thay đổi mỗi khi người dùng đăng nhập Một số giải pháp MFA gửi OTP đến điện thoại của người dùng qua SMS, email hoặc cuộc gọi điện thoại Các triển khai MFA khác sử dụng ứng dụng xác thực, ứng dụng di động chuyên biệt liên tục tạo mật khẩu một lần theo thời gian (TOTP) Mỗi TOTP hết hạn trong
30-60 giây, khiến việc đánh cắp và sử dụng trở nên khó khăn trước khi hết thời gian Một
số ứng dụng xác thực sử dụng thông báo thay vì TOTP Khi người dùng cố gắng đăng nhập vào tài khoản, ứng dụng sẽ gửi thông báo trực tiếp đến hệ điều hành iOS hoặc Android của thiết bị người dùng Người dùng phải chạm vào thông báo để xác nhận nỗ lực đăng nhập là hợp lệ Các ứng dụng xác thực phổ biến nhất bao gồm Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator và Duo
Các hệ thống xác thực khác sử dụng các phần cứng chuyên dụng làm token vật lý Một số token vật lý cắm vào cổng USB của máy tính và tự động truyền thông tin xác thực đến các ứng dụng và trang web Các mã thông báo phần cứng khác là các thiết bị độc lập tạo OTP theo yêu cầu Mã thông báo phần cứng cũng có thể bao gồm các khóa bảo mật truyền thống hơn, như chìa khóa mở khóa vật lý hoặc thẻ thông minh mà người dùng phải quẹt qua đầu đọc thẻ
Trang 6Ưu điểm chính của các yếu tố sở hữu là tin tặc phải sở hữu yếu tố đó để mạo danh người dùng Thông thường, điều đó có nghĩa là phải đánh cắp điện thoại thông minh vật lý hoặc khóa bảo mật Hơn nữa, OTP hết hạn sau một khoảng thời gian nhất định Ngay cả khi tin tặc đánh cắp một cái, cũng không có gì đảm bảo nó sẽ hoạt động Nhưng các yếu tố sở hữu không phải là hoàn hảo Token vật lý có thể bị đánh cắp, bị mất hoặc thất lạc Chứng chỉ kỹ thuật số có thể bị sao chép OTP khó bị đánh cắp hơn mật khẩu truyền thống, nhưng chúng vẫn dễ bị một số loại phần mềm độc hại, lừa đảo hoặc tấn công trung gian Tin tặc cũng có thể sử dụng các phương tiện tinh vi hơn
Kẻ tấn công tạo ra một bản sao chức năng của thẻ SIM trên điện thoại thông minh của nạn nhân, cho phép chúng chặn bất kỳ mật mã nào được gửi đến người dùng qua SMS Các hệ thống MFA sử dụng thông báo cũng bị tấn công Tin tặc làm đầy thiết bị của người dùng bằng các thông báo gian lận với hy vọng rằng nạn nhân sẽ vô tình xác nhận một thông báo, cho phép tin tặc xâm nhập vào tài khoản của họ
2.3 Các yếu tố hành vi
Các yếu tố hành vi là các dấu hiệu kỹ thuật số xác minh danh tính của người dùng dựa trên các kiểu hành vi, chẳng hạn như phạm vi địa chỉ IP thông thường, vị trí và tốc
độ đánh máy trung bình của người dùng. Ví dụ, khi đăng nhập vào ứng dụng từ mạng riêng ảo (VPN) của công ty, người dùng có thể chỉ cần cung cấp một yếu tố xác thực
Sự hiện diện của họ trên VPN đáng tin cậy được tính là yếu tố thứ hai.
Tương tự như vậy, một số hệ thống cho phép người dùng đăng ký các thiết bị đáng tin cậy làm yếu tố xác thực Sau đó, bất cứ khi nào người dùng truy cập hệ thống từ thiết bị đáng tin cậy, việc sử dụng thiết bị sẽ tự động hoạt động như yếu tố thứ hai Mặc dù các yếu tố hành vi cung cấp một cách tinh vi để xác thực người dùng, tin tặc vẫn có thể mạo danh người dùng bằng cách sao chép hành vi của họ Ví dụ, nếu tin tặc có quyền truy cập vào một thiết bị đáng tin cậy, chúng có thể sử dụng thiết bị đó làm yếu tố xác thực Tương tự như vậy, kẻ tấn công có thể giả mạo địa chỉ IP của chúng để làm cho chúng trông giống như được kết nối với VPN của công ty, đánh lừa
hệ thống xác thực
Trang 72.4 Các yếu tố vốn có
Còn được gọi là "sinh trắc học", các yếu tố vốn có là các đặc điểm vật lý độc nhất của người dùng, như dấu vân tay, đặc điểm khuôn mặt và quét võng mạc Nhiều điện thoại thông minh và máy tính xách tay có máy quét khuôn mặt và đầu đọc dấu vân tay,
và nhiều ứng dụng và trang web có thể sử dụng dữ liệu sinh trắc học này làm yếu tố xác thực.
Mặc dù các yếu tố cố hữu nằm trong số những yếu tố khó bẻ khóa nhất, nhưng vẫn
có thể thực hiện được Ví dụ, các nhà nghiên cứu bảo mật gần đây đã tìm ra cách hack máy quét vân tay Windows Hello trên một số máy tính xách tay. Các nhà nghiên cứu
có thể đột nhập vào cơ sở dữ liệu vân tay và thay thế dấu vân tay của người dùng đã đăng ký bằng dấu vân tay của họ, về cơ bản là cấp cho họ quyền kiểm soát các thiết bị Những tiến bộ trong công nghệ tạo hình ảnh AI cũng khiến các chuyên gia an ninh mạng lo ngại, vì tin tặc có thể sử dụng những công cụ này để đánh lừa phần mềm nhận dạng khuôn mặt.
Khi dữ liệu sinh trắc học bị xâm phạm, dữ liệu đó không thể thay đổi nhanh chóng hoặc dễ dàng, khiến việc ngăn chặn các cuộc tấn công đang diễn ra và giành lại quyền kiểm soát tài khoản trở nên khó khăn
II Xác thực với yếu tố sinh trắc học
1 Định nghĩa
Ban đầu, khi nói đến sinh trắc học, chúng ta muốn nói đến ngành liên quan đến việc sử dụng các đặc điểm của cơ thể con người để nhận dạng một người, ví dụ nếu một tội ác nào đó được thực hiện và có dấu vân tay, thì nghi phạm chính là người có những dấu vân tay đó Dấu vân tay đại diện cho một đặc điểm sinh trắc học độc đáo của con người hiện đang được sử dụng rất nhiều trong bảo mật thông tin Trong những năm gần đây, đặc điểm này đã được sử dụng rất nhiều trên điện thoại thông minh, máy tính bảng cá nhân và cả máy tính xách tay, do đó có thể mở thiết bị Một trong lý do tại sao sinh trắc học được sử dụng cho các mục đích như vậy là, ngoài việc an toàn hơn đáng kể so với mật khẩu hoặc mã PIN, nó còn tiết kiệm thời gian hơn và trên hết, nó
ko thể bị quên vì đấy là các đặc điểm của cơ thể Nhưng ngoài những ưu điểm mà sinh trắc học có, nó cũng có một số nhược điểm, ví dụ rất đơn giản về dấu vân tay, điều gì
sẽ xảy ra nếu chúng ta mất một ngón tay (ví dụ như trong một vụ tai nạn) hoặc thậm
Trang 8chí bị bỏng dấu vân tay? Vâng, câu trả lời rất đơn giản, chúng ta không thể mở điện thoại trong trường hợp này, tất nhiên là giả sử điện thoại mở bằng ngón tay mà chúng
ta bị thương
2 Phân loại sinh trắc học
Sinh trắc học được chia thành đặc điểm sinh lý và hành vi Sinh trắc học phổ biến được sử dụng để xác thực và nhận dạng là:
Nhận dạng vân tay Nhịp gõ
Hình dạng bàn tay Phân tích dáng đi
Nhận dạng mống mắt Động lực chuột
Nhận dạng khuôn mặt Động lực bàn phím
Nhận dạng chữ ký Nhận dạng giọng nói
Nhận dạng tĩnh mạch
Nhận dạng võng mạc
Nhận dạng DNA
Một hệ thống sinh trắc học lý tưởng sẽ sở hữu một số đặc điểm chính :
- Tính phổ quát: Sinh trắc học phải có thể áp dụng cho tất cả các cá nhân, bất kể tuổi tác, giới tính, chủng tộc hoặc các yếu tố nhân khẩu học khác
- Tính duy nhất: Sinh trắc học phải có thể phân biệt một cá nhân với tất cả những cá nhân khác, với tỷ lệ trùng khớp sai thấp
- Tính lâu dài: Sinh trắc học phải ổn định theo thời gian, để có thể sử dụng để nhận dạng và xác thực trong thời gian dài
- Tính dễ thu thập: Sinh trắc học phải dễ thu thập và đo lường được bằng các phương pháp không xâm phạm
- Hiệu suất: Sinh trắc học phải có mức độ chính xác và độ tin cậy cao, với tỷ lệ trùng khớp sai
và không trùng khớp sai thấp
Trang 9- Tính chấp nhận được: Sinh trắc học phải được chấp nhận về mặt xã hội và văn hóa, với mức
độ xâm phạm hoặc xâm phạm quyền riêng tư được nhận thức thấp
- Tính ngăn chặn: Sinh trắc học phải khó bị làm giả, đảm bảo tính bảo mật của hệ thống
Trang 10- Khả năng tương tác: Sinh trắc học phải có thể hoạt động với nhiều hệ thống và thiết bị khác nhau, cho phép tích hợp và sử dụng dễ dàng
Điều đáng chú ý là hiện tại không có hệ thống sinh trắc học đơn lẻ nào sở hữu tất
cả các đặc điểm này một cách hoàn hảo, và cũng có khả năng trong tương lai, các phương thức sinh trắc học mới sẽ được phát triển và được coi là lý tưởng hơn
Bảng so sánh các công nghệ sinh trắc học dựa trên nhận thức của ba chuyên gia sinh trắc học:
Sinh trắc học Tính phổ
quát
Tính duy nhất
Tính lâu dài
Tính dễ thu thập
Tính hiệu suất
Tính chấp nhận được
Tính ngăn chặn
Khuôn mặt Cao Thấp Trung
bình Cao Thấp Cao Thấp
Dấu vân tay Trung
bình Cao Cao
Trung bình Cao Trung bình Cao
Hình dạng bàn
tay
Trung bình
Trung bình
Trung bình Cao
Trung bình Trung bình
Trung bình
Mống mắt Cao Cao Cao Trung
bình Cao Thấp Cao
Quét võng mạc Cao Cao Trung
bình Thấp Cao Thấp Cao
Chữ ký Thấp Thấp Thấp Cao Thấp Cao Thấp
Trang 11Giọng nói Trung
bình Thấp Thấp
Trung bình Thấp Cao Thấp
Biểu đồ bức xạ
nhiệt Cao Cao Thấp Cao
Trung bình Cao Cao
Trong bảng này, chúng ta có thể thấy sự khác biệt giữa các loại sinh trắc học này, trong đó có thể thấy dấu vân tay, mống mắt và quét võng mạc có mức độ duy nhất cao, trong khi trong trường hợp này, faceID có điểm tương đồng (do đó hai khuôn mặt có thể rất giống nhau), chúng ta cũng có sự so sánh ở các thuộc tính khác như hiệu suất, khả năng chấp nhận, v.v
3 Một số phương pháp xác thực sinh trắc học
Chúng ta biết rằng mặc dù sinh trắc học có tính bảo mật cao hơn, nhưng thông tin này cũng có thể bị làm giả Ví dụ dấu vân tay có thể dễ dàng lấy được từ một chiếc cốc
mà ta uống nước và làm giả để qua mặt hệ thống xác thực được, khuôn mặt cũng rất dễ lấy, khi chỉ cần một bức ảnh định tính là đủ để xác thực, tương tự là võng mạc cũng có thể được cung cấp thông qua ảnh Ngoài bị làm giả, cũng có những trường hợp hệ thống tự cấp quyền truy cập cho người khác, ví dụ nhận dạng khuôn mặt trên điện thoại giả, hoặc những trường hợp khuôn mặt giống với chủ sở hữu điện thoại, nhưng điều này hiếm khi xảy ra, vì sinh trắc học có đặc tính cập nhật, tự học hoặc tiến hóa
Hệ thống sinh trắc học phải xác minh sự sống của cá nhân, nếu không, hệ thống có thể bị đánh lừa bằng các đặc điểm sinh trắc học trùng lặp Tuy nhiên, vẫn còn những tranh luận về các phương pháp chống lại các hành vi làm giả sinh trắc học tiên tiến hơn, như một lớp silicon mỏng trên ngón tay có thể làm giả dấu vân tay
3.1 Phương pháp xác thực hành vi
Cho đến nay chúng ta chỉ nói về các sinh trắc học phổ biến như dấu vân tay, nhận dạng khuôn mặt, quét võng mạc, v.v., đây là những đặc điểm vật lý của cơ thể con người đã tồn tại Một sinh trắc học khác là xác thực thông qua hành vi của cá nhân, nghĩa là chúng ta không cần phải thực hiện xác thực bằng cách thực hiện các hành động, như cung cấp mật khẩu hoặc quét dấu vân tay