Khóa USB dễ dùng và nhỏ gọn. Về chức năng, khóa USB có gắn chip tương đương với smartcard cộng với bộ đọc (hầu như tất cả máy tính hiện nay đều có cổng USB).
Giống như thiết bị đọc thẻ chip loại kết nối, thường người dùng cần phải cài đặt phần mềm trên máy tính mới có thể làm việc với khóa USB. Tuy nhiên, cũng có những giải pháp "portable" cài sẵn phần mềm ngay trên thiết bị USB, phần mềm này có thể tự chạy khi khóa USB được gắn vào máy tính.
Một số khóa USB có thêm mã PIN bảo vệ hay dùng một dạng nào đó khác để xác thực người dùng chẳng hạn như quét vân tay.
5. Sinh trắc
Đa phần các thiết bị chúng ta xem xét ở trên đều có thể kết hợp với thiết bị quét dấu hiệu sinh trắc như vân tay hay con ngươi để xác thực người dùng. Nhận dạng sinh trắc "dương" sẽ mở khóa tính năng của thiết bị; thiết bị này vẫn cần sinh ra một dạng mật mã nào đó để chứng minh với máy chủ xác thực. Ví dụ thiết bị đọc thẻ chip thông thường đi kèm với bàn phím số cho phép người dùng nhập vào mã PIN và tự xác thực thẻ chip trước khi sinh mật mã. Bàn phím nhập mã PIN có thể được thay bằng thiết bị quét vân tay thân thiện với người dùng hơn.
Tuy dễ dùng, có triển vọng và thời thượng, nhưng các bộ cảm biến sinh trắc hiện vẫn còn khá đắt.
<!-- [endif]-->
Chống phishing?
Giải pháp xác thực hai khóa khắc phục được vấn đề rò rỉ password. Ví dụ nếu có ai đó biết được password của bạn, họ vẫn không thể thực hiện giao dịch trực tuyến với danh nghĩa của bạn vì không có khóa hai. Tương tự, nếu khóa hai bị thất lạc, nó cũng
vô dụng đối với ai đó vô tình có được vì họ không có password.
Một câu hỏi thú vị đặt ra là liệu khóa hai có giải quyết được vấn đề phishing hay không. Thuần túy về mặt kỹ thuật, câu trả lời là không. Giả sử có kẻ thiết lập một site phishing giả mạo website ngân hàng mà bạn giao dịch (ngân hàng này có áp dụng giải pháp xác thực hai khóa). Nếu bạn cung cấp password của mình và mật mã khóa hai cho site giả mạo, kẻ đó có thể được dùng ngay thông tin này. Hay là, kẻ đó có thể thay đổi bất kỳ giao dịch nào trong phiên làm việc của bạn theo hướng có lợi cho hắn (chẳng hạn chuyển tiền vào tài khoản của hắn thay vì tài khoản đối tác của bạn). Tuy nhiên khóa hai không phải vô ích. Cụ thể, nó tác động về mặt kinh tế đối với phishing. Tuy tất cả những kẻ tấn công phishing đều quan tâm đến việc thu thập thông tin nhạy cảm (như số thẻ tín dụng, password tài khoản ngân hàng...), nhưng chỉ có một số ít quan tâm đến việc sử dụng những thông tin này, còn phần đông rao bán trên thị trường "đen". Ít ra, khóa hai sẽ gây khó khăn hơn cho việc sử dụng những thông tin đánh cắp này và làm giảm lợi nhuận của phishing.
Nếu khóa hai trở nên phổ biến, các kẻ tấn công phishing có thể sẽ thay đổi cuộc chơi và các cuộc tấn công thời gian thực sẽ ngày càng nhiều hơn. Tóm lại, khóa hai cũng không đủ bảo vệ an toàn về lâu dài, nhưng hiện tại nó được việc.
Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.
Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.
► Thông tin liên quan: Bảng:
Tin tặc tấn công đánh cắp tài khoản để truy cập thông tin nhạy cảm của người dùng, vì mục đích lợi nhuận (như tài khoản ngân hàng) hay mục đích khác. Tổng quát, tấn công đánh cắp tài khoản có thể phân thành 2 loại: thụ động và tích cực.
Tấn công thụ động
Là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có 2 dạng: trực tuyến (online) và ngoại tuyến (offline).Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản của nạn nhân.
Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu “tay nghề” cao và cũng không tốn bất kỳ chi phí nào.
Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với
nạn nhân thực hiện.
. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống “lỏng lẻo” hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.
Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của ComputerWorld). Hình thức phổ biến nhất của tấn công online là phishing.
Chi phí cho tấn công online chủ yếu dùng để mua danh sách email, danh sách máy tính “yếu” có thể đặt website giả mạo hay đặt hàng viết chương trình phá hoại.
Tấn công dạng này thường do tin tặc có “tay nghề” thực hiện.
Tấn công chủ động
Là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Kiểu tấn công "man- in-the middle" tạo website giả mạo đứng giữa người dùng và website thực là một ví dụ của tấn công chủ động.
Kiểu tấn công chủ động không phải là vấn đề bảo mật hiện nay nhưng chúng sẽ là
vấn đề trong tương lai gần.
Khi việc xác thực hai khóa trở nên phổ biến và kiểu tấn công thụ động không còn tác dụng, bọn tội phạm sẽ phải dùng đến kiểu tấn công chủ động tinh vi hơn. Các công ty, đặc biệt là các tổ chức tài chính, cần chuẩn bị cho người dùng đối phó với làn sóng
tấn công thứ hai này.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc" sang các website lừa đảo.
