Xác thực (authentication) là một phần không thê thiếu được của kiến trúc bảo
mật của một mạng riêng ảo VPN. Trừ khi hệ thống mạng có thể xác thực đúng
một cách đáng tin cậy những người dùng, những dịch vụ và các mạng, chúng ta có
thể không cần phải điểu khiển truy cập đến các tài nguyên dùng chung và ngăn chặn những người dùng bất hợp pháp (unauthorized) truy cập vào mạng.
Xác thực được dựa trên ba thuộc tính sau: Cái gì ta có (một khóa hay một token card), cái gì ta biết (mật khẩu), cái gì nhận dạng ta (giọng nói, vân tay, võng
mạc ...). Những chuyên gia về bảo mật cho rằng một giải pháp xác thực đơn ví dụ như mật khẩu thì sẽ không đủ mạnh để bảo mật hệ thống thay vào đó nên sử dụng các biện pháp xác thực sâu hơn hay sử dụng ít nhất hai trong số các thuộc tính nêu trên.
Sự đa dạng của hệ thống mạng riêng ảo VPN hiện nay dựa trên các phương pháp xác thực khác nhau hay kết hợp giữa chúng. Có thể phân loại theo các cách sau: Mật khẩu truyền thống, mật khẩu một lần (S/Key) hay các hệ thống mật khẩu khác (PAP, CHAP,TACACS và RADIUS), hay dựa trên cơ sở phần cứng (token,
smart card, PC card) và các nhận diện sinh trắc học (biometric ID) như dấu vân
tay, giọng nói, quét võng mạc .... 3.2.1 Mật khẩu truyền thống:
Người ta công nhận rằng, các loại xác thực đơn giản như số ID của người dùng, mật khẩu không đủ mạnh cho việc bảo mật truy cập mạng. Mật khẩu có thể bị đón bắt và giữ lấy trong suốt quá trình truyền dữ liệu của mạng. Do vậy, hệ
thống mật khâu một lần có thể được xem là phương pháp tốt đối với một số vấn đề
xay ra xung quanh việc sử dụng mật khâu truyền thống.
3.2.2 Mật khẩu một lần OTP (One —- Time Password):
Một cách ngăn chặn việc sử dụng trái phép các mật khẩu bị giữ lại là ngăn
không cho chúng được dùng trở lại, bằng cách yêu cầu một mật khẩu mới cho mỗi
phiên làm việc mới.
Những hệ thống này trong đó có S/Key là một ví dụ điển hình, loại bỏ khó khăn của người dùng khi luôn luôn phải chọn một mật khẩu mới cho mỗi phiên
chấp nhận được cho người dùng. Ví dụ như IETE thực hiện tiêu chuẩn S/Key theo
RFEC 2289.
S/Key dùng một nhóm thông qua bí mật, được tạo bởi người dùng cho việc
tạo ra một tuần tự của các mật khâu một lần OTP. Nhóm thông qua bí mật của
người dùng không bao giờ di chuyển vượt qua máy tính trong mạng nội bộ và không đi chuyển trên mạng, do đó nó không là đối tượng cho các cuộc tấn công.
Cũng như vậy, vì mỗi OTP khác nhau được tạo riêng cho mỗi phiên làm việc do
đó cho dù mật khẩu bị chiếm giữ cũng không thê sử dụng cho phiên làm việc tiếp
theo đo mật khẩu bị chiếm giữ không mang lại cho người tấn công bất kỳ thông tin
nào về mật khẩu được sử dụng trong phiên làm việc tiếp theo.
Một chuỗi tuần tự các OTP được tạo ra bằng cách áp dụng một hàm băm bảo
mật (secure hash function) đến các bản tin đã được tạo ra trong bước khởi tạo. Nói
cách khác, OTP đầu tiên được tạo ra bởi việc chuyển bảng tin tóm tắt (message digest) qua hàm băm N lần, trong đó N được quy định bởi người dùng, OTP kế (adsbygoogle = window.adsbygoogle || []).push({});
tiếp được tạo ra bởi việc chuyển bảng tin tóm tắt qua hàm băm N-1 lần cứ như vậy
cho đến khi tạo ra được OTP thứ N.
Khi một người dùng cố gắng đăng nhập vào mạng, máy chủ của mạng có khả
năng S/Key bảo mật đưa ra một con số thách đố gồm một con số và chuỗi các ký
tự gọi là seed. Đề đáp ứng thách đố, người dùng nhập vào con số thách đố và seed kèm theo nhóm thông qua bí mật riêng của mình vào phần mềm phát S/Key chạy trên máy tính của mình. Phần mềm này sau đó kết hợp nhóm thông qua bí mật với
seed và nhắc hàm băm hoạt động lặp lại với số lần lặp lại phụ thuộc vào con số
thách đồ và cho ra kết quả là một OTP.
OTP được gởi đến máy chủ mạng, cũng lặp lại hàm băm và so sánh kết quả với OTP đã được lưu trữ được dùng cho hầu hết các đăng nhập hiện tại. Nếu phù
hợp, người dùng sẽ được phép đăng nhập vào mạng, con số thách đồ này bị giảm
đi, OTP cuối cùng được giữ lại cho lần đăng nhập kế tiếp.
Giống như S/Key, các hệ thống OTP yêu cầu phần mềm của máy chủ được
cập nhật để thực hiện các tính toán được yêu cầu và do đó mỗi máy tính từ xa có
một bản sao chép của phần mềm dành cho khách hàng. Nhược điểm của các hệ
thống này là khó có thể quản trị những danh sách mật khâu cho một số lượng lớn người dùng.