3.1.1. Khái niệm
Phương pháp truyền thống để xác thực người sử dụng là dùng tên tài khoản và mật khẩu đã được áp dụng từ rất lâu và bộc lộ nhiều khuyết điểm, hiện nay phương pháp trên được coi là phương pháp xác thực yếu bởi tin tặc có thể đánh cắp được thông tin về tên tài khoản và mật khẩu của người dùng dưới nhiều hình thức như:
Phương pháp công nghệ cao như: trojan, keylogger, lừa đảo dưới dạng phishing hay pharming…
Phương pháp thủ công: các hành vi nghe trộm, đánh cắp thông tin trái phép, lừa đảo dựa vào lòng tin của khách hàng .
Tuy nhiên vẫn còn nhiều ngân hàng sử dụng dịch vụ internet banking chấp nhận hình thức xác thực bằng tên tài khoản và mật khẩu, đây là điểm yếu được nhiều tin tặc nhắm tới. Để giải quyết những hạn chế của phương pháp xác thực cổ điển trên, đã ra đời rất nhiều phương pháp xác thực mới nhằm tăng cường tính bảo mật cho cho khách hàng cũng như các dịch vụ của ngân hàng. Các hệ thống xác thực mạnh thường dựa vào 3 yếu tố cơ bản sau:
Thông tin người dùng biết: có thể là mật khẩu, số PIN...
Thiết bị người dùng có: có thể là các thiết bị vật lý như token, smartcard, hoặc điện thoại…
Đặc điểm riêng của người dùng: được hiểu là các đặc tính sinh trắc học của người dùng có khả năng xác thực duy nhất như vân tay, mống mắt…
36
Hình 13: Hai yếu tố xác thực thường được sử dụng
Hệ thống xác thực nhiều yếu tố có rất nhiều ưu điểm so với hệ thống xác thực bằng tên và mật khẩu trước đây:
Tăng cường mức độ bảo mật lên một mức cao hơn, an toàn hơn cho cả ngân hàng lẫn khách hàng.
Phòng chống tấn công phishing và pharming: Với việc sử dụng cùng lúc nhiều yếu tố xác thực làm cho việc đánh cắp được mật khẩu của phishing và pharming trở lên vô nghĩa vì vẫn còn thiếu các yếu tố xác thực còn lại.
Có thể xác định được tính chống từ chối cho các giao dịch, điều này không có nếu áp dụng phương pháp bảo mật một yếu tố như trước.
Hệ thống xác thực nhiều yếu tố giúp cho quá trình xác thực là tương tác hai chiều.
Giúp đỡ người dùng thuận tiện hơn, không phải nhớ hay quản lý một dãy các mật khẩu như trước mà chỉ cần sử dụng các thiết bị ngân hàng cung cáp (token, smart card …).