Có nhiều giải pháp để đảm bảo an toàn trong Mobile Banking nhưng biện pháp giáo dục ý thức của người dùng là một trong những biện pháp đơn giản ít tốn kém nhưng lại có hiệu quả rất cao nêu được người dùng quan tâm và làm theo. Hầu hết các dạng tấn công Phishing, Spoofing hay Vishing đều có thể chặn đứng nếu người dùng dịch vụ nhận thức đúng đắn và thực hiện các quy tắc an toàn theo khuyến cáo của các chuyên gia về bảo mật ngân hàng. Ngoài biện pháp giáo dục nhận thức cho người dùng thì các ngân hàng cũng đồng thời triển khai nhiều biệ pháp công nghệ cao khác để đảm bảo an toàn cho hệ thống dịch vụ của mình. Những yếu tố cơ bản để đảm bảo an toàn cho Mobile Banking là :
An toàn dữ liệu trên đường truyền: dữ liệu trên đường truyền giữa khách hàng và ngân hàng phải có biện pháp mã hóa để đảm bảo tính bí mật.
Kiểm soát việc truy cập dữ liệu của phần mềm: trước khi có thể tiếp cận được dữ liệu nhạy cảm phải trải qua hàng loạt các bước xác thực để đảm bảo người dùng hợp pháp mới thể truy nhập vào hệ thống.
80
Tính toàn vẹn dữ liệu phải được đảm bảo: các dữ liệu nhạy cảm lưu trên điện thoại phải đươc bảo vệ chống lại việc sửa đổi hay xóa dữ liệu trái phép.
Giảm thiểu tối đa ảnh hưởng từ việc mất mát thiết bị (điện thoại): các dịch vụ Mobile Banking phải được thiết kế sao cho giảm thiểu tối đa nguy cơ nếu xảy ra việc mất mát điện thoại phía khách hàng. Khi điện thoại bị mất phải có phương án khóa máy từ xa hoặc xóa dữ liệu nhạy cảm từ xa, điều này sẽ giúp khách hàng tin tưởng và sử dụng dịch vụ của ngân hàng nhiều hơn.
Kết luận: Chương 4 tìm hiểu tổng quát về dịch vụ Mobile Banking cùng các hình thức, ưu nhược điểm của các hình thức Mobile Banking trong thực tế.
Chương này cũng đề cập đến một số hình thức tấn công trên Mobile Banking và
các nguyên tắc đảm bảo an toàn trong Mobile Banking. Do thời gian làm khóa luận có hạn, lĩnh vực bảo mật trên Mobilbe Banking chưa được đề cập tới và sẽ là
81
Tổng kết khóa luận
Khóa luận với chủ đề “Nghiên cứu các phương pháp bảo mật trong Internet Banking và Mobile Banking ” đã đạt được một số kết quả sau:
Tìm hiểu hoạt động của Internet Banking trên thế giới cũng như ở Việt Nam Những khó khăn thách thức về an toàn khi giao dịch Internet Banking
Một số giải pháp kỹ thuật góp phần xây dựng lên hệt hống bảo mật của Internet Banking
Khái quát về Mobile Banking
Một số đóng góp của tôi trong khóa luận này như:
Hoàn thiện chương trình sinh mật khẩu một lần dựa trên hệ thống S/Key One Time Password
Do thời gian thực hiện khóa luận có hạn cũng như hạn chế về mặt trình độ nên nội dung khóa luận không tránh khỏi những thiếu xót cần phải bổ sung. Trong thời gian tới nếu có điều kiện tôi sẽ nghiên cứu thêm về:
Xây dựng hệ thống xác thực bằng mật khẩu một lần trên nền web giữa client và server
82
Danh sách tài liệu và nguồn tham khảo
1. Tài liệu tiếng việt
[1] Báo cáo dự án xây dựng hệ thống bảo mật cho ngân hàng Sacombank của FPT 2009.
[2] Nguyễn Như Bằng - Giải pháp bảo vệ toàn diện cho các ứng dụng web http://www.misoft.com.vn/?q=vi/news/giai-phap-bao-ve-toan-dien-cho-cac-ung- dung-web.html
[3] Luật Giao Dịch Điện Tử Việt Nam 2005.
[4] VNISA - Tài liệu ngày an toàn thông tin việt nam 2009.
[5] Vũ Bảo Thạch - An toàn bảo mật cho các giao dịch ngân hàng: chữ ký số, chứng chỉ số tạp chí tin học ngân hàng số 5/2007.
2. Tài liệu tiếng anh
[1] Admin National Banks - Comptroller’s Handbook Internet Banking Handbook 1999.
[2] Andrew Y. Lindell - Time vs Event Based One Time Password - 2007 .
[3] Kelvin Chikomo, Ming Ki Chong, Alapan Arnab, Andrew Hutchison - Data Networks Architecture Group Department of Computer Science University of Cape Town - Security of Mobile Banking.
[4] Mobile marketing association – Mobile Banking Overview 1/2009.
[5] Online banking security 7th 2007 Tài liệu của ngân hàng Bundesverband Đức.
3. Ngoài các nguồn tài liệu trên tôi còn tham khảo thông tin từ mạng Internet, tiêu biểu là các site như wikipedia.org
83
Phụ Lục: Chương trình demo sinh mật khẩu một lần (One Time Password) dựa trên hệ thống S/Key One Time
Password System
1.Chi tiết về hệ thống S/Key One Time Password System
1.1 Tổng quan
Là hệ thống chứng thực nhằm bảo vệ mật khẩu người dùng khỏi bị tấn công bị động. Hệ thống này có thể dễ dàng tích hợp vào các hệ thống linux hay các thiết bị đầu cuối của người dùng mà không cần thêm các thiết bị khác, không lưu trữ mật khẩu dưới dạng clear text.
1.2 Mục tiêu của hệ thống
Chống tấn công nghe lén trên đường truyền, không chống được tấn công man in the middle.
Dễ dàng sử dụng. Thuật toán phổ biến.
Không lưu password dạng clear text.
1.3 Mô tả hoạt động của hệ thống a.Sử dụng hàm băm một chiều
Hàm băm y=f(x) sao cho dễ dàng tính y từ x nhưng rất khó để tính x từ y. Các hàm băm được sử dụng là MD4 và MD5.
b.Quá trình sinh OTP
Khi người dùng muốn đăng nhập vào hệ thống, server sẽ gửi cho người dùng 2 giá trị là sequence và challenge. Khi người dùng nhập giá trị này vào chương trình và lựa chọn thuật toán băm phù hợp (MD4 hay MD5) chương trình sẽ trả về giá trị OTP duy nhất dưới dạng một chuỗi gồm 6 từ tiếng anh, người dùng sử dụng OTP này để đăng nhập vào hệ thống. Chi tiết quá trình tạo OTP như sau:
Chương trình nối giá trị mật khẩu của người dùng và giá trị challenge do người
dùng nhận từ server vào thành một chuỗi
Chuỗi này sẽ được băm theo số sequence lần, ví dụ sequence =123 thì hằm băm sẽ băm chuỗi tạo ra ở trên 123 lần tạo ra một chuỗi 128bit,chuỗi 128 bit này qua phép XOR tạo thành chuỗi 64bit, từ chuỗi 64 bit sẽ được convert thành một dãy 6 từ tiếng anh để thuận tiện cho việc nhập liệu của người dùng.
84
Mật khẩu OTP này được dùng một lần, chống được tấn công bị động vì lần sau truy cập vào hệ thống server sẽ giảm sequence đi 1 còn 122, giảm đến khi nào còn >0 sau đó sẽ thay bằng một giá trị challenger và giá trị sequence mới. Hacker dù có biết OTP thứ 123 thì ko thể tính ngược OTP thứ 122 được vì hàm băm có tính một chiều nên mật khẩu là an toàn.
c.Kiểm tra OTP
Phía server cũng thực hiện quá trình tương tự như phía client để tính ra OTP và so sánh giá trị này với giá trị mà người dùng phía client nhập vào, nếu trùng khớp vì quá trình xác thực là hợp lệ, nếu không trùng khớp vì phải thực hiện lại quá trình xác thực.
2.Chương trình sinh mật OTP dựa trên hệ thống S/Key OTP System
2.1.Mô tả chương trình
Ngôn ngữ sử dụng : JAVA
Input: người dùng nhập vào mật khẩu bí mật của mình và nhập vào yêu cầu từ
server( số thứ tự sequence và challenge ).
Output: One Time Password dưới dạng một câu tiếng anh 64 bit gồm 6 từ.
Hàm băm: Sử dụng hàm băm với 2 tùy chọn là MD4 và MD5
Hoạt động theo nguyên tắc của hệ thống S/Key OTP System tham khảo chi tiết tại các RFC 2289, 1938, 1320.
2.2.Code
Các thuật toán chính của chương trình (md4,md5…) sử dụng mã nguồn mở từ địa chỉ http://otp-java.sourceforge.net/ , sinh viên chỉ viết class thực thi main.java và xây dựng class giao diện GUI.java của chương trình trên Netbeans IDE. Chương trình gồm các class sau:
MD.java; MD4.java; MD5.java thực hiện việc tính toán hàm băm.
Otp.java chứa các hàm thực hiện việc tính toán ra mật khẩu OTP. Main.java là class chứa hàm chính của chương trình.
GUI.java là class chứa giao diện của chương trình. 2.3.Hình ảnh hoạt động
85