Chương 1 TỔNG QUAN VỀ THẺ THÔNG MINH
1.4. VẤN ĐỀ XÁC THỰC NGƢỜI DÙNG
1.4.2. Kiểm tra số bí mật
Phƣơng pháp định danh ngƣời dùng phổ biến nhất là nhập một con số bí mật, thƣờng đƣợc gọi chung là cụm chữ viết tắt PIN (số định danh cá nhân), hoặc đôi khi là CHV (Card Holder Value - định danh chủ sở hữu thẻ). Mã PIN thƣờng là một con số gồm 4 chữ số, thƣờng là các số thập phân từ 0 đến 9.
Theo đề xuất của tiêu chuẩn ISO 9564-1, mã PIN nên bao gồm từ 4 đến 12 ký tự gồm chữ lẫn số nhằm giảm thiểu khả năng quyết định mã PIN đúng chỉ qua thử và sai. Tuy nhiên, trong thực tế có thể tình hình lại khác. Ở nhiều nơi, nhập các ký tự là chữ là điều hoàn toàn không thể, vì bàn phím chỉ có các ký tự là số. Số lƣợng ký tự của mã PIN không chỉ căn cứ vào mức độ bảo mật cần có, mà còn phụ thuộc phần lớn vào khả năng ghi nhớ của ngƣời dùng thẻ bình thƣờng. Trong nhiều năm, ngƣời ta đã quen với việc sử dụng mã PIN gồm 4 chữ số. Điều này đồng nghĩa với việc đổi mã PIN sang 6 chữ số là một điều rất khó khăn.
Sinh số PIN
Để tạo mã PIN cho thẻ thông minh, trƣớc hết cần phải có một máy tạo số ngẫu nhiên và một thuật toán giúp chuyển đổi một con số ngẫu nhiên thành một mã PIN đƣợc mã hóa ASCII với độ dài theo quy định. Sau đó có thể sử dụng một bảng gồm nhiều kết hợp nhỏ lẻ đã cho để tìm ra và loại bỏ những mã PIN lẻ. Cuối cùng, phải khôi phục mã PIN trên thẻ. Sau này khi cần thiết sẽ phải dùng lệnh VERIFY (xác minh) để so sánh mã nhập vào thẻ với mã PIN đã nhập vào thẻ từ trƣớc đó.
Kiểm tra tính xác thực của thiết bị đầu cuối
Nhập mã PIN là để xác định danh tính ngƣời sử dụng. Tuy nhiên, ngƣời sử dụng cũng đồng thời muốn đƣợc kiểm tra tính xác thực của thiết bị đầu cuối. Chẳng hạn thử xem xét trƣờng hợp một máy rút tiền giả. Ngƣời nào có ý định lừa đảo, chiếm đoạt tiền có thể dùng máy này để thu thập mã PIN của những ngƣời dùng thiếu cảnh giác. Nếu ngƣời lập máy giả đánh cắp đƣợc thẻ của ngƣời dùng, ngƣời đó có thể dùng mã PIN vừa thu đƣợc qua máy rút tiền giả để rút tiền từ tài khoản của chủ thẻ. Tất cả những điều này đều có khả năng xảy ra vì ngƣời dùng không có cách nào kiểm tra tính xác thực của thiết bị đầu cuối.
Tuy nhiên, có một quá trình có thể áp dụng để ngăn chặn tình trạng đánh cắp mã PIN này. Đó là lƣu giữ mật khẩu trong một file trong thẻ. Mật khẩu này chỉ có ngƣời dùng thẻ biết và cũng chỉ có thể đƣợc thay đổi bởi chủ thẻ. Đó có thể là một cái tên hay một con số do chủ thẻ lựa chọn. Hệ điều hành thẻ thông minh chỉ cho phép truy nhập vào file này, khi thiết bị đầu cuối đã đƣợc thẻ kiểm tra tính xác thực.
Việc đầu tiên sau khi ngƣời dùng thẻ đƣa thẻ vào thiết bị đầu cuối là tƣơng tác xác thực đƣợc thực hiện giữa thẻ và thiết bị đầu cuối. Nếu thao tác này thành công, mỗi bên sẽ biết đƣợc bên kia có xác thực hay không. Sau đó thẻ mới cho phép truy nhập vào file chứa mật khẩu của ngƣời sử dụng hiển thị trên thiết bị đầu cuối. Mật khẩu của ngƣời dùng hiện lên tức là thiết bị đầu cuối đó là thiết bị đảm bảo, vì nếu đã không thể truy nhập vào file đó. Ngƣời dùng lúc này có thể nhập mã PIN an toàn.
Hình 24. Quá trình kiểm tra PIN đƣợc nhập bởi terminal hợp lệ