3.4.2.3. Ứng dụng của sinh trắc học trong xác thực
Ứng dụng sinh trắc để thẩm định người dùng
Theo hướng này, người dùng mỗi khi sử dụng hệ thống PKI cần gửi kèm theo thông tin sinh trắc học để chứng minh bản thân. Nói cách khác, thông tin sinh trắc học đó chính là một dạng chứng nhận kèm theo chứng thư số người dùng được cấp. Hoạt động của hướng này có thể hình dung như sau: A muốn yêu cầu một chứng thư số tại CA. Trước hết, A phải có mẫu sinh trắc học lưu tại cơ sở dữ liệu trong hệ thống. Khi đăng ký chứng thư số, ngoài các thông tin thông thường A còn phải gửi kèm theo thông tin sinh trắc học của mình. Ngoài các thủ tục xác minh thông thường, hệ thống còn thực hiện thêm việc đối sánh thông tin sinh trắc học kèm theo đó với mẫu đã lưu. A chỉ được cấp chứng thư khi kết quả đối sánh là khẳng định. Một tình huống khác: B đang dùng khóa cá nhân K, hệ thống muốn kiểm tra tính hợp lệ, xem B có đúng là chủ của khóa cá nhân đó không. Lúc đó, hệ thống sẽ yêu cầu B gửi thông tin sinh trắc học đến để đối sánh với mẫu của chủ khóa cá nhân k đã lưu trong cơ sở dữ liệu. Kết quả đối sánh đúng hoặc sai sẽ quyết định B có quyền được sử dụng tiếp không hay phải dừng lại.
Ứng dụng khóa cá nhân từ sinh trắc học
Theo hướng này, khóa cá nhân được sinh trực tiếp dựa trên đặc trưng sinh trắc học và được dùng để ký các dữ liệu. Ưu điểm lớn nhất của giải pháp này là nó không cần nơi để lưu trữ, do vậy loại bỏ nguy cơ tấn công khóa cá nhân. Mặt khác, hệ thống rất thuận tiện khi bản thân người dùng đã “mang” theo khóa cá nhân để sử dụng ở bất kỳ đâu, không cần thiết phải có đĩa lưu trữ hoặc smartcard. Khóa công khai sẽ được sinh tương ứng với khóa cá nhân này theo thuật toán DSA. Trong trường hợp người dùng có nhu cầu có nhiều khóa cá nhân để dùng trong các hệ thống khác nhau, ta sẽ dùng các hàm băm khác nhau để băm khóa cá nhân. Do tính chất của các hàm băm, mỗi giá trị băm ra có thể được coi là một khóa cá nhân mới để dùng cho các hệ thống khác. Giải pháp này gồm hai pha: Thu nhận mẫu đặc trưng sinh học có độ ổn định cao và sinh khóa cá nhân từ mẫu này.
Ứng dụng sinh trắc học để bảo vệ khóa cá nhân
Theo hướng này, khóa cá nhân sẽ được bảo vệ bởi mật mã sinh trắc học. Người dùng sẽ được lấy mẫu sinh trắc học, từ mẫu sinh trắc học này, hệ thống tạo ra một tập khóa mã, các khóa mã này sẽ được dùng để mã hóa khóa cá nhân, khóa cá nhân được mã hóa bởi các khóa mã khác nhau sẽ được lưu lại (trên Smartcard hay trong CSDL tập trung). Và tập khóa mã cũng như khóa cá nhân sẽ được xóa bỏ sau quá trình mã hóa này, như vậy, ở giải pháp này, rõ ràng đã tránh được nhược điểm sợ mất cắp khóa cá nhân cũng như mất cắp các thông tin về đặc điểm người dùng (đặc trưng sinh trắc học). Khi người dùng muốn lấy khóa cá nhân, họ cũng sẽ phải cung cấp mẫu sinh trắc học và hệ thống cũng tạo ra tập khóa mã từ mẫu sinh trắc học đó, hệ thống sẽ lần lượt
thử các khóa mã xem có giải mã được các khóa cá nhân đã được mã hóa. Nếu có khóa mã giải mã thành công, thì khóa cá nhân sẽ được lấy ra cho người dùng.
3.4.3. Xác thực dựa vào những cái thực thể (đối tượng) có
Những cái mà thực thể (đối tượng) có chẳng hạn như chứng minh thư, chứng chỉ an ninh (Security Token), thẻ thông minh (Smart Card) ,chứng chỉ phần mềm (Software Token) hoặc điện thoại di động....
* Phương pháp xác thực Kerberos
Kerberos sử dụng một bên thứ ba tham gia vào quá trình xác thực gọi là "trung tâm phân phối khóa" (Key Distribution Center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực" (Authentication Server - AS) và "máy chủ cung cấp vé" (Ticket Granting Server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh tính hợp lệ của người sử dụng.
Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh tính hợp lệ của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó.
Kerberos là nền tảng xác thực chính của nhiều hệ điều hành như Unix, Windows…
* Phương pháp Tokens
Tokens là các phương tiện vật lý như các thẻ thông minh (Smart Cards), USB... chứa thông tin xác thực. Tokens có thể lưu trữ số nhận dạng cá nhân – PINs (Personal Identification Numbers), thông tin về người dùng, hoặc mật khẩu.
Các thông tin trên Tokens chỉ có thể được đọc và xử lý bởi các thiết bị đặc dụng. Tokens chứa chuỗi ký tự hoặc giá trị số duy nhất, thông thường mỗi giá trị này chỉ sử dụng một lần.
3.4.4. Xác thực dựa vào những cái thực thể (đối tượng) biết
Chẳng hạn như mật khẩu (password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN)....
* Xác thực dựa trên UserName và Password
Xác thực bằng tên người dùng và mật khẩu là phương pháp xác thực cơ bản nhất và phổ biến nhất. Với kiểu xác thực này, mỗi người dùng sẽ được cung cấp một tên người dùng (Username) và một mật khẩu (Password), khi trao đổi thông tin, tên người dùng và mật khẩu sẽ được đối chiếu với tên người dùng và mật khẩu được lưu trữ trên cơ sở dữ liệu hệ thống, nếu trùng khớp thì người dùng được xác thực và nếu không người dùng sẽ bị cấm truy cập. Đây là một phương thức xác thực không an toàn vì toàn bộ thông tin tên người dùng mà mật khẩu xác nhận người dùng được gửi đi trong tình
trạng "plain text" không được mã hóa bảo vệ, do đó có thể bị nghe trộm trên đường truyền.
Giao thức mật khẩu Needham
Needman đề xuất một phương pháp hiệu quả và đơn giản để lưu trữ an toàn mật khẩu tại máy trạm. Trên máy trạm sẽ sử dụng hàm một chiều để mã hóa mật khẩu tức là mỗi cặp (Username, Password) sẽ được thay thế bằng cặp (Username, f(Password)), trong đó f là hàm một chiều cực kỳ khó nghịch đảo. Như vậy, với phương pháp này mật khẩu đã được đảm bảo an toàn hơn vì đã được mã hóa, nhưng nó vẫn có thể bị tấn công theo hình thức nghe trộm trên đường truyền.
Tấn công mật khẩu trên đường truyền
Là một trong những hình thức tấn công nguy hiểm ít được đề cập đến gần đây. Kẻ tấn công có thể nghe trộm trên đường truyền từ thiết bị đầu cuối (có thể chỉ gồm màn hình, bàn phím, chuột) và CPU trung tâm. Vì vậy nó cũng được gọi là tấn công máy trạm cuối (terminal attack). Với khả năng nghe trộm này, bất cứ thông tin trao đổi qua lại nào giữa thiết bị đầu cuối và CPU đều có thể bị kẻ tấn công ghi lại và sau đó dùng vào thực hiện kiểu tấn công phát lại (replay attack). Vì vậy dù mật khẩu đã được mã hóa trước khi gửi đi cũng không ngăn cản được kẻ địch giả mạo đáp ứng thành công bằng việc đơn giản là phát lại các thông tin dữ liệu đã nghe trộm ở phiên trước đây.
Để ngăn chặn việc tấn công mật khẩu trên đường truyền, Lamport đã đề xuất phương pháp sử dụng mật khẩu một lần.
3.5. Xác thực 2 yếu tố (Two Factor Authentication - 2FA)[6]
Trong thời đại mà hầu hết các giao dịch của con người được thực hiện thông qua mạng internet. Việc chỉ sử dụng cơ chế xác thực bằng mật khẩu là không an toàn. Những cuộc tấn công ăn cắp mật khẩu thường gây ra những hậu quả cực kỳ lớn cho người sử dụng như: mất tiền, mất uy tín, danh dự…
Các phương pháp tấn công mật khẩu mà tin tặc vẫn thường hay sử dụng:
- Phishing: với phương pháp này, tin tặc thường gửi đi một email hoặc một yêu cầu
giả mạo, đề nghị người dùng thực hiện một hành động (chẳng hạn như yêu cầu thay đổi mật khẩu, yêu cầu đăng nhập…) trên trang web của chúng (trang web này là trang giả mảo, thường có giao diện giống với trang web mà người dùng vẫn sử dụng dịch vụ). Khi người dùng nhập Username và Password, các thông tin này sẽ được gửi đến cho tin tặc.
- Malware: là một loại phần mềm độc hại, được cài đặt phi pháp trên các thiết bị
của người dùng. Phần mềm này thường có dạng như một key-lock, nó sẽ ghi lại tất cả những thao tác gõ bàn phím trong đó có chứa thông tin quan trọng của nạn nhân.
- Brute force: tin tặc cố gắng đoán mật khẩu của nạn nhân bằng các kiểm tra các mật khẩu thông dụng nhất.
- Hash cracking: tin tặc tấn công đánh cắp cơ sở dữ liệu, trong đó có mật khẩu đã
được mã hóa (thường sử dụng hàm băm), sau đó sử dụng phương pháp tấn công hàm băm để lấy mật khẩu của nạn nhân.
- Physical: kẻ gian lấy được mật khẩu của người dùng khi họ ghi mật khẩu trên
những nơi không an toàn, hoặc bị kẻ gian quan sát được khi gõ mật khẩu trên bàn phím.
- Retrieval: là phương pháp tấn công mà kẻ gian ăn cắp mật khẩu bằng chức năng
“quên mật khẩu”, sau đó sẽ trả lời các câu hỏi bảo mật mà trang web yêu cầu.
Để chống lại các phương thức tấn công trên, người ta đưa ra giải pháp sử dụng thêm một yếu tố xác thực nữa cho mỗi tài khoản đăng nhập. Phương pháp này gọi là xác thức hai yếu tố (Two - Factor Authentication - 2FA).
3.5.1. Đặc điểm của xác thực hai yếu tố
Xác thực 2 yếu tố cung cấp một lớp bảo vệ thứ 2 cho bất kỳ một loại hình đăng nhập nào, nó đòi hỏi phải có thêm thông tin hoặc một thiết bị vật lý để đăng nhập ngoài mật khẩu của người dùng.
Các yếu tố đó có thể là:
+ Một cái gì đó người dùng biết, chẳng hạn như một số nhận dạng cá nhân (PIN), mật khẩu, một bản mẫu.
+ Một cái gì đó người dùng có, chẳng hạn như một thẻ ATM, điện thoại thông minh với một ứng dụng để xác thực yêu cầu.
+ Một cái gì đó người dùng sở hữu (chẳng hạn như một sinh trắc học là một dấu vân tay hoặc một quét võng mạc).
Vai trò của 2FA
Xác thực hai yếu tố là một trong những cách tốt nhất để bảo vệ chống lại các cuộc tấn công từ xa như lừa đảo, khai thác thông tin xác thực... để tiếp quản trái phép tài khoản của người sử dụng.
Bằng cách tích hợp xác thực hai yếu tố vào các ứng dụng truy cập từ xa, những kẻ tấn công không thể truy cập tài khoản của người sử dụng mà không hoàn thành yếu tố thứ hai.
3.5.2. Một số công nghệ sử dụng cho xác thực hai yếu tố
3.5.2.1. Mật khẩu một lần (One Time Password - OTP)
OTP – One Time Password là loại mật khẩu chỉ dùng một lần và chỉ có giá trị cho một phiên đăng nhập hoặc cho một giao dịch trong một khoản thời gian nhất định.
OTP thường được tạo ra dựa trên các thông tin chia sẻ trước giữa hai bên xác thực, hoặc các sự kiện diễn ra đồng thời ở cả hai bên.
Lợi ích của OTP đó là chống được tấn công phát lại, nghĩa là nếu có một ai đó có thể lấy được thông tin về OTP trong một phiên làm việc thì cũng không thể sử dụng nó để đăng nhập vào lần kế tiếp.
OTP được nhiều tổ chức khuyến cáo sử dụng nhằm tăng tính bảo mật cho tài khoản khách hàng của họ, đặc biệt là trong các hệ thống thương mại điện tử và hành chính điện tử. Sự ra đời của các thiết bị bảo mật theo công nghệ OTP tạo điều kiện thuận lợi cho người dùng trong các giao dịch điện tử.