Kiểm soát truy cập và xác thực

Một phần của tài liệu Giáo trình Thương Mại điện tử căn bản Đại học Thương Mại (Trang 118 - 120)

Quy trình mua hàng sử dụng thẻ

7.4.1.1. Kiểm soát truy cập và xác thực

* Danh sách kim soát truy cp

Kiểm soát truy cập và xác thực thuộc loại những vấn đề đơn giản nhất của an tồn mạng. Kiểm sốt truy cập xác định ai (người hoặc máy) được sử dụng hợp pháp các tài nguyên mạng và những tài nguyên nào họ được sử dụng. Cịn tài ngun có thể là bất kỳ cái gì: các trang Web, các file văn bản, cơ sở dữ liệu, các ứng dụng, các máy chủ, máy in, hoặc các nguồn thông tin, các thành phần mạng khác.

Thông thường, một danh sách kiểm soát truy cập (ACL- Access Control List) xác định những người dùng nào có quyền truy cập và với những quyền truy cập nào đến những tài nguyên nào (ví dụ, đọc, viết, in, copy, xóa, sửa, di chuyển…). Ngầm định, các quyền của người dùng thường là một hệ thống tất cả các quyền truy cập đầy đủ hoặc hồn tồn khơng được truy cập. Đó là xuất phát điểm, tuy nhiên, sau đó cần điều chỉnh quyền truy cập của từng người dùng cụ thể. Quá trình này thường được đơn giản hóa bằng cách xác lập các vị trí hoặc nhóm người dùng (ví dụ, nhóm quản trị hệ thống, nhóm đại diện bán hàng, phịng marketing sản phẩm, các đối tác thương mại…), xác định quyền truy cập đối với mỗi vị trí hoặc mỗi nhóm, có thể cụ thể hóa quyền của các cá nhân trong nhóm. Người dùng thường được cấp mã số truy cập cá nhân (ID), các mã số này thường được kiểm tra khi người dùng truy cập lần đầu vào hệ thống.

* S dng mt khu và th trong kim soát truy cp và xác thc

Một khi người dùng đã được xác định, người dùng cần được xác thực. Xác thực là quá trình kiểm tra xem người dùng có đúng là người xưng danh hay không. Việc kiểm tra thường dựa trên một hoặc nhiều đặc điểm phân biệt người đó với những người khác. Các đặc điểm có thể dựa trên một cái gì đó mà chỉ một người biết (ví dụ như mật khẩu), hoặc một cái gì đó người đó có (ví dụ chiếc thẻ), hoặc cái gì đó là đặc tính vốn có (ví dụ vân tay). Theo truyền thống, việc xác thực dựa trên các mật khẩu, tuy nhiên, sử dụng mật khẩu có độ an tồn khơng cao vì nhiều người dùng có thói quen ghi mật khẩu vào các vị trí dễ nhìn thấy, lựa chọn các giá trị dễ đốn biết, hoặc sẵn lịng cho những người khác biết mật khẩu của mình khi được yêu cầu.

Mức độ bảo mật cao hơn đạt được dựa trên việc kết hợp một cái gì đó mà chỉ một người biết với một cái gì đó mà người đó có. Kỹ thuật đó được biết đến như xác thực hai yêu tố. Thẻ(tokens) được phân loại như cái gì đó mà người đó có. Thẻ có các hình dáng và kích thước khác nhau. Thẻ bị động là một thiết bị lưu trữ có chứa mã bí mật. Phần lớn thẻ bị động là thẻ nhựa có gắn dải từ. Người dùng cà thẻ bịđộng vào một đầu đặt gắn kết với máy tính hoặc trạm cơng tác, sau đó nhập mật khẩu và nhận được quyền truy cập vào mạng.

Thẻ chủ động thường là một thiết bị điện tử nhỏ độc lập (ví dụ thẻ thơng minh, máy tính bỏ túi, USB…) có khả năng sinh ra mật khẩu một lần. Trong trường hợp này, người dùng nhập số PIN vào thẻ, thẻ sinh ra mật khẩu, mật khẩu này chỉ được dùng một lần, và người dùng sử dụng mật khẩu này để truy cập.

* Các hệ thống sinh trắc trong xác thực

Xác thực hai yếu tố có thể dựa trên đặc tính vốn có của một người. Soi vân tay, mống mắt, hệ thống nhận dạng khn mặt, nhận dạng giọng nói là các ví dụ về các hệ thống sinh trắc cho phép nhận biết một người qua các các dấu hiệu cơ thể. Các hệ thống sinh trắc học có thể định dạng (Identify) được một người trong số những người dùng bằng cách tìm kiếm các dữ liệu đã lưu trữ trong cơ sở dữ liệu để so sánh với các dấu hiệu vừa nhận biết, hoặc kiểm tra (verify) nhận dạng một người qua so sánh dữ liệu các dấu hiệu vừa nhận biết với các version đã lưu trữ từ các lần truy cập trước. Việc kiểm tra sinh trắc học đơn giản hơn nhiều so với định dạng, do vậy kiểm tra sinh trắc học là quá trình thường được sử dụng trong xác thực hai yếu tố.

Trong những năm qua, công nghệ an ninh sinh trắc học phát triển còn chậm, tuy nhiên thời gian gần đây càng có nhiều tổ chức quan tâm đến công nghệ này. Nhiều tổ chức tài chính quan tâm sử dụng kết hợp thẻ thơng minh và sinh trắc học để xác thực khách hàng và đảm bảo tính chống phủ định trong các giao dịch ngân hàng trực tuyến và các giao dịch thương mại. Các nhà cung ứng các hệ thống POS tìm kiếm sử dụng sinh trắc bổ sung thêm vào hệ thống xác nhận chữ ký đối với các giao dịch thẻ tín dụng. Sinh trắc cũng được thử nghiệm trong an ninh quốc gia và các ứng dụng chính phủ điện tử, bao gồm an ninh hàng không, kiểm tra hộ chiếu, các dịch vụ công cộng.

Sinh trắc học bao gồm sinh trắc học sinh lý và sinh trắc học hành vi. Sinh trắc học sinh lý dựa trực tiếp trên các đo đạc các bộ phận khác nhau của cơ thể. Ngược lại, sinh trắc học hành vi dựa trên các hành động khác nhau và không trực tiếp từ các bộ phận khác nhau của cơ thể.

Trong thực tế, sinh trắc học sinh lý được sử dụng thường xuyên hơn so với sinh trắc học hành vi. Trong số các sinh trắc học sinh lý, nhận dạng vân tay, mống mắt, bàn tray và khuôn mặt là phổ biến hơn cả.

Để triển khai một hệ thống xác thực sinh trắc học, các đặc tính sinh học hoặc hành vi của người tham gia cần được ghi lặp nhiều lần với các bố trí khác nhau, và giá trịtrung bình được sử dụng để tạo ra dạng mẫu (template) sinh trắc học, hay mẫu nhận dạng. Dạng mẫu được lưu trữtrong cơ sở dữ liệu ở dạng chuỗi các số với dung lượng có thể dao động từ vài byte đối với hình dáng tay cho đến vài ngàn byte đối với nhận dạng khn hình mặt. Khi một người sử dụng hệ thống sinh trắc học, việc soi quét trực tiếp được thực hiện, sau đó hình qt được chuyển đổi thành các chuỗi sốvà được so sánh với dạng mẫu lưu trữ trong cơ sở dữ liệu. Dưới đây là một số ví dụ về các mẫu dạng sinh trắc học.

- Quét du vân tay dựa trên sựđo đạc các đường không liên tục trong vân tay của một người. Xác suất trùng dấu vân tay là khoảng 1 phần tỷ. Hiện các thiết bị quét dẫu vân tay gắn với máy tính được cung cấp với giá khơng cao.

- Quét mng mt. Mống mắt là phần có màu của mắt bao quanh đồng tử. Mống mắt có một số

vết đặc biệt có thể được camera nghi nhận ở khoảng cách 3-10 inches so với mắt. Các vết đặc biệt đó có thể tạo nên một mẫu dạng sinh trăc học dùng để so sánh khi nhận dạng.

- Ghi ging nói. Mỗi người có những đặc điểm khác nhau trong giọng nói như cường độ, tần số,

nhịp điệu…, và các đặc điểm này qua một quy trình nhất định, được số hóa và tạo thành các mẫu dạng lưu trữ trong cơ sở dữ liệu và sử dụng để so sánh khi thiết bị scan giọng nói của đối tượng. Trong phần lớn các hệ thống nhận dạng giọng nói, người dùng nói vào microphone hoặc telephone. Lời nói thường là số nhận dạng (ID) hoặc mật khẩu của người dùng. Lần sau, khi người dùng muốn truy cập hệ thống, sẽ nhắc lại những lời đã nghi âm. Thiết bị để ghi giọng nói khá phổ biến và rẻ.

- Kim tra qua thao tác gõ bàn phím. Kiểm tra qua thao tác gõ bàn phím dựa trên giả thiết rằng

cách thức mà người dùng gõ các từ trên bàn phím (áp lực, tốc độ, nhịp độ) là khác nhau giữa người này so với người khác, được ghi nhận và qua một quy trình nhất định, được số hóa và tạo thành các mẫu dạng lưu trữ trong cơ sở dữ liệu và sử dụng để so sánh. Cũng tương tự như trường hợp trước, từ được nhập thường là số nhận dạng (ID) hoặc mật khẩu của người dùng. Trở ngại chủ yếu khi sử dụng phương pháp này là cách thức mà người dùng gõ các từ trên bàn phím khơng ổn định trong các lần gõ khác nhau.

Một phần của tài liệu Giáo trình Thương Mại điện tử căn bản Đại học Thương Mại (Trang 118 - 120)

Tải bản đầy đủ (PDF)

(179 trang)