dùng. Kẻ tấn công có thể dễ dàng lấy dữ liệu họ muốn từ Internet, đặc biệt là qua mạng xã hội. Sử dụng những hình ảnh và video đó, có thể đơn giản để gian lận một hệ thống nhận diện khuôn mặt [35].
• Tấn công vào nhận dạng mống mắt: Với sự phát triển của camera độ phân giải cao, việc đánh cắp hình ảnh mống mắt và tấn công hệ thống nhận diện dựa trên mống mắt là có thể hiện nay [36]. Tuy nhiên, một thiết kế quang học cao cấp luôn đòi hỏi một mức giá cao. Nói cách khác, chi phí của loại tấn công này là tương đối cao.
• Tấn công vào dấu vân tay và dấu bàn tay: Nhiều loại vật liệu có thể được sử dụng để tạo ngón tay giả, chẳng hạn như gel silica, latex, gelatin, v.v. Dấu vân tay có thể được thu thập từ bề mặt mà người dùng đã chạm vào. Trong nghiên cứu của Blanco Gonzalo và cộng sự [37] đã khám phá cách dễ dàng tấn công thành công hệ thống xác thực vân tay bằng ngón tay giả được sản xuất từ các vật liệu phổ biến.
• Tấn công vào giọng nói: Giọng nói cũng là một loại tín hiệu sinh học có thể dễ dàng thu thập, vì âm thanh truyền theo mọi hướng trong môi trường mở.
Nếu kẻ tấn công ghi lại giọng nói của người dùng và phát lại trong khi xác thực người dùng, hệ thống xác thực dựa trên giọng nói rất có thể bị qua mặt [38].
2.4 Đánh giá các công trình nghiên cứu liên quan
Dựa trên một số tiêu chí các phương pháp xác thực được phân loại thành ba nhóm chính gồm:
• Nhóm phương pháp xác thực dựa trên kiến thức của người dùng (Knowledge- based)
• Nhóm phương pháp xác thực dựa trên quyền sở hữu (Ownership-based)
• Nhóm phương pháp xác thực dựa trên đặc trưng sinh trắc học của người dùng (Biometrics-based)
2.4. Đánh giá các công trình nghiên cứu liên quan
Một số phương pháp xác thực phổ biến hiện nay tương ứng với từng nhóm được thể hiện trong Bảng 2.1.
Bảng 2.1: Một số phương pháp xác thực được phân loại theo nhóm
Knowledge-based Ownership-based Biometrics-based
ID/Passwords NFC Fingerprints
PIN code RFID Face
Lock pattern Physical keys Voices
Graphical password Smart card Iris
Challenge response Hardware token Retina Smart phone/Smart watch Palm
Gestures
Một số hạn chế và điểm yếu của các nhóm phương pháp xác thực người dùng được tổng hợp trong Bảng 2.2. Trong quá trình hiện thực cần được lưu ý khắc phục và cải tiến các điểm yếu nhằm nâng cao hiệu quả xác thực của hệ thống.
Bảng 2.2: Một số điểm yếu và hạn chế của các nhóm phương pháp xác thực 2
Knowledge-based Ownership-based Biometrics-based
Keylogging Usability Forgery method
Shoulder surfing High costs Accuracy issue
Brute force attack MITM attack Surgery and scars Dictionary attack Losing devices High Costs
Screen capturing Stealing token Lights and clothes MITM attack Required additional hardware Replay attack
Memorability MITM attack
Nhược điểm đầu tiên của phương pháp xác thực dựa trên kiến thức người dùng chính là người dùng phải nhớ quá nhiều thông tin. Như trong phương pháp xác thực dựa trên ID/Mật khẩu, người dùng phải nhớ rất nhiều mật khẩu khác nhau (vì người dùng có nhiều tài khoản trên nhiều hệ thống khác nhau), thêm vào đó những mật khẩu đa số là phức tạp và khó nhớ (người dùng được yêu cầu sử dụng mật khẩu vừa chứa ký tự chữ vừa chứa ký tự số, phải có ký tự chữ viết hoa và quy định về độ dài tối thiểu, v.v.) [39].
2Barkadehi, M.H., Nilashi, M., Ibrahim, O., Zakeri Fardi, A., Samad, S., Authentication Systems: A Literature Review and Classification, Telematics and Informatics (2018), doi:
https://doi.org/10.1016/j.tele.2018.03.018
2.4. Đánh giá các công trình nghiên cứu liên quan
Nhược điểm thứ hai là phương pháp này có thể bị tấn công cũng như thu thập các thông tin xác thực bằng các phương pháp tấn công như: Brute Force Attack, Dictionary Attack, Rainbow Table Attack, Sniffing Attack, Man in the Middle Attack, Phishing Attack, Social Engineering Attacks, Social Engineering Attack, Shoulder Surfing Attack, Keylogger, v.v [13], [39].
Nhóm xác thực dựa trên quyền sở hữu yêu cầu các thiết bị phần cứng chuyên dụng để có thể xác thực, chi phí cho các thiết bị này rất cao và việc yêu cầu người dùng phải bỏ một khoản tiền ra để mua các thiết bị này nhằm mục đích có thể xác thực tại nhà hay bất cứ đâu là một vấn đề bất khả thi. Bên cạnh đó, người dùng có thể làm thất lạc các vật dùng để xác thực như: thẻ từ, điện thoại thông minh, v.v.
Ở chiều hướng khác, nhóm xác thực dựa trên những đặc trưng sinh trắc học của người dùng khó bị phá vỡ hơn nhóm dựa trên kiến thức người dùng. Tuy nhiên điểm yếu của phương pháp này chính là chi phí phát triển vô cùng cao và bị ảnh hưởng nặng nề bởi những yếu tố ngoại vi như: cường độ ánh sáng [36], tạp âm [38], chất lượng thiết bị thu thập tín hiệu, v.v hay những yếu tố từ chính chủ thể như: thẹo, sức khỏe, phẫu thuật thẩm mỹ, v.v [40].
Một số phương pháp xác thực người dùng được tổng kết và đánh giá trong Bảng 2.3. Mỗi phương pháp sẽ có những ưu nhược điểm riêng qua đó sẽ thích hợp cho từng hệ thống khác nhau. Trong môi trường học tập trực tuyến, mô hình xác thực dựa trên hồ sơ người dùng có những đặc điểm phù hợp và tương thích. Tuy nhiên vẫn có những điểm hạn chế về quyền riêng tư người dùng, cũng như bị tấn công cơ sở dữ liệu chứa hồ sơ người dùng để có thể vượt quá bước xác thực trái phép. Vì lý do này tác giả đề xuất một phương pháp cải tiến để giải quyết các vấn đề nêu trên. Phương pháp tiếp cận sẽ được trình bày cụ thể trong Chương 4.
3Q. Luu, D. Nguyen, H. Pham and N. Huynh-Tuong, "Authentication in E-learning systems:
Challenges and Solutions",2019 Symposium on Computer Science & Engineering (SCSE), Ho Chi Minh City, Vietnam, 2019.
2.4. Đánh giá các công trình nghiên cứu liên quan
Bảng 2.3: Đánh giá một số phương pháp xác thực người dùng phổ biến3
Phương pháp Ưu điểm Nhược điểm TK
ID/Password based
- Đơn giản và dễ sử dụng - Chi phí phát triển và vận hành thấp
- Mật khẩu entropy thấp dễ bị tấn công từ điển - Phải đổi mới thường xuyên để đảm bảo an toàn
[39]
[41]
[5]
User profile based
- Không yêu cầu các thiết bị chuyên dụng
- Chi phí phát triển và vận hành thấp
- Cần xem xét sự riêng tư của dữ liệu người dùng - Không đảm bảo tính toàn vẹn và bí mật của dữ liệu của người dùng
[41]
[42]
Smart card based
- Đa dịch vụ và linh hoạt - Dễ sử dụng
- Đảm bảo toàn vẹn dữ liệu
- Chỉ có thể được sử dụng với sự trợ giúp của các thiết bị đặc biệt có thể đọc được thẻ thông minh - Có thể bị lạm dụng danh tính nếu thẻ bị đánh cắp hoặc bị mất
[17]
[16]
Biometrics based
- Cải thiện trải nghiệm người dùng
- Không thể bị quên hoặc bị mất
- Yêu cầu tích hợp các phần cứng chuyên dụng - Các tính năng sinh trắc học không thể sử dụng được nếu bị xâm phạm - Môi trường và cách sử dụng có thể ảnh hưởng đến các phép đo
- Chi phí phát triển và vận hành cao
[41]
[36]
[25]
[38]
[40]
Multifactor based
- Càng nhiều yếu tố được sử dụng để xác định danh tính của một người, độ tin cậy của tính xác thực càng cao
- Có thể gây ra nhiều bất tiện cho người dùng - Khó khăn khi kết hợp các phương pháp - Chi phí phát triển và vận hành cao
[43]
[44]
3 Kiến thức nền tảng