Khoá Password - Công cụ phòng chống tấn công gian lận trực tuyến

Thứ tư, 31 Tháng mười 2007, 11:36 GMT+7
  • Khoa Password Cong cu phong chong tan cong gian lan truc tuyen

    Password người khác có thể biết, nhưng “cái bạn có” khó ai có được. Đó chính là cơ sở nền tảng của giải pháp xác thực hai khóa có khả năng bảo vệ tài khoản trực tuyến an toàn hơn. Hai khóa tốt hơn một khóa. Không như password, khóa thứ hai (cái người dùng có) thường là một vật hữu hình, đem đến cảm giác “chắc chắn” hơn cho người sở hữu.

    Một ứng dụng đời thường của giải pháp xác thực hai khóa đó là hệ thống ATM. Để rút tiền, người dùng cần phải đưa vào thẻ (cái họ có) và gõ mã số (cái họ biết). Giải pháp xác thực hai khóa có thể chống đỡ tốt hơn các cuộc tấn công gian lận trực tuyến.

    Lâu nay, việc bảo mật trong lĩnh vực CNTT chủ yếu dựa trên một khóa duy nhất: mật khẩu (password). Từ đăng nhập máy tính, phần mềm ứng dụng đến đăng nhập máy chủ công ty và cả website ngân hàng, phương tiện chính để xác thực người dùng chỉ là password (tên đăng nhập hay user name - cũng là một dạng password - không có ý nghĩa bảo mật vì thường không được mã hóa). Thế nhưng, hầu hết các chuyên gia bảo mật đều nhận định password không còn an toàn trước các thủ đoạn tấn công hiện nay. Vấn đề với pasword đó là “ai nhập cũng như nhau”.

    Password là “cái mà bạn biết” với hy vọng người khác không biết. Nhưng bạn có thể vô tình để lộ password hay bị người khác cố tình đọc trộm. Password cũng dễ đoán, dễ bị “bẻ khóa” hay đánh cắp (các chương trình mã độc như "Trojan horse" và "key logger" thường được tin tặc dùng cho mục đích này). Và khi điều đó xảy ra thì “ai cũng như ai”.

    Một số công ty áp dụng chính sách thay đổi password thường xuyên và sử dụng password phức tạp để tăng độ an toàn, nhưng đây không phải là giải pháp tốt và cũng không thật hiệu quả.

    Hệ thống ATM đã có từ lâu và giải pháp xác thực hai khóa cũng không phải mới. RSA đã đưa ra giải pháp SecureID từ năm 1995. Nhưng mãi đến gần đây, khi chi phí triển khai không còn quá đắt và có nhiều lựa chọn tiện lợi hơn, xu hướng giao dịch trực tuyến phát triển và các cuộc tấn công tài khoản ngày càng nghiêm trọng thì thị trường “khóa hai” (khóa bổ sung cho password) mới trở nên sôi động.

    Khóa hai, nhiều lựa chọn

    Để triển khai giải pháp xác thực hai khóa, ngoài phần cứng (khóa hai) còn cần phần mềm ở phía máy chủ. Phần mềm này, được gọi là “máy chủ xác thực”, có chức năng quản lý và kiểm soát khóa hai. Trên thị trường hiện có nhiều hãng cung cấp phần mềm và phần cứng cho xác thực hai khóa. Một số hãng cung cấp phần mềm máy chủ xác thực chỉ làm việc với phần cứng của mình; nhưng cũng có những phần mềm máy chủ xác thực làm việc được với khóa của nhiều hãng khác nhau.

    Một cách tổng quát, có thể phân thành hai loại khóa hai: loại kết nối và loại không kết nối.

    Loại kết nối: làm việc với trực tiếp với hệ thống xác thực bằng cách truyền dữ liệu qua một kết nối vật lý (như USB hay Bluetooth), giảm thiểu việc tác động của người dùng.

    Loại không kết nối: cần người dùng trung chuyển thông tin giữa khóa hai và hệ thống xác thực.

    Dưới đây sẽ phân tích từng loại khóa hai và so sánh các tính năng của chúng.

    1. Thiết bị OTP

    Thiết bị sinh password một lần - OTP (One Time Password) là loại khóa hai được dùng phổ biến nhất hiện nay vì rẻ và dễ dùng. Như tên gọi, OTP chỉ có giá trị sử dụng một lần nên tính bảo mật cao: sau khi người dùng gõ vào và đăng nhập thành công thì password này hết hiệu lực (lần đăng nhập sau sẽ dùng password khác); tin tặc nếu có lấy trộm password này cũng không đăng nhập hệ thống được.

    Dựa trên thuật toán sinh password, thiết bị OTP cứng có 2 dạng: đồng bộ thời gian và dùng bộ đếm.

    Loại đồng bộ thời gian tạo ra mã số khó đoán (mật mã hay khóa) dựa vào đồng hồ trong và mã số này được xác thực với điều kiện đồng hồ trong của thiết bị OTP đồng bộ với máy chủ xác thực. Do sự xê dịch của đồng hồ, việc đồng bộ tuyệt đối chính xác là không thể nên máy chủ xác thực phải chấp nhận các khóa có sự sai lệch đôi chút. Điều quan trọng đó là thu hẹp hết mức “khung cửa” này để giảm thiểu khả năng bị tấn công. Đa phần các nhà cung cấp thiết bị OTP áp dụng phương thức cộng dồn thời gian xê dịch để điều chỉnh với mỗi xác thực thành công. Thiết bị OTP đồng bộ thời gian có thể phải cân chỉnh lại nếu không được sử dụng một thời gian dài.

    Loại dùng bộ đếm tăng bộ đếm trong mỗi khi sinh ra một khóa mới và khóa này được xác thực với điều kiện bộ đếm trong của thiết bị OTP đồng bộ với máy chủ xác thực. Khác với bộ đếm trong của thiết bị OTP, bộ đếm của máy chủ được điều chỉnh với mỗi xác thực thành công. Với loại này, thiết bị OTP và máy chủ xác thực dễ bị “mất đồng bộ”.

    So với thiết bị OTP đồng bộ thời gian, thiết bị OTP dùng bộ đếm kém an toàn hơn trong việc chống đỡ kiểu tấn công thụ động online và offline. Tin tặc có thể thực hiện tấn công kiểu giả mạo (phishing) và thu thập nhiều khóa để dùng sau đó, hay ai đó lấy được thiết bị này có thể tạo sẵn các khóa mà không hành động ngay. Một số thiết bị OTP được bảo vệ bằng mã PIN (tương tự password), phương thức này chống được kiểu tấn công offline nhưng không chống được kiểu tấn công online. Cũng có một số thiết bị OTP có khả năng sinh chữ ký số và đây là công cụ hiệu quả để chống lại các cuộc tấn công chủ động.

    Cả hai loại thiết bị OTP trên đều dùng pin và phải thay sau vài năm. Mỗi thiết bị được tạo duy nhất với mã số riêng do vậy người dùng phải lập lại quy trình đăng ký mỗi khi thay thế thiết bị OTP.

    Một biến thể của thiết bị OTP đó là dùng phần mềm giả lập thiết bị phần cứng, cài trên thiết bị di động như PDA hay điện thoại di động (ĐTDĐ). Đây là giải pháp hiệu quả và ít tốn kém, ít nhất cho đến khi các thiết bị di động trở nên dễ bị can thiệp như máy tính và người ta cũng phải cài đặt firewall, trình chống virus, công cụ lọc spam... trên các thiết bị này. Thiết bị OTP "mềm" thường là mục tiêu nhân sao và người dùng có thể bị mất quyền kiểm soát khóa mềm của mình mà không biết.

    Thiết bị OTP mềm trên thiết bị di động có thêm mã PIN bảo vệ gần đạt như thiết bị OTP cứng. Tuy không có chi phí phần cứng (thiết bị di động có sẵn) và chi phí phân phối trực tiếp nhưng khi triển khai đại trà có thể phải đối mặt với khó khăn trong việc cài đặt và vận hành phần mềm trên danh mục ĐTDĐ mở rộng không ngừng và cũng phải cân nhắc đến số người dùng, tuy nhỏ, không có ĐTDĐ tương thích hay không có ĐTDĐ.

    2. Khóa SMS

    SMS cũng có thể được dùng làm phương tiện sinh OTP như khóa hai. Có hai dạng khóa SMS: tức thời và lô.

    Với phương thức SMS tức thời, trước tiên người dùng thực hiện đăng nhập với password như bình thường, nếu thành công máy chủ xác thực sẽ sinh OTP và gửi ngay SMS cho người dùng để hoàn tất khóa xác thực thứ hai. Giao thức SMS không bảo đảm gửi tin thành công hay gửi kịp thời. Điều này có thể làm giảm tính khả dụng của việc xác thực hai khóa dựa trên SMS.

    Với khóa SMS lô thì khác, người dùng nhận một danh sách mã số trước khi đăng nhập. Mỗi mã số gắn với một ký tự hay số dòng. Người dùng cần nhập vào mã số tương ứng với dòng yêu cầu để làm khóa xác thực thứ hai. SMS lô có thể giảm đáng kể chi phí SMS và khắc phục được vấn đề chất lượng dịch vụ của giao thức SMS vì danh sách được gửi đến người dùng trước khi họ thực sự cần đến. Tuy nhiên khuyết điểm của SMS lô là khả năng bị tấn công lớn hơn.

    Ngoài ra, còn có một hình thức khóa SMS khác đơn giản hơn: "reply" ký tự quy ước nào đó, chẳng hạn dấu #. Sau khi đăng nhập với username và password, người dùng sẽ nhận được cuộc gọi hay tin nhắn SMS và nhấn # trả lời để xác thực lần hai. Với cách này, việc xác thực được thực hiện trên 2 kênh khác nhau: một qua đường Internet và một qua sóng di động.

    3. Smartcard và thiết bị đọc

    Smartcard an toàn hơn thẻ từ (với công nghệ hiện nay có thể dễ dàng làm giả thẻ từ). Nhiều ngân hàng hiện đã chuyển sang dùng smartcard có chip bảo vệ.

    Một ưu điểm phụ của việc áp dụng smartcard đó là khả năng dùng cho xác thực trực tuyến. Việc này yêu cầu người dùng phải có thiết bị đọc smartcard. Với khả năng lưu chứa thông tin chứng nhận và sinh chữ ký cho giao dịch, smartcard được xem là thiết bị xác thực tốt nhất. Có lẽ các tổ chức tài chính cuối cùng sẽ chuyển sang dùng smartcard, nhưng chi phí triển khai cơ sở hạ tầng cộng với chi phí trang bị thiết bị đọc thẻ cho người dùng có thể là trở ngại ban đầu.

    Nguyên tắc xác thực với smartcard là "ký" bằng mật mã. Chữ ký này được xử lý bảo mật bằng chip trong smartcard. Mật mã không bao giờ rời khỏi cái vỏ an toàn của smartcard nên cung cấp mức bảo mật cao nhất. Việc truy cập các chức năng smartcard có thể được bảo vệ bằng mã PIN.

    Có 2 loại thiết bị đọc smartcard: kết nối và không kết nối.

    Loại kết nối có thể giao tiếp trực tiếp với thiết bị đầu cuối của người dùng (qua USB, Bluetooth, ...) để trao đổi khóa. Bộ đọc kết nối yêu cầu cài đặt phần mềm trên thiết bị đầu cuối của người dùng để thuận tiện trao đổi dữ liệu giữa thiết bị đọc và máy chủ xác thực.

    Loại không kết nối không có giao tiếp trực tiếp với thiết bị đầu cuối của người dùng; người dùng phải trung chuyển thông tin giữa phía xác thực và thiết bị đọc. Người dùng nhập vào mật mã trên thiết bị đọc thông qua bàn phím và trình ứng dụng smartcard sẽ sinh khóa mã hóa rút gọn (thường là 6-11 chữ số) rồi hiển thị kết quả cho người dùng.

    Bộ đếm ATC (Application Transaction Counter - bộ đếm giao dịch ứng dụng) được dùng để sinh khóa mã hóa. ATC tăng lên mỗi khi sinh một khóa. Máy chủ xác thực dùng thuật toán đồng bộ ATC và cho phép một khoảng sai lệch nhất định khi kiểm tra khóa mã hoá. Thường giải pháp xác thực smartcard được triển khai với ít nhất 2 trình ứng dụng, mỗi cái dùng một ATC riêng: một để xác thực và một để cho phép thẻ tín dụng ở thiết bị đầu cuối của người bán đề phòng tình huống việc đồng bộ ATC bị trục trặc.

    4. USB có chip

    Khóa USB dễ dùng và nhỏ gọn. Về chức năng, khóa USB có gắn chip tương đương với smartcard cộng với bộ đọc (hầu như tất cả máy tính hiện nay đều có cổng USB).

    Giống như thiết bị đọc thẻ chip loại kết nối, thường người dùng cần phải cài đặt phần mềm trên máy tính mới có thể làm việc với khóa USB. Tuy nhiên, cũng có những giải pháp "portable" cài sẵn phần mềm ngay trên thiết bị USB, phần mềm này có thể tự chạy khi khóa USB được gắn vào máy tính.

    Một số khóa USB có thêm mã PIN bảo vệ hay dùng một dạng nào đó khác để xác thực người dùng chẳng hạn như quét vân tay.

    5. Sinh trắc

    Đa phần các thiết bị chúng ta xem xét ở trên đều có thể kết hợp với thiết bị quét dấu hiệu sinh trắc như vân tay hay con ngươi để xác thực người dùng. Nhận dạng sinh trắc "dương" sẽ mở khóa tính năng của thiết bị; thiết bị này vẫn cần sinh ra một dạng mật mã nào đó để chứng minh với máy chủ xác thực. Ví dụ thiết bị đọc thẻ chip thông thường đi kèm với bàn phím số cho phép người dùng nhập vào mã PIN và tự xác thực thẻ chip trước khi sinh mật mã. Bàn phím nhập mã PIN có thể được thay bằng thiết bị quét vân tay thân thiện với người dùng hơn.

    Tuy dễ dùng, có triển vọng và thời thượng, nhưng các bộ cảm biến sinh trắc hiện vẫn còn khá đắt.

    Chống phishing?

    Giải pháp xác thực hai khóa khắc phục được vấn đề rò rỉ password. Ví dụ nếu có ai đó biết được password của bạn, họ vẫn không thể thực hiện giao dịch trực tuyến với danh nghĩa của bạn vì không có khóa hai. Tương tự, nếu khóa hai bị thất lạc, nó cũng vô dụng đối với ai đó vô tình có được vì họ không có password.

    Một câu hỏi thú vị đặt ra là liệu khóa hai có giải quyết được vấn đề phishing hay không. Thuần túy về mặt kỹ thuật, câu trả lời là không. Giả sử có kẻ thiết lập một site phishing giả mạo website ngân hàng mà bạn giao dịch (ngân hàng này có áp dụng giải pháp xác thực hai khóa). Nếu bạn cung cấp password của mình và mật mã khóa hai cho site giả mạo, kẻ đó có thể được dùng ngay thông tin này. Hay là, kẻ đó có thể thay đổi bất kỳ giao dịch nào trong phiên làm việc của bạn theo hướng có lợi cho hắn (chẳng hạn chuyển tiền vào tài khoản của hắn thay vì tài khoản đối tác của bạn).

    Tuy nhiên khóa hai không phải vô ích. Cụ thể, nó tác động về mặt kinh tế đối với phishing. Tuy tất cả những kẻ tấn công phishing đều quan tâm đến việc thu thập thông tin nhạy cảm (như số thẻ tín dụng, password tài khoản ngân hàng...), nhưng chỉ có một số ít quan tâm đến việc sử dụng những thông tin này, còn phần đông rao bán trên thị trường "đen". Ít ra, khóa hai sẽ gây khó khăn hơn cho việc sử dụng những thông tin đánh cắp này và làm giảm lợi nhuận của phishing.

    Nếu khóa hai trở nên phổ biến, các kẻ tấn công phishing có thể sẽ thay đổi cuộc chơi và các cuộc tấn công thời gian thực sẽ ngày càng nhiều hơn. Tóm lại, khóa hai cũng không đủ bảo vệ an toàn về lâu dài, nhưng hiện tại nó được việc.

    Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.


    (Theo PCWVN)

    Việt Báo
    Ý kiến bạn đọc

    Viết phản hồi

    Nhận xét tin Khoá Password - Công cụ phòng chống tấn công gian lận trực tuyến

    Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Khoá Password - Công cụ phòng chống tấn công gian lận trực tuyến bằng cách gửi thư điện tử tới vietbao.vn. Xin bao gồm tên bài viết Khoa Password Cong cu phong chong tan cong gian lan truc tuyen ở dạng tiếng Việt không dấu. Hoặc Khoá Password - Công cụ phòng chống tấn công gian lận trực tuyến ở dạng có dấu. Bài viết trong chuyên đề Kinh Nghiệm của chuyên mục Công Nghệ.

    Bài viết mới:

    Các bài viết khác:

       TIẾP THEO >>
    VIỆT BÁO - CÔNG NGHỆ - KINH NGHIỆM