Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính trực tuyến Internet Banking, chứng khoáng
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích mà các dịch vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất và với chi phí hợp lý nhất mà vẫn bảo vệ được thông tin đăng kí của khách hàng...
Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính
trực tuyến Internet Banking, chứng khoáng
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ
---------***----------
GIẢI PHÁP XÁC THỰC MẠNH 2 YẾU TỐ
CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN
INTERNET BANKING, CHỨNG KHOÁN
Khách hàng: Công ty Chứng khoán Phương Đông
Đơn vị lập phương án Công ty MISOFT
Mã dự án:
Tiêu đề: Giải pháp Xác thực mạnh 2 yếu tố
Nội dung:
Phiên bản:
Loại tài liệu: Cung cấp cho khách hàng
Ngày hoàn thành 12 năm 2007
Người thực hiện Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh
Hà Nội : 12-2007
1
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
MỤC LỤC
I. ĐẶT VẤN ĐỀ..............................................................................................................................3
I.1 Xác thực danh tính trực tuyến................................................................................................3
I.2 Lựa chọn phương pháp xác thực phù hợp..............................................................................4
I.3 Xác thực 2 yếu tố....................................................................................................................5
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ.....................................7
II.1 Xác thực mạnh kết hợp nhiều phương pháp.........................................................................7
II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming............................................................10
II.3 Khả năng tích hợp của Entrust IdentityGuard....................................................................10
II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán........................13
II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực .....................................14
II.4 Các thành phần chính trong IdentityGuard Server..............................................................17
II.5 Lập kế hoach triển khai Entrust IdentityGuard...................................................................19
II.5.1 Các công việc cần xem xét và thực thi.....................................................................19
II.5.2 Tiến độ thực hiện.....................................................................................................20
III. DỰ TOÁN KINH PHÍ...........................................................................................................20
IV. KẾT LUẬN.............................................................................................................................22
....................................................................................................................................................22
2
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
I. ĐẶT VẤN ĐỀ
I.1 Xác thực danh tính trực tuyến
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân
hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của
mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích mà các dịch
vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất
và với chi phí hợp lý nhất mà vẫn bảo vệ được thông tin đăng kí của khách hàng khi họ tham gia
vào các dịch vụ trực tuyến. Đây được coi là quyền lợi chính đáng của khách hàng và cũng là
trách nhiệm không thể coi nhẹ của nhà cung cấp dịch vụ tài chính.
Một trong những
thông tin quan trọng nhất
của khách hàng để họ có
thể truy cập dịch vụ và
giao dịch tài chính là
Danh tính trực tuyến
(Online Identity). Thông
tin này được sử dụng để
chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có
thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.
Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của
Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể
ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy
cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên
đăng nhập/Mật khẩu, Số tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công
khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ
đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính
và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là
3
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực
tuyến.
Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán có các dịch vụ trực
tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác
thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không
còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu.
Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu
các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt
động tài chính ép buộc phải thực thi.
Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong
giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số
sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu
tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối
tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa
trên 3 yếu tố cơ bản sau:
1. Something a person knows: Thường được sử dụng là số PIN, mật khẩu
2. Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token…
3. Something a person is: Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt
Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố
để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi là Xác thực mạnh. Chi phí
của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống.
Mặc dù vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ mà
còn phụ thuộc và rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn
thực thi an toàn thông tin, khả năng quản lý và giám sát hệ thống. Và đặc biệt một hệ thống có
hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo
mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai.
I.2 Lựa chọn phương pháp xác thực phù hợp
Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các giao dịch
thương mại trực tuyến trên Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) được sự
hỗ trợ của một loạt các ngân hàng hàng đầu trên thế giới đã soạn thảo một ấn phẩm vào năm 2001
có tên “Xác thực trong môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực
tuyến”. Mục tiêu của ấn phẩm này là để hướng dẫn thực thi những chính sách xác thực mạnh cho
những tổ chức tài chính tham gia vào các dịch vụ và giao dịch điện tử. Nội dung của ấn phẩm đề
cập đến những hậu quả khi mất cắp danh tính và các chỉ dẫn lựa chọn công nghệ xác thực mạnh
phù hợp cho tổ chức tài chính:
“ Những kẻ lừa đảo đang khai thác điểm yểu bảo mật của khách hàng khi họ hoàn toàn
tin tưởng và việc xác thực 1 yếu tố khi truy cập vào các dịch vụ trực tuyến của ngân hàng, chứng
4
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
khoán, email và những website giao dịch điện tử. Các tổ chức tài chính nên cân nhắc từng yếu
tố sau đề nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy cơ đánh cắp danh
tính:”
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng…
3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác
thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công
nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất ở trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công
việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của
FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố
là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng,
chứng khoán và bảo hiểm.
I.3 Xác thực 2 yếu tố
Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố
phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên
những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có
(SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng
thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố
bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so
với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.
Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả
như sau:
“ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết
được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2
yếu tố có khả năng giúp bạn làm được điều đó”
• Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu
tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là
vô nghĩa.
• Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi
danh tính đó được bảo vệ bằng 2 yếu tố thay vì 1 yếu tố (mật khẩu/số PIN) như trước
đây.
5
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Trong giao dịch trực tuyến, tính chống từ chối và tính bí mật là một trong những yêu
cầu cần thiết của khách hàng. Rất nhiều tổ chức tài chính đã sử dụng Chữ kí số được
tạo ra từ hệ thống xác thực 2 yếu tố để đảm bảo cho các giao dịch.
• Xác thực 1 yếu tố trước đây mới chỉ đáp ứng được xác thực giữa nhà cung cấp dịch vụ
với khách hàng mà không có khả năng ngược lại. Hệ thống xác thực 2 yếu tố sẽ giúp
cho quá trình xác thực là tương tác 2 chiều, đảm bảo tối đa tính an toàn cho các giao
dịch trực tuyến.
• Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ rất nhiều mật
khẩu, phải nhớ thay đổi mật khẩu theo định kì và rất nhiều rắc rối khác khi chúng ta
quên chúng. Một số dạng của xác thực 2 yếu tố có khả năng giúp ta thực hiện điều đó.
Đứng trước nhu cầu đó, rất nhiều công ty bảo mật đã phối hợp cùng các ngân hàng, tổ
chức tài chính để phát triển những giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới các
hoạt động giao dịch trực tuyến. Công ty Entrust, công ty phần mềm chuyên trong lĩnh vực bảo
mật và mã hoá thông tin, đã là một trong các công ty hiếm hoi trên thế giới giúp cho các ngân
hàng đáp ứng được đầy đủ yêu cầu về bảo vệ danh tính và chống lại các hành vi lừa đảo trực
tuyến. Bên cạnh đó, giải pháp bảo mật của Entrust đã được đánh giá là có chi phí đầu tư thấp nhất
so với các giải pháp của một số hãng như RSA Security, Aladdin, ActiveCard, VASCO… và đặc
biệt rất phù hợp cho triển khai với số lượng người dùng lớn như trong lĩnh vực ngân hàng, chứng
khoán.
Dưới đây là đánh giá của Công ty Forrester Research (www.forrester.com), một công ty
toàn cầu chuyên nghiên cứu thị trường và đánh giá các sản phẩm công nghệ
Sản phẩm / Công nghệ Tính tiện Tính sử Tính Chi phí Khả Khả năng
xác thực dùng dụng bảo đầu tư năng tích hợp
mật quản trị
One-Time-Password Tokens 5 3 4 2 2 5
Dịch vụ OTP của RSA Token 5 4 4 3 3 5
Smart Card (EMV) 5 3 5 3 3 5
Xác thực bằng số PIN/TAN 5 5 3 3 3 5
Entrust 5 5 5 4 4 5
IdentityGuard
Xác thực bằng Mobile 4 3 5 3 5 5
Nhập giá trị xác thực trên bàn
5 3 2 5 5 2
phím ảo
Xác thực bằng danh sách các
5 2 2 4 5 2
dãy số
Số điểm: 1 = kém 5 = rất tốt
Theo nguồn: Công ty nghiên cứu đánh giá các sản phẩm công nghệ Forrester Research
Điều gì đã làm nên sự thành công của Entrust, đó là Entrust đã nhanh chóng cung cấp các
giải pháp bảo mật đáp ứng kịp thời các yêu cầu cụ thể cho những tổ chức tài chính, ngân hàng,
6
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
chứng khoán trong việc bảo vệ thông tin khi giao dịch trực tuyến. Đặc biệt, giải pháp của Entrust
có mức chi phí đầu tư tối ưu và dễ sử dụng nhất khi triển khai cho số lượng người dùng rất lớn là
những khách hàng đang sử dụng các dịch vụ ngân hàng, tài chính, chứng khoán, bảo hiểm, …
Công ty Entrust đưa ra 2 bộ sản phẩm phần mềm Strong Authentication Platform và
eFraud Detection để giải quyết 2 vấn đề:
• Xác thực mạnh 2 yếu tố để bảo vệ danh tính trực tuyến.
• Giám sát và ngăn chặn các hình thức lừa đảo trực tuyến để giảm thiểu rủi ro cho các giao
dịch.
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh 2 yếu tố trong bộ giải
pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong
lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp
xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp
sử dụng dịch vụ tài chính, chứng khoán trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh
theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không
làm gia tăng chi phí đầu tư triển khai.
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ
II.1 Xác thực mạnh kết hợp nhiều phương pháp
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh trong bộ giải pháp của
Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực
CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực
mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng
dịch vụ tài chính trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng
nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí
đầu tư triển khai.
7
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
Hình dưới đây mô tả được phần nào cái nhìn tổng quan về các tính năng và ích lợi của
phần mềm Entrust IdentityGuard.
Có thể coi Entrust IdentityGuard là giải pháp phần mềm duy nhất hiện nay trên thế giới có
khả năng kết hợp được nhiều phương pháp xác thực đồng thời trong cùng một phần mềm. Các
phương pháp xác thực của Entrust IdentityGuard không những cho phép nhà cung cấp dịch vụ
xác thực mạnh người dùng, mà còn giúp cho khách hàng có thể kiểm tra tính chân thật của các
Web site trước khi họ nhập các thông tin cá nhân. Chính vì các khả năng đó, Entrust
IdentityGuard đã nâng mức độ đảm bảo của giải pháp vượt xa các giải pháp xác thực hiện có trên
thị trường, trong khi chi phí đầu tư không phát sinh và đặc biệt là rất phù hợp khi triển khai với
số lượng người sử dụng lớn cho nhiều đối tượng khách hàng.
Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là:
• Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ.
• Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các
Web site dịch vụ trực tuyến.
Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh
người dùng khi truy cập dịch vụ. Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện
riêng lẻ hoặc kết hợp đồng thời, bao gồm:
• Xác thực người dùng bằng ma trận lưới ngẫu nhiên. Mỗi khách hàng sẽ được cấp một
thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu
nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ
độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau
mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không
bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá
8
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
trị tương ứng theo toạ độ được
yêu cầu.
Kích thước hàng/cột
của ma trận và độ dài của mật
khẩu cho mỗi lần xác thực có
thể thay đổi để phù hợp với
từng chính sách bảo mật cụ thể.
Với một ma trận hàng cột kích
thước 5x10, và độ dài của mật
khẩu là 3, khách hàng có thể
dùng đến 19,600 mật khẩu động không trùng nhau. Ma trận
hàng/cột có thể được in trên các thẻ ATM và được phát cho khách
hàng.
• Xác thực người dùng bằng One-Time-Password Tokens: Entrust
IdentityGuard cho phép các khách hàng sử dụng Entrust OTP
Tokens (hoặc Vasco OTP Token – Token của hãng Vasco –
www.vasco.com) để xác thực dựa trên mật khẩu động được tạo ra
từ Token mà không phải mua thêm bất cứ phần mềm xử lý nào bổ
sung.
• Xác thực theo thông tin cấu hình của các thiết bị cá nhân:
Entrust IdentityGuard hỗ trợ xác thực dựa trên những thông tin
cấu hình của các thiết bị như PC, Notebook, Server cho lần đầu
tiên khi truy cập tới dịch vụ. Khi đó các thông tin cấu hình sẽ
được lưu giữ trên Server xác thực và các lần sau đó khách hàng
khi sử dụng thiết bị cá nhân đã đăng kí của mình sẽ không phải
xác thực lại.
• Xác thực thông qua gửi OTP bằng SMS tới thiết bị mobile: Đây
là một phương pháp tương đối phổ biến trong các giao dịch điện
tử. Trước khi khách hàng xác nhận thực hiện một giao dịch, ví dụ
như chuyển tiền…, hệ thống sẽ tạo ra một dãy chữ số và gửi tới số
mobile của khách hàng đã đăng kí trước đó bằng một tin nhắn
SMS. Sau khi nhận được, khách hàng sẽ nhập dãy số đó cùng với
giao dịch để đảm bảo việc chuyển tiền đúng là của khách hàng.
Phương pháp này giảm thiểu rủi ro khi khách hàng bị hacker
chiếm quyền điều khiển.
9
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Xác thực dựa trên các thông tin cá nhân: Phương pháp này
giúp các ứng dụng kiểm tra tính đúng đắn của khách hàng bằng
những câu hỏi, câu trả lời mà khách hàng đã đăng kí với nhà
cung cấp dịch vụ. Đây là thông tin cá nhân bí mật mà chỉ có
khách hàng và nhà cung cấp mới có thể biết.
• Xác thực bằng số PIN tạm thời: Phương pháp xác thực này
được sử dụng trong trường hợp khách hàng quên không mang thẻ lưới (phương pháp xác
thực bằng thẻ lưới). Khi đó khách hàng có thể sử dụng một số PIN tạm thời để sử dụng.
Số PIN tạm thời này có thể được sử dụng lại nhiều lần trong một khoảng thời gian do hệ
thống xác thực đặt trước (ví dụ thời gian sử dụng số PIN tạm thời là 1 ngày). Số PIN tạm
thời này cũng sẽ tự động hết hiệu lực sử dụng ngay khi khách hàng sử dụng lại thẻ lưới.
II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming
Trong các dịch vụ trực tuyến, nhà cung cấp dịch vụ thường sử dụng cơ chế xác thực để
đảm bảo tính đúng đắn về danh tính của khách hàng. Đối với giao dịch trực tuyến, xác thực một
chiều đối với khách hàng là chưa đủ. Khách hàng cũng cần phải biết chắc chắn là nhà cung cấp
dịch vụ mà họ đang giao dịch là đúng và không bị giả mạo. Để giải quyết được vấn đề này,
Entrust IdentityGuard cung cấp một phương thức xác thực tính đúng đắn của website hoặc ứng
dụng mà nhà cung cấp dịch vụ bằng cách đưa ra các thông tin để người dùng xác nhận đó là
những thông tin mà chỉ có khách hàng và nhà cung cấp dịch vụ biết. Những thông tin này có thể
là:
• Số Serial của thẻ lưới mà khách hàng đang
sở hữu.
• Số Serial của thẻ cùng với một số các giá trị
ngẫu nhiên trong ma trận thẻ lưới. Nếu các
thông tin của Web site trả về hoàn toàn
khớp với thông tin trên thẻ bảo mật, khách
hàng có thể yên tâm về tính chân thực của
Web site.
• Những thông điệp bí mật/hình ảnh đặc
trưng mà chỉ có khách hàng và nhà cung
cấp dịch vụ biết. Khách hàng phải cung cấp
các thông tin này khi đăng kí sử dụng dịch
vụ cả nhà cung cấp.
II.3 Khả năng tích hợp của Entrust IdentityGuard
Entrust IdentityGuard là một phần mềm Server cung cấp các dịch vụ xác thực để tích hợp
vào các nhóm ứng dụng sau:
10
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Nhóm các ứng dụng truy cập từ xa (Remote Access, SSL VPN) qua RADIUS Protocol
• Nhóm các ứng dụng Windows (Windows Login, Outlook Web Access, Internet
Authentication Services)
• Nhóm các ứng dụng Web qua các hàm API cho Java, C#, (.NET)
Hình dưới là mô hình tổng quát triển khai Entrust IdentityGuard
Chúng ta có thể thấy với một thành phần xác thực Server tập trung có thể quản lý và xử lý
xác thực cho rất nhiều ứng dụng, phương tiện xác thực đồng thời. Entrust IdentityGuard Server
được cài đặt trên Server, quản lý và xác thực tập trung cho 3 nhóm ứng dụng của các tổ chức tài
chính và ngân hàng. Các ứng dụng truy cập từ xa hoặc nhóm ứng dụng trên Windows sẽ được
cấu hình để chuyển các yêu cầu xác thực tới Entrust IdentityGuard Server. Đối với các ứng dụng
Web, lập trình viên hoặc các nhà phát triển sẽ sử dụng các API do Entrust cung cấp để thực hiện
chức năng xác thực và truy vấn thông tin trong Entrust IdentityGuard Server thông qua Web
services.
11
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
Danh sách các phần mềm, thiết bị đã hỗ trợ tích hợp Entrust IdentityGuard
Về phía người sử dụng, mỗi khách hàng sẽ
được phát thẻ bảo mật hoặc Token…và các phương
tiện đó là duy nhất với mỗi người để sử dụng cho
mỗi lần truy cập. Không một phần mềm nào được
cài thêm trên các máy tính của khách hàng.
Mỗi khách hàng sẽ sở hữu một thẻ bảo mật duy nhất
12
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán
Việc tích hợp Entrust IdentityGuard cho công ty Chứng khoán chính là tích hợp vào các
dịch vụ (ứng dụng Web) mà công ty Chứng khoán cung cấp tới Nhà đầu tư thông qua mạng
Internet. Trong mô hình này, chúng tôi đưa ra ba phương pháp xác thực mà Entrust IdentityGuard
hỗ trợ. Những phương pháp này dễ dàng trong việc tích hợp cho các lập trình viên, tăng mức độ
bảo mật cho các dịch và thuận tiện cho Nhà đầu tư khi sử dụng. Đó là:
• Xác thực bằng thẻ lưới áp dụng cho quá trình đăng nhập vào Web site của công ty
Chứng khoán.
• Xác thực bằng OTP Token (sử dụng Entrust OTP Token hoặc Vasco OTP Token
Go6) áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua và bán Cổ phiếu) qua
Internet.
• Xác thực bằng OTP gửi bằng tin nhắn SMS tới thiết bị mobile (điện thoại di động)
của Nhà đầu tư áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua và bán Cổ
phiếu) qua Internet.
Tùy thuộc vào qui mô của từng công ty Chứng khoán, mức độ rủi ro của từng dịch vụ mà
công ty Chứng khoán có thể triển khai phương pháp xác thực thẻ lưới + OTP Token hoặc thẻ lưới
+ OTP gửi qua SMS hoặc cả ba phương pháp.
Mô hình tích hợp
Các thành phần trong mô hình
• Nhà đầu tư: Nhà đầu tư có thể sử dụng các phương pháp xác thực thẻ lưới, OTP
Token, OTP gửi bằng SMS để xác thực trước khi sử dụng một dịch vụ nào đó của
công ty Chứng khoán.
• Nhà cung cấp dịch vụ:
o Gửi nhận tin nhắn SMS: có trách nhiệm gửi và nhận tin nhắn giữa Nhà đầu tư và
công ty Chứng khoán.
o Internet: nơi đặt máy chủ Web của công ty Chứng khoán.
13
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Công ty Chứng khoán: nơi cung cấp các dịch vụ về chứng khoán cho Nhà đầu tư qua
mạng Internet, mạng di động,…
o Máy chủ dịch vụ: cung cấp các dịch vụ giá trị gia tăng như: vấn tin, xem bảng giá,
giao dịch chứng khoán, tư vấn,…
o Hệ thống core chứng khoán: là hệ thống phần mềm chuyên dụng trong lĩnh vực
chứng khoán.
o Máy chủ xác thực: hệ thống này có trách nhiệm xác thực Nhà đầu tư trước khi họ
tham ra vào một dịch vụ nào đó của công ty Chứng khoán.
II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực
Entrust IdentityGuard đóng vai trò tích hợp bổ sung yếu tố xác thực thứ 2 vào các ứng
dụng cần xác thực mạnh. Đối với mỗi loại ứng dụng sẽ có những cơ chế tích hợp khác nhau. Đối
với ứng dụng Web việc tích hợp sẽ thông qua các Web Services và hàm API xác thực của
IdentityGuard cung cấp. Các lập trình viên sẽ customize bổ sung xác thực mạnh mà không làm
thay đổi đến cấu trúc của ứng dụng. Sau khi đã tích hợp thành công, cơ chế làm việc sẽ như sau:
Qui trình sử dụng thẻ lưới khi đăng nhập vào Web site của công ty Chứng khoán:
• Nhà đầu tư sử dụng trình duyệt Web (FireFox
hoặc IE) truy cập vào Web site của công ty
Chứng khoán (được host trên Máy chủ Web), họ
sẽ được ứng dụng yêu cầu nhập Mã tài
khoản/Mật khẩu.
• Thông tin về Mã tài khoản/Mật khẩu được gửi về
Máy chủ dịch vụ. Tại đây, dịch vụ xác thực có
chức năng kiểm tra tính chính xác của thông tin
này. Nếu Mã tài khoản/Mật khẩu của Nhà đầu tư
là chính xác, dịch vụ xác thực sẽ gửi Mã tài
khoản tới Máy chủ xác thực.
• Máy chủ xác thực sẽ sinh ra các câu hỏi về thẻ
lưới tương ứng với Mã tài khoản nhận được và
gửi câu hỏi về Máy chủ dịch vụ.
• Máy chủ dịch vụ sẽ chuyển câu hỏi tới máy chủ
Web.
• Máy chủ Web sẽ thể hiện các câu hỏi đó trên
màn hình ứng dụng (Ví dụ: [A1], [D3], [J3]).
Việc ứng dụng đưa ra các giá trị này chính là
việc ứng dụng của công ty Chứng khoán đang
xác thực Nhà đầu tư.
14
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Nhà đầu tư, trước khi trả lời những câu hỏi đó,
họ cần phải xác thực lại ứng dụng của công ty
Chứng khoán có phải là ứng dụng thật hay
không bằng cách kiểm tra số serial trên thẻ lưới
của mình với số serial trên màn hình ứng dụng.
Nếu chúng giống nhau thì đó chính là ứng dụng
thật được cung cấp bởi công ty Chứng khoán.
Khi đó Nhà đầu tư sẽ nhập giá trị tọa độ tương
ứng. (Ví dụ: [A1]=P, [D3]=8, [J3]=9).
• Câu trả lời của Nhà đâu tư sẽ được chuyển tới
Máy chủ xác thực. Sau khi kiểm tra, Máy chủ
xác thực sẽ trả lại kết quả tới Nhà đầu tư thông
qua Máy chủ dịch vụ và Máy chủ Web.
• Nếu kết quả kiểm tra đúng thì Nhà đầu tư sẽ đăng nhập thành công và có thể sử dụng
các dịch vụ của công ty Chứng khoán (ví dụ: vấn tin tài khoản, thông tin về các công
ty niêm yết cổ phiếu,…). Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và nguyên
nhân sai.
Qui trình sử dụng OTP Token khi đặt lệnh qua Web của công ty Chứng khoán:
• Trước khi sử dụng dịch vụ đặt lênh qua Web,
Nhà đầu tư đã phải đăng nhập thành công vào
Web site của công ty Chứng khoán.
• Nhà đầu tư nhập các thông tin cần thiết trong
giao dịch đặt lệnh.
• Các thông tin này sẽ được gửi tới Máy chủ dịch
vụ. Tại đây, dịch vụ đặt lệnh sẽ kiểm tra tính hợp
lệ của các thông tin đó. Nếu các thông tin đều
hợp lệ, Máy chủ dịch vụ sẽ gửi Mã tài khoản tới
Máy chủ xác thực.
• Máy chủ xác thực sẽ lấy ra số serial Token tương
ứng với Mã tài khoản và gửi tới Máy chủ dịch
vụ.
• Máy chủ dịch vụ sẽ gửi thông tin này tới máy
chủ Web.
• Máy chủ Web sẽ hiển thị số serial Token trên
màn hình. Và yêu cầu nhà đầu tư nhập số OTP
Token vào ô Số OTP Token
15
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Nhà đầu tư sẽ kiểm tra số serial Token trên màn hình với Token của mình. Nếu chúng
giống nhau. Nhà đầu tư sẽ bấm vào nút ở mặt trước Token để lấy số OTP.
• Nhà đầu tư nhập số OTP đó vào ô Số OTP Token trên màn hình.
• Giá trị này sẽ được gửi về Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra.
• Nếu kết quả kiểm tra đúng thì thông tin về phiên giao dịch đó sẽ được chuyển tới hệ
thống core chứng khoán để xử lý. Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và
nguyên nhân sai.
Qui trình sử dụng OTP gửi bằng SMS khi đặt lệnh qua Web của công ty Chứng khoán:
• Trước khi sử dụng dịch vụ đặt lênh qua Web, Nhà đầu tư đã phải đăng nhập thành
công vào Web site của công ty Chứng khoán. Nhà đầu tư phải đăng kí số di động cho
công ty Chứng khoán.
• Nhà đầu tư nhập các thông tin cần thiết trong giao
dịch đặt lệnh.
• Các thông tin này sẽ được gửi tới Máy chủ dịch
vụ. Tại đây, dịch vụ đặt lệnh sẽ kiểm tra tính hợp
lệ của các thông tin đó. Nếu các thông tin đều hợp
lệ, Máy chủ dịch vụ sẽ gửi yêu cầu nhập số OTP
gửi bằng SMS tới Máy chủ Web.
• Máy chủ Web sẽ đưa ra một giao diện Web, yêu cầu Nhà đầu tư nhập số OTP gửi
bằng SMS. Và một nút Sinh OTP có chức năng sinh ra OTP gửi tới mobile phone của
Nhà đầu tư.
• Nếu Nhà đầu tư chưa nhận được số OTP cho
phiên giao dịch đó, họ bấm nút sinh OTP để lấy
số OTP sẽ được gửi tới mobile phone của họ từ
công ty Chứng khoán.
• Khi Nhà đầu tư bấm nút sinh OTP, yêu cầu này
sẽ được gửi tới Máy chủ dịch vụ.
• Tại đây, dịch vụ xác thực sẽ gửi Mã tài khoản và yêu cầu đó tới Máy chủ xác thực.
Máy chủ xác thực sẽ sinh ra một số OTP (thời hạn sử dụng, độ dài số OTP này được
hệ thống xác thực thiết lập từ đầu ví dụ: thời hạn sử dụng là 5 phút, độ dài là 4 kí tự)
và gửi tới Máy chủ dịch vụ.
• Tại Máy chủ dịch vụ, số OTP này sẽ được dịch vụ
gửi tin nhắn SMS gửi tới nhà cung cấp dịch vụ
SMS. Qua SMS Gateway, mạng di động, số OTP
này sẽ tới mobile phone của Nhà đầu tư. Đồng
thời dịch vụ xác thực cũng gửi yêu cầu tới máy
chủ Web yêu câu Nhà đầu tư nhập số OTP đó vào
ô Số OTP gửi qua SMS
16
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Nhà đầu tư sau khi nhận được số OTP dưới dạng một tin nhắn SMS sẽ nhập giá trị đó
vào ô Số OTP gửi qua SMS
• Giá trị này sẽ được gửi về Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra.
• Nếu kết quả kiểm tra đúng thì thông tin về phiên giao dịch đó sẽ được chuyển tới hệ
thống core chứng khoán để xử lý. Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và
nguyên nhân sai.
Entrust IdentityGuard đóng vai trò tích hợp yếu tố xác thực thứ 2 để đưa hệ thống xác
thực hiện có trở thành xác thực mạnh 2 yếu tố.
II.4 Các thành phần chính trong IdentityGuard Server
Entrust IdentityGuard Server chạy trên Server cài hệ điều hành Microsoft Windows
Server 2003 hoặc RedHat Linux Advance Server 3.0 trở lên. Cơ sở dữ liệu sử dụng để lưu trữ
các thông tin xác thực tuân theo các chuẩn LDAP như MS Active Directory hoặc DBMS như
Oracle, IBM DB2 hoặc MS SQL 2000 Server. Tích hợp vào các ứng dụng phát triển được thực
hiện thông qua các Web service và hàm API cho ngôn ngữ Java, C# .NET.
Với khả năng tương thích như vậy, Entrust IdentityGuard dễ dàng áp dụng triển khai vào
các mô hình ứng dụng CNTT của tổ chức tài chính, chứng khoán và ngân hàng hiện nay.
Hình dưới mô tả các thành phần chính trong Entrust IdentityGuard Server bao gồm
17
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
Một số đặc điểm kĩ thuật của Entrust Token (AT Token):
• Tạo Mật khẩu dùng một lần (OTP) theo chuẩn DES (Data
Encrytion Standard) và 3DES (triple DES).
• OTP được tạo theo yếu tố thời gian, sự kiện hoặc tổ hợp cả
thời gian và sự kiện. Đảm bảo tính duy nhất của mật khẩu.
• Thời gian thay đổi mật khẩu 60s.
• Thời gian sử dụng Token từ 6 năm
• Mật khẩu OTP có độ dài là 8 kí tự số và được hiện thị trên
màn hình LCD của thiết bị.
• Độc lập với hệ thống máy tính. Loại bỏ các nguy cơ bị phá hoại từ các hệ thống máy tính
• Trọng lượng rất nhỏ, 25 grams bao gồm cả pin. Kích thước 45 : 38 :11 mm (L:W:H)
• Thiết kế một nút bấm
• Trọng lượng và hình thức phù hợp với việc phải sử dụng thường xuyên và có khả năng
mang bên mình như có thể dễ dàng đeo vào cổ, chùm chìa khoá.
• Có khả năng chống nước (độ sâu 1 mét).
Một số đặc điểm kĩ thuật của Vasco Token (Go6):
• Tạo Mật khẩu dùng một lần (OTP) theo chuẩn DES (Data
Encrytion Standard), 3DES (triple DES) và AES
• OTP được tạo theo yếu tố thời gian có thể thiết lập theo yêu
cầu của công ty Chứng khoán (từ 8s đến vài giờ, mặc định là
36s).
• Thời gian sử dụng 7 năm.
• Màn hình LCD hiển thị 8 kí tự số
• Độc lập với hệ thống máy tính. Loại bỏ các nguy cơ bị phá hoại từ các hệ thống máy tính
• Trọng lượng 14gram, Kích thước 62,7 : 25,9 : 9,8 mm (L:W:H)
• Thiết kế một nút bấm
• Trọng lượng và hình thức phù hợp với việc phải sử dụng thường xuyên và có khả năng
mang bên mình như có thể dễ dàng đeo vào cổ, chùm chìa khoá
• Có khả năng chống nước (độ sâu 1 mét).
• Có khả năng chịu rơi (độ cao 1 mét).
18
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
II.5 Lập kế hoach triển khai Entrust IdentityGuard
II.5.1 Các công việc cần xem xét và thực thi
Trước khi lựa chọn mô hình triển khai phù hợp cho xác thực mạnh 2 yếu tố của Entrust
IdentityGuard, chúng ta cần phải xem xét tới những yêu cầu thực tế của hệ thống như:
• Đánh giá mức độ quan trọng của các ứng dụng để cân bằng chi phí đầu tư.
• Xác định loại ứng dụng nào mà Entrust IdentityGuard sẽ bảo vệ?
o Ứng dụng Web.
o Truy cập Windows.
o Ứng dụng truy cập từ xa.
• Hạ tầng CNTT hiện có của tổ chức:
o Hạ tầng các thiết bị phần cứng, mạng.
o Các phần mềm ứng dụng hiện có, cơ sở dữ liệu…
• Số lượng người dùng cần quản lý cho các truy cập?
• Sử dụng mô hình phân phối thẻ bảo mật nào tới khách hàng? Entrust IdentityGuard hỗ
trợ 2 mô hình cấp phát thẻ sau:
o Mô hình sản xuất thẻ trước khi khách hàng đăng kí.
o Mô hình cung cấp thẻ theo yêu cầu đăng kí của khách hàng.
• Xác định mô hình in ấn và bảo mật thẻ.
Thực thi:
• Xây dựng chính sách bảo mật và các hướng dẫn cụ thể để thực thi chính sách
o Những chích sách về bảo mật, xác thực.
o Hướng dẫn cụ thể những vấn đề về bảo mật đối với thẻ Entrust IdentityGuard
Sử dụng giao thức trao đổi dữ liệu nào khi giao dịch.
Kích thước của ma trân in trên thẻ là bao nhiêu. Độ lớn của mật khẩu
như thế nào, số lần nhập sai mật khẩu tối đa là bao nhiêu.…
• Hướng dẫn cụ thể các yêu cầu kĩ thuật khi vận hành hệ thống
o Phân tách các nhóm máy PC, máy tính.
o Sử dụng máy chủ sao lưu dự phòng, máy chủ chia tải…
o Xây dựng hệ thống mạng (LAN, Intranet, VPN, Internet) đáp ứng yêu cầu của
ứng dụng.
• Quản trị
o Có kế hoạch kiểm tra người dùng đến thời hạn phải thay thế thẻ.
19