Xác thực giống như khóa của một cánh cửa, và xác thực đa yếu tố giống như cánh cửa đó được bảo vệ bởi nhiều ổ khóa. Những ổ khóa này được kết hợp một cách thông minh,và dùng các loại khóa khác nhau để kẻ xâm nhập gắp khó khắn trong việc phá được hết các khóa. Thiết kế xác thực đa yếu tố cũng đòi hỏi những chi tiết tương tự như vậy, sẽ dùng các cách nhiều thực khác nhau cho mỗi lần xác thực. Xác thực đã yếu tố phân chia làm ba loại: dựa vào những điều người dùng biết (what you know) như mật khẩu, dựa vào những điều người dùng có (what you have) như điện thoại di động, và dựa vào những đặc điểm không đổi của người dùng (what you are) như vân tay.
Với sự phát triển vũ bão, điện thoại di động đang là một cách phổ biến để thực hiện xác thực đa yếu tố cho nhiều tổ chức, đặc biệt là tại các ngân hàng trên thế giới. Một phương pháp phổ biến đang được sử dụng tại các ngân hàng Hoa Kỳ là SMS OTP (One Time Password - mật khẩu dùng 1 lần). Sau khi người dùng nạp mật khẩu, máy chủ của ngân hàng sẽ gửi một mật khẩu số (passcode) ngẫu nhiên đến điện thoại của người dùng qua SMS. Và người dùng cần phải nạp mật khẩu số đó để truy nhập tài khoản hay giao dịch trực tuyến trong một thời gian ngắn trước khi mật khẩu này hết hiệu lực. Tại Việt Nam, phương thức xác thực SMS OTP của một số ngân hàng Việt Nam cũng hoạt động theo cách này.
Mặc dù khả năng lấy cắp passcode trên đường truyền viễn thông của SMS để xác thực thành công là rất thấp, nhưng SMS không được mã hóa hoàn toàn trên đường truyền viễn thông, do đó vẫn có những rủi ro nhất định. Để có thể thể tăng tính bảo mật lên mức cao hơn, ngày nay điện thoại thông minh cho phép phát triển những ứng dụng chứa dữ liệu, trong đó có passcode, được mã hóa hoàn toàn trên đường truyền (end-to-end), như là dùng giao thức TLS được nói ở trên. Nhờ đó, ứng dụng có độ an toàn cao hơn và ít bị phụ thuộc vào sự an toàn của mạng viễn thông. Nhưng trong mọi trường hợp, passcode cần phải được hoàn toàn ngẫu nhiên, và các thuật toán sử dụng passcode này để xác thực, cũng như các giao thức hoạt động trong các tình huống khác nhau, cũng cần phải an toàn đến từng chi tiết.
Ngoài ra, cũng có một phương pháp xác thực đa yếu tố an toàn hơn, nhưng tốn kém và khó sử dụng hơn, đó là dùng thẻ thông minh. Phương pháp này tích hợp mã khóa ngẫu nhiên không ai biết và rất khó đọc ra được khỏi thẻ. Cách này thường được các công ty lớn dùng cho nhân viên đăng nhập vào mạng nội bộ. Trong tương lai, còn có một xu hướng phát triển nhiều tiềm năng và mới được phát triển gần đây, nhưng chưa được sử dụng rộng rãi, đó là dùng điện thoại di động như một cái ví điện tử chứa các thẻ điện tử thông minh và người ta có thể dùng các thẻ này cho các phương thức xác thực đa yếu tố.
Gần đây xảy ra 1 số vụ tấn công vào quy trình xác thực của 1 số ngân hàng tại Việt Nam, gây ra những tổn thất tương đối lớn. Những vụ việc này cho thấy là các ngân hàng cần đẩy mạnh việc hướng dẫn người dùng về an toàn thông tin đủ để sử dụng các dịch vụ trực tuyến an toàn hơn, tránh bị lừa đảo. Cả người dùng và ngân hàng cần trung thực với những gì đã diễn ra, để việc điều tra và khắc phục có thể được tiến hành nhanh chóng và hiệu quả nhất.
Ngoài các tấn công theo dạng kỹ thuật, người dùng cần hiểu và tránh một kiểu tấn công phổ biến- phishing, thường là lừa người dùng đến những trang web giả mạo để lấy cắp thông tin cá nhân như mật khẩu, số thẻ tín dụng… Việc xác thực cần được thực hiện bởi cả hai bên, nghĩa là cả trang web xác thực người dùng và người dùng xác thực trang web đều quan trọng. Một số phương pháp để phòng tránh tấn công phishing là nhìn vào thanh địa chỉ của trình duyệt có màu xanh và tên ngân hàng không xác định xem địa chỉ trang web có chính xác không, chữ l không bị thay bằng chữ I hay số 1, chữ O không bị thay bằng số 0… và hạn chế truy cập vào địa chỉ lạ gửi từ email lạ trước khi xác thực danh tính email đó. Về phía ngân hàng, cần xây dựng một hệ thống an toàn và thiết kế cẩn thận từng bước, từ khâu đăng ký đầu tiên tới lúc kết thúc giao dịch để đảm bảo an toàn tối đa cho khách hàng.
Nguyễn Duy Lân - Đồng Sáng lập Veramine Inc., Mỹ
10:00 | 16/10/2018
09:00 | 21/08/2018
09:00 | 18/12/2018
10:00 | 07/01/2019
09:00 | 03/01/2019
14:00 | 16/01/2019
16:00 | 24/09/2018
09:00 | 13/06/2022
13:00 | 07/10/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
17:00 | 30/08/2024
Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Davey Winder - một hacker và cũng là nhà phân tích an ninh mạng kỳ cựu cho biết, các cuộc tấn công mạng đang ngày càng phức tạp và Gmail là một trong những mục tiêu hàng đầu của các tin tặc. Tính năng xác thực hai yếu tố đã không còn an toàn khi có những báo cáo cho thấy tin tặc đã vượt qua biện pháp này.
14:00 | 20/11/2024
