Bảo mật giao dịch trực tuyến với các giải pháp xác thực đa nhân tố

Hiện nay, các lỗ hổng bảo mật và mất mát dữ liệu đang ngày càng xảy ra như cơm bữa và giới tội phạm mạng hiện không chỉ nhằm vào các thông tin cá nhân, đăng nhập và mật khẩu mà đang chuyển mạnh hướng tấn công vào các dữ liệu tài chính và định danh (ID). Kỷ nguyên thông tin đồng nghĩa với nguy cơ hacker có thể đánh cắp thông tin trong thời gian thực, nếu chưa muốn nói là còn nhanh hơn. Do đó, việc bảo vệ các hệ thống thanh toán trở thành cuộc chiến không hồi kết giữa giới tội phạm với những người chủ sở hữu các hệ thống thanh toán.

Mật khẩu đăng nhập là một dạng xác thực danh tính người dùng. Người dùng sẽ sử dụng nó để đăng nhập vào website, ứng dụng và dữ liệu. Nhưng kiểu xác thực danh tính truyền thống này đã trở nên lỗi thời vì hacker ngày nay có đủ khả năng để dễ dàng đánh cắp nó từ người dùng. 

Hiểu được những sự cấp thiết của vấn đề bảo mật thông tin, đồng thời cũng mong muốn góp phần tạo ra một môi trường đầu tư vào thị trường Việt Nam an toàn và trong sạch, Trung tâm Nghiên cứu & Phát triển thuộc công ty Cổ phần Tập đoàn MKđã nghiên cứu, xây dựng và phát triển giải phápmulti-factor authentication hay “xác thực đa nhân tố” nhằm đáp ứng nhu cầu bảo mật và tiếp cận các nguồn thông tin với các mức độ bảo mật khác nhau, hỗ trợ các tổ chức, doanh nghiệp giảm thiểu những rủi ro về nguy cơ mất dữ liệu do việc truy cập trái phép từ bên ngoài. Đây là một phương thức xác thực mới nằm trong giải pháp xác thực bảo mật toàn diện, cung cấp đấy đủ tất cả các phương thức hiện có trên thị trường trong nước và quốc tế để tạo ra mật khẩu sử dụng cho các giao dịch trực tuyến như Hard Token, Thẻ Thông minh (Smartcard), Mobile SMS, Mobile SIM, Thẻ EMV, thẻ Cào (Scratch-Off-Card)...

Tùy theo mức độ an ninh cần thiết, cũng như mức độ thuận tiện, người sử dụng có thể đồng thời dùng một hay nhiều phương thức trên để nâng cao mức độ bảo mật cho hệ thống hoặc tài khoản của mình.

Xác thực đa nhân tố là sự kết hợp tối thiểu của 2 trong 3 nhân tố sau đây:

Những gì mà chỉ bạn mới có: Là tài sản của bạn hoặc tài sản tổ chức của bạn hay nhà cung cấp dịch vụ cung cấp cho bạn (tất nhiên là những tài sản có tính năng xử lý thông tin). Chẳng hạn như smart-card (thẻ thông minh) do công ty cấp cho bạn, điện thoại di động của bạn hoặc là thiết bị OTP của ngân hàng cấp cho bạn.

Những gì thuộc về sinh trắc của bạn: Tức là dấu hiệu nhận biết bạn chính là người dùng hợp lệ thông qua thông tin ngay trên cơ thể của bạn. Chẳng hạn như đồng tử của bạn, tròng mắt của bạn, dấu vân tay của bạn, giọng nói của bạn... Đây được coi là công cụ xác thực hữu hiệu nhất, trong đó phổ biến nhất vẫn là nhận dạng vân tay bởi đặc tính ổn định và độc nhất của nó và cho đến nay, nhận dạng dấu vân tay vẫn được xem là một trong những phương pháp sinh trắc tin cậy nhất. Trên thế giới đã nhiều nơi sử dụng dấu vân tay trong các giao dịch tài chính hay quản lý hộ chiếu, còn ở Việt Nam mới chỉ áp dụng trong chấm công, điểm danh…Với đặc điểm là chi phí cao và khó sử dụng nên tuy mạnh nhưng công nghệ xác thực này vẫn chưa thực sự phổ biến.

Những gì mà chỉ bạn mới biết: Là những thông tin mà một mình bạn tạo ra. Chẳng hạn như tên đăng nhập, mật khẩu đăng nhập, một xâu gồm các ký tự số được sử dụng như trong thẻ ATM, bạn thân của bạn, ngôi trường cấp 1 của bạn,... Đều được quy vào nhóm nhân tố "chỉ mình bạn mới biết" nhưng mà hãy cẩn thận vì điều đó chưa chắc đã đúng.

Việc bảo mật được an toàn cho các thông tin cũng như cho các giao dịch trên Internet thông qua máy tính và điện thoại thông minh có thể nói là vô cùng quan trọng trong việc thúc đẩy các giao dịch trực tuyến trong các lĩnh vực tài chính, ngân hàng, thương mại điện tử, trò chơi trực tuyến. Hiệu quả kinh tế xã hội của giải pháp này đặc biệt cao. Cụ thể, giải pháp này sử dụng 2 kênh là máy tính và tablet, smartphone. Hai thiết bị đều được tích hợp khóa công khai (PKI) và chỉ khi được đặt gần nhau, những dữ liệu quan trọng lưu trữ trên máy tính mới được phép truy cập.

Còn trong trường hợp chiếc smartphone ở vị trí rất xa máy tính nhưng dữ liệu lại đang bị ai đó cố tình truy cập, thì nhiều khả năng máy tính đang bị hacker tấn công và giải pháp sẽ nhanh chóng vô hiệu hóa hành vi trái phép này.

Bên cạnh công nghệ xác thực bằng một số giải pháp đã được biết đến kể trên thì giải pháp mới còn đòi hỏi người dùng muốn truy cập được dữ liệu phải xác thực đến bước thứ tư là xác định vị trí địa lý (trả lời được câu hỏi “Bạn ở đâu?), đòi hỏi xác thực thông qua tọa độ địa lý, giúp giao dịch ngân hàng trực tuyến, chứng khoán, hành chính công điện tử… an toàn hơn. “Giải pháp của MK Smart còn cho phép xác định chính xác vị trí tọa độ của thiết bị lưu trữ dữ liệu. Người dùng có thể linh động tùy biến lựa chọn các nhân tố xác thực tùy theo tính chất của từng giao dịch, có thể là 2, hoặc xác thực đến 3 - 4 nhân tố bao gồm cả xác thực vị trí địa lý đối với những thông tin, giao dịch quan trọng”, ông Lê Minh Quốc, Giám đốc Công nghệ của MK Smart, cho biết.

Cũng theo đại diện MK, cùng với sự bùng nổ của smartphone, tablet và việc ứng dụng công nghệ bảo mật cao trong các hoạt động kinh tế, xã hội…, trong thời gian tới giải pháp xác thực đa nhân tố gồm cả xác thực vị trí địa lý có thể sẽ được ứng dụng phổ biến trong giao dịch ngân hàng, chứng khoán, hành chính công, quản lý tài liệu, thương mại điện tử…

Xác thực đa nhân tố tích hợp tùy biến theo hành vi và thiết bị người dùng có sẵn. Xác lập PKI/OTP trên: Mobile phone, Smart Token, Smartcard, PC/Notebook, Tablet/Smartphone. Ngày nay, với sự phổ biến của các thiết bị di động như smartphone và tablet, chúng cũng được tích hợp thêm chức năng là một yếu tố để xác thực. Một tài khoản người dùng sẽ được liên kết với một hoặc nhiều thiết bị. Dựa vào các thông tin của thiết bị như số IMEI, vị trí, khoảng cách với người đang đăng nhập, mật khẩu của thiết bị… sẽ quyết định xem người dùng có thể đăng nhập được vào hệ thống hay không. Việc tích hợp này rất tiện lợi khi người dùng không phải mang theo các token làm “móc chìa khóa”. Người dùng có thể có tối đa đồng thời 7 loại OTP trong có 3 loại có thể dùng ngay chính điện thoại di động đang có sẵn. Có thể dùng SSO (Single Sign On) và vị trí địa lý với Keypassco.

Theo báo cáo của SafeNet, năm 2013 đã có 30% số công ty tại Mỹ ứng dụng xác thực đa nhân tố vào hệ thống của mình sau sự kiện TARGET bị lộ 4 triệu thẻ thanh toán của khách hàng. Con số này đã tăng lên 37% ở năm tiếp theo và tăng đến 56% tới cuối năm 2016.

An toàn, bảo mật trong giao dịch điện tử là hết sức quan trọng, trong đó xác thực người sử dụng là một trong những khâu cốt lõi. Với xác thực đa yếu tố, ta có thể tăng mức độ an toàn, bảo mật  nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ an toàn bảo mật sẽ càng cao khi số yếu tố xác thực càng nhiều. Khi số yếu tố xác thực lớn thì hệ thống càng phức tạp, kéo theo chi phí đầu tư và duy trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng. Do vậy, trên thực tế để cân bằng giữa an toàn, bảo mật và tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố và xác thực ba yếu tố (three-factor authentication- 3FA). Xác thực đa yếu tố dù có mức độ an toàn, bảo mật cao hơn, nhưng cũng cần các biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn trong giao dịch điện tử.