Xác thực đa yếu tố và sự ngộ nhận về bảo mật

Trong nhiều tình huống, để xác minh danh tính của người dùng khi đăng nhập hoặc khi thực hiện các giao dịch nhạy cảm, phía cung cấp dịch vụ sẽ gửi mã OTP qua số điện thoại để xác nhận hệ thống. Đây là một thành phần của kỹ thuật xác thực đa yếu tố (MFA).

Microsoft từng tuyên bố biện pháp bảo mật này có thể ngăn chặn 99,9% các cuộc tấn công vào tài khoản. Tuy nhiên, trên thực tế người dùng vẫn có nguy cơ bị xâm phạm nếu tuyệt đối hóa vai trò của MFA mà xem nhẹ những yếu tố khác.

Xác thực đa yếu tố là gì?

Xác thực đa yếu tố (MFA) là một công nghệ bảo mật yêu cầu nhiều phương pháp xác thực từ các danh mục thông tin độc lập để xác minh danh tính của người dùng cho một lần đăng nhập hoặc giao dịch.

MFA kết hợp 2 hoặc nhiều thông tin xác thực độc lập, bao gồm: những gì người dùng biết, chẳng hạn như mật khẩu; những gì người dùng có, chẳng hạn như mã thông báo bảo mật; và người dùng là ai, bằng cách sử dụng các phương pháp xác minh sinh trắc học (vân tay, khuôn mặt, mống mắt…).

Mục tiêu của MFA là tạo ra một lớp bảo vệ khiến người thứ 3 khó tiếp cận mục tiêu hơn, chẳng hạn như vị trí thực, thiết bị máy tính, mạng hoặc cơ sở dữ liệu. Nếu một yếu tố bị xâm phạm hoặc bị phá vỡ, kẻ tấn công vẫn có ít nhất một hoặc nhiều rào cản cần phá vỡ trước khi đột nhập thành công mục tiêu.

Trước đây, các hệ thống MFA thường dựa vào xác thực hai yếu tố (2FA). Ngày càng có nhiều nhà cung cấp sử dụng MFA, yêu cầu hai hoặc nhiều thông tin xác thực để giảm khả năng xảy ra tấn công mạng. Xác thực đa yếu tố là thành phần cốt lõi của khuôn khổ quản lý truy cập và nhận dạng.

Các phương pháp xác thực đa yếu tố

Mỗi yếu tố xác thực là một loại chứng chỉ được sử dụng để xác minh danh tính. Đối với MFA, chúng bổ sung cho nhau, nhằm mục đích tăng cường bảo mật. Hệ thống sẽ hiểu rõ ai, hay cái gì đang giao dịch hoặc yêu cầu quyền truy cập. Việc sử dụng nhiều hình thức xác thực có thể khiến công việc của hacker trở nên khó khăn hơn.

Yếu tố tri thức

Xác thực dựa trên tri thức thường yêu cầu người dùng trả lời câu hỏi bảo mật cá nhân. Công nghệ yếu tố tri thức thường bao gồm mật khẩu, số nhận dạng cá nhân bốn chữ số (PIN) và mật khẩu dùng một lần (OTP). Các tình huống sử dụng điển hình bao gồm:

- Quẹt thẻ ghi nợ và nhập mã PIN khi thanh toán tại cửa hàng;

- Tải xuống một ứng dụng mạng riêng ảo có chứng chỉ kỹ thuật số hợp lệ và đăng nhập vào VPN trước khi có quyền truy cập vào mạng;

- Trả lời câu hỏi bảo mật, chẳng hạn như "tên thời con gái của mẹ" hoặc "địa chỉ trước đây", để có quyền truy cập hệ thống.

Yếu tố chiếm hữu

Người dùng phải có thứ gì đó cụ thể để truy cập, chẳng hạn như huy hiệu, token phần cứng, thẻ từ hoặc SIM điện thoại. Để xác thực trên thiết bị di động, smartphone thường cung cấp yếu tố sở hữu kết hợp với ứng dụng OTP.

Các công nghệ được trang bị cho người dùng để sử dụng yếu tố xác thực này thường bao gồm:

- Token bảo mật: thiết bị phần cứng nhỏ lưu trữ thông tin cá nhân của người dùng và được sử dụng để xác thực danh tính của người đó bằng điện tử. Thiết bị có thể là thẻ thông minh, chip được nhúng trong một đối tượng, chẳng hạn như ổ USB hoặc thẻ không dây.

- Ứng dụng mã thông báo bảo mật dựa trên phần mềm tạo mã PIN đăng nhập sử dụng một lần (OTP). Mã thông báo mềm thường được sử dụng để xác thực đa yếu tố di động, trong đó bản thân thiết bị - chẳng hạn như điện thoại thông minh - cung cấp xác thực yếu tố sở hữu.

Các tình huống sử dụng điển hình:

- Xác thực di động, trong đó người dùng nhận mã qua điện thoại thông minh của họ để lấy hoặc cấp quyền truy cập - các biến thể bao gồm tin nhắn văn bản và cuộc gọi điện thoại được gửi đến người dùng dưới dạngphương thức ngoài băng tần , ứng dụng OTP trên điện thoại thông minh, thẻ SIM và thẻ thông minh với xác thực được lưu trữ dữ liệu; và

- Kết nối USB token bảo mật vào máy tính để tạo OTP và dùng mã này để đăng nhập vào ứng dụng VPN.

Yếu tố sở hữu

Bất kỳ đặc điểm sinh học nào của người dùng đã được xác nhận để đăng nhập. Bao gồm các yếu tố: quét võng mạc hoặc mống mắt; quét vân tay; xác thực bằng giọng nói;hình dạng bàn tay; chữ ký số; nhận dạng khuôn mặt; hình dạng dái tai.

Các thành phần của thiết bị sinh trắc học bao gồm một đầu đọc, một cơ sở dữ liệu và phần mềm để chuyển đổi dữ liệu sinh trắc học được quét thành một định dạng kỹ thuật số được tiêu chuẩn hóa và so sánh các điểm phù hợp của dữ liệu quan sát với dữ liệu được lưu trữ.

Quan điểm sai lầm về MFA

Nhiều người tin rằng chỉ cần cung cấp số điện thoại cho các dịch vụ điện toán đám mây để xác thực thì có thể an toàn trước các cuộc tấn công mạng. Tuy nhiên, đó là một quan điểm sai lầm. Xác thực đa yếu tố (MFA) giúp người dùng và doanh nghiệp nâng cao khả năng bảo mật nhưng vẫn không thể bảo đảm tuyệt đối.

Cách đây chưa lâu, một vụ tấn công nhằm vào sàn giao dịch tiền mã hóa Coinbase đã vượt qua được hàng rào MFA và đánh cắp tài khoản của hơn 6.000 khác hàng.

Coinbase đã hoàn lại số tiền cho những khách hàng bị ảnh hưởng và khuyến nghị họ sử dụng các phương pháp thay thế như mật khẩu dùng một lần dựa trên thời gian (TOTP) hoặc khóa bảo mật phần cứng - tuy nhiên thiệt hại vật chất không là gì so với sự xói mòn niềm tin vào MFA.

Theo Báo cáo Điều tra Vi phạm Dữ liệu (DBIR) mới nhất của Verizon, 61% vụ vi phạm dữ liệu năm 2020 liên quan đến việc lạm dụng thông tin đăng nhập và mua bán mật khẩu người dùng tràn lan trên dark web. Về cơ bản, một phương thức bảo mật đơn lẻ không đủ bảo vệ người dùng trước sự tấn công của tội phạm mạng.

Một nghiên cứu gần đây cho thấy 32,5% công ty bị nhắm mục tiêu bởi các cuộc tấn công brute-force (thử sai mật khẩu) chỉ trong một tháng, với 60% cơ hội chiếm đoạt tài khoản thành công mỗi tuần.

Do đó, chi tiêu cho các giải pháp MFA đang tăng lên nhanh chóng. Thị trường toàn cầu trong lĩnh vực này dự kiến sẽ tăng từ 10,7 tỷ USD vào năm ngoái lên 37,6 tỷ USD đến năm 2027 - tốc độ tăng trưởng hàng năm là 19,6%.

Mặc dù nó có thể bị xâm phạm, MFA vẫn tỏ ra hiệu quả trong việc chống lại một số loại tấn công. Theo nghiên cứu được thực hiện bởi Google cùng với Đại học New York và Đại học California, San Diego, việc sử dụng mã SMS được gửi đến điện thoại khôi phục đã chặn 100% các bot tự động, 96% các cuộc tấn công lừa đảo hàng loạt và 76% các cuộc tấn công có chủ đích.

Mặc dù công nghệ đã hoàn thiện và được phổ biến rộng rãi, các báo cáo liên tục về những vụ hack MFA cho thấy nó vẫn bị qua mặt trong nhiều tình huống. Tin tặc đã dành nhiều năm nghiên cứu các hệ thống MFA, tìm hiểu cách chúng hoạt động và những điểm có thể dễ bị tấn công.

Gần đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã cảnh báo về một loạt các vụ tấn công MFA và đưa ra các khuyến nghị. Bên cạnh sử dụng MFA, các doanh nghiệp cần xem xét thường xuyên Active Directory để tìm các điểm bất thường; hạn chế khả năng chấp thuận của người dùng đối với các ứng dụng tích hợp; ghi nhật ký truy cập của người dùng…

Google, Microsoft và MFA

"Google và Microsoft đã nhầm lẫn với những tuyên bố của họ về tính hiệu quả của MFA. Các công ty này sử dụng một số chuyên gia hàng đầu về công nghệ và an ninh mạng, những người nhận thức rõ về những hạn chế của MFA và bất kỳ phương pháp phòng thủ mạng nào", Steve Morgan, người sáng lập Cybersecurity Ventures cho biết.

Trên blog dành cho nhà phát triển, Microsoft cho biết so với các cuộc tấn công nhằm vào phương thức bảo mật bằng mật khẩu, các cuộc tấn công nhắm vào các trình xác thực đa yếu tố là "cực kỳ hiếm".

Theo Cybersecurity Ventures, các gã khổng lồ công nghệ hướng đến một điểm quan trọng là MFA hiện chưa được sử dụng đầy đủ. Phương thức bảo mật này có lợi ích lớn đối với người dùng và doanh nghiệp nếu được kích hoạt. Do đó, họ và các nhà cung cấp giải pháp an ninh mạng khác vẫn giữ niềm tin rằng MFA sẽ đánh bại kỹ thuật xâm nhập và các mối đe dọa nhất định với tỷ lệ 99%, thậm chí là 100%.

"MFA đang ru ngủ một số doanh nghiệp vào tạo ra cảm giác an toàn sai lầm. Đó là một mối đe dọa mạng", Steve Morgan  nói thêm. "Theo quan điểm của chúng tôi, chỉ có thể nói MFA hiệu quả 50%. Hoặc thậm chí không nên gắn một giá trị thống kê nào cho nó", ông nhận xét thêm.

Theo quan điểm của Kevin Mitnick, Giám đốc bảo mật công ty KnowBe4, người đã công bố một video chứng minh ông vượt qua được hàng rào MFA của Linkedln, xác thực đa yếu tố đóng vai trò quan trọng, ngăn chặn phần lớn cuộc tấn công mạng. Tuy nhiên, nó không an toàn tuyệt đối 100%.

"Bất kể bạn sử dụng giải pháp MFA nào, giáo dục ý thức người dùng chính là chìa khóa", Roger Grimes, một chuyên gia bảo mật khác tại KnowBe4 nêu ý kiến. "Bạn hiểu cách sử dụng thứ gì đó không có nghĩa là mọi người đều hiểu. Nó không liên quan gì đến trí thông minh; nó liên quan đến giáo dục và nhận thức", ông cho biết thêm.