Kết hợp các phương pháp xác thực trong ngân hàng để tăng tính bảo mật

Một trong những yêu cầu quan trọng của của an toàn thông tin là xác thực danh tính (authentication) của đối tượng được cấp quyền sử dụng các tài nguyên điện toán (authorization digital resources) như truy nhập tài khoản, thực hiện giao dịch trực tuyến, hay truy nhập máy tính… Phương thức xác thực trực tuyến phổ biến nhất là dùng mật khẩu (được đảm bảo bởi giao thức mật mã TLS) kết hợp với http để tạo thành giao thức https. Tuy nhiên, độ an toàn của phương thức này không cao, vì mật khẩu cần không quá khó nhớ đối với người dùng nhưng phải đảm bảo tính khó bị phá. Cho nên, các phương thức xác thực trực tuyến hiện đại thường kết hợp mật khẩu với các yếu tố khác để tạo nên xác thực đa yếu tố (multi-factor authentication).




Xác thực giống như khóa của một cánh cửa, và xác thực đa yếu tố giống như cánh cửa đó được bảo vệ bởi nhiều ổ khóa. Những ổ khóa này  được kết hợp một cách thông minh,và dùng các loại khóa khác nhau để kẻ xâm nhập gắp khó khắn trong việc phá được hết các khóa. Thiết kế xác thực đa yếu tố cũng đòi hỏi những chi tiết tương tự như vậy, sẽ dùng các cách nhiều thực khác nhau cho mỗi lần xác thực. Xác thực đã yếu tố phân chia làm ba loại: dựa vào những điều người dùng biết (what you know) như mật khẩu, dựa vào những điều người dùng có (what you have) như điện thoại di động, và dựa vào những đặc điểm không đổi của người dùng (what you are) như vân tay.


Với sự phát triển vũ bão, điện thoại di động đang là một cách phổ biến để thực hiện xác thực đa yếu tố cho nhiều tổ chức, đặc biệt là tại các ngân hàng trên thế giới. Một phương pháp phổ biến đang được sử dụng tại các ngân hàng Hoa Kỳ là SMS OTP (One Time Password - mật khẩu dùng 1 lần). Sau khi người dùng nạp mật khẩu, máy chủ của ngân hàng sẽ gửi một mật khẩu số (passcode) ngẫu nhiên đến điện thoại của người dùng qua SMS. Và người dùng cần phải nạp mật khẩu số đó để truy nhập tài khoản hay giao dịch trực tuyến trong một thời gian ngắn trước khi mật khẩu này hết hiệu lực. Tại Việt Nam, phương thức xác thực SMS OTP của một số ngân hàng Việt Nam cũng hoạt động theo cách này.

Mặc dù khả năng lấy cắp passcode trên đường truyền viễn thông của SMS để xác thực thành công là rất thấp, nhưng SMS không được mã hóa hoàn toàn trên đường truyền viễn thông, do đó vẫn có những rủi ro nhất định. Để có thể thể tăng tính bảo mật lên mức cao hơn, ngày nay điện thoại thông minh cho phép phát triển những ứng dụng chứa dữ liệu, trong đó có passcode, được mã hóa hoàn toàn trên đường truyền (end-to-end), như là dùng giao thức TLS được nói ở trên. Nhờ đó, ứng dụng có độ an toàn cao hơn và ít bị phụ thuộc vào sự an toàn của mạng viễn thông. Nhưng trong mọi trường hợp, passcode cần phải được hoàn toàn ngẫu nhiên, và các thuật toán sử dụng passcode này để xác thực, cũng như các giao thức hoạt động trong các tình huống khác nhau, cũng cần phải an toàn đến từng chi tiết.

Ngoài ra, cũng có một phương pháp xác thực đa yếu tố an toàn hơn, nhưng tốn kém và khó sử dụng hơn, đó là dùng thẻ thông minh. Phương pháp này tích hợp mã khóa ngẫu nhiên không ai biết và rất khó đọc ra được khỏi thẻ. Cách này thường được các công ty lớn dùng cho nhân viên đăng nhập vào mạng nội bộ. Trong tương lai, còn có một xu hướng phát triển  nhiều tiềm năng và mới được phát triển gần đây, nhưng chưa được sử dụng rộng rãi, đó là dùng điện thoại di động như một cái ví điện tử chứa các thẻ điện tử thông minh và người ta có thể dùng các thẻ này cho các phương thức xác thực đa yếu tố.

Gần đây xảy ra 1 số vụ tấn công vào quy trình xác thực của 1 số ngân hàng tại Việt Nam, gây ra những tổn thất tương đối lớn. Những vụ việc này cho thấy là các ngân hàng cần đẩy mạnh việc hướng dẫn người dùng về an toàn thông tin đủ để sử dụng các dịch vụ trực tuyến an toàn hơn, tránh bị lừa đảo. Cả người dùng và ngân hàng cần trung thực với những gì đã diễn ra, để việc điều tra và khắc phục có thể được tiến hành nhanh chóng và hiệu quả nhất.

Ngoài các tấn công theo dạng kỹ thuật, người dùng cần hiểu và tránh một kiểu tấn công phổ biến - phishing, thường là lừa người dùng đến những trang web giả mạo để lấy cắp thông tin cá nhân như mật khẩu, số thẻ tín dụng… Việc xác thực cần được thực hiện bởi cả hai bên, nghĩa là cả trang web xác thực người dùng và người dùng xác thực trang web đều quan trọng. Một số phương pháp để phòng tránh tấn công phishing là nhìn vào thanh địa chỉ của trình duyệt có màu xanh và tên ngân hàng không xác định xem địa chỉ trang web có chính xác không, chữ l không bị thay bằng chữ I hay số 1, chữ O không bị thay bằng số 0… và hạn chế truy cập vào địa chỉ lạ gửi từ email lạ trước khi xác thực danh tính email đó. Về phía ngân hàng, cần xây dựng một hệ thống an toàn và  thiết kế cẩn thận từng bước, từ khâu đăng ký đầu tiên tới lúc kết thúc giao dịch để đảm bảo an toàn tối đa cho khách hàng.