• Thứ Tư, 31/10/2007 06:44 (GMT+7)

    Khóa thêm password

    Giải pháp xác thực hai khoá có thể chống đỡ tốt hơn các cuộc tấn công gian lận trực tuyến.

    Giải pháp xác thực hai khóa có thể chống đỡ tốt hơn các cuộc tấn công gian lận trực tuyến.

    Lâu nay, việc bảo mật trong lĩnh vực CNTT chủ yếu dựa trên một khóa duy nhất: mật khẩu (password). Từ đăng nhập máy tính, phần mềm ứng dụng đến đăng nhập máy chủ công ty và cả website ngân hàng, phương tiện chính để xác thực người dùng chỉ là password (tên đăng nhập hay user name - cũng là một dạng password - không có ý nghĩa bảo mật vì thường không được mã hóa). Thế nhưng, hầu hết các chuyên gia bảo mật đều nhận định password không còn an toàn trước các thủ đoạn tấn công hiện nay. Vấn đề với pasword đó là “ai nhập cũng như nhau”.

    Password là “cái mà bạn biết” với hy vọng người khác không biết. Nhưng bạn có thể vô tình để lộ password hay bị người khác cố tình đọc trộm. Password cũng dễ đoán, dễ bị “bẻ khóa” hay đánh cắp (các chương trình mã độc như "Trojan horse" và "key logger" thường được tin tặc dùng cho mục đích này). Và khi điều đó xảy ra thì “ai cũng như ai”.

          Trừ phi không biết hay “làm ngơ” về vấn đề bảo mật, còn đa phần người dùng đều có cảm giác bất an khi gõ password đăng nhập dịch vụ trực tuyến nào đó trên máy tính bất kỳ (nhất là máy tính công cộng). Lý do: password có thể bị “ngó” trộm.

    Một số công ty áp dụng chính sách thay đổi password thường xuyên và sử dụng password phức tạp để tăng độ an toàn, nhưng đây không phải là giải pháp tốt và cũng không thật hiệu quả.

    “Cái bạn biết” (password) người khác có thể biết, nhưng “cái bạn có” khó ai có được. Đó chính là cơ sở nền tảng của giải pháp xác thực hai khóa có khả năng bảo vệ tài khoản trực tuyến an toàn hơn. Hai khóa tốt hơn một khóa. Không như password, khóa thứ hai (cái người dùng có) thường là một vật hữu hình, đem đến cảm giác “chắc chắn” hơn cho người sở hữu. Một ứng dụng đời thường của giải pháp xác thực hai khóa đó là hệ thống ATM. Để rút tiền, người dùng cần phải đưa vào thẻ (cái họ có) và gõ mã số (cái họ biết).

    Hệ thống ATM đã có từ lâu và giải pháp xác thực hai khóa cũng không phải mới. RSA đã đưa ra giải pháp SecureID từ năm 1995. Nhưng mãi đến gần đây, khi chi phí triển khai không còn quá đắt và có nhiều lựa chọn tiện lợi hơn, xu hướng giao dịch trực tuyến phát triển và các cuộc tấn công tài khoản ngày càng nghiêm trọng thì thị trường “khóa hai” (khóa bổ sung cho password) mới trở nên sôi động.

    Khóa hai, nhiều lựa chọn

    Để triển khai giải pháp xác thực hai khóa, ngoài phần cứng (khóa hai) còn cần phần mềm ở phía máy chủ. Phần mềm này, được gọi là “máy chủ xác thực”, có chức năng quản lý và kiểm soát khóa hai. Trên thị trường hiện có nhiều hãng cung cấp phần mềm và phần cứng cho xác thực hai khóa. Một số hãng cung cấp phần mềm máy chủ xác thực chỉ làm việc với phần cứng của mình; nhưng cũng có những phần mềm máy chủ xác thực làm việc được với khóa của nhiều hãng khác nhau.

    Một cách tổng quát, có thể phân thành hai loại khóa hai: loại kết nối và loại không kết nối.

    • Loại kết nối: làm việc với trực tiếp với hệ thống xác thực bằng cách truyền dữ liệu qua một kết nối vật lý (như USB hay Bluetooth), giảm thiểu việc tác động của người dùng.

    • Loại không kết nối: cần người dùng trung chuyển thông tin giữa khóa hai và hệ thống xác thực.

    Dưới đây sẽ phân tích từng loại khóa hai và so sánh các tính năng của chúng.

    1. Thiết bị OTP

    Thiết bị sinh password một lần - OTP (One Time Password) là loại khóa hai được dùng phổ biến nhất hiện nay vì rẻ và dễ dùng. Như tên gọi, OTP chỉ có giá trị sử dụng một lần nên tính bảo mật cao: sau khi người dùng gõ vào và đăng nhập thành công thì password này hết hiệu lực (lần đăng nhập sau sẽ dùng password khác); tin tặc nếu có lấy trộm password này cũng không đăng nhập hệ thống được.

    Dựa trên thuật toán sinh password, thiết bị OTP cứng có 2 dạng: đồng bộ thời gian và dùng bộ đếm.

    • Loại đồng bộ thời gian tạo ra mã số khó đoán (mật mã hay khóa) dựa vào đồng hồ trong và mã số này được xác thực với điều kiện đồng hồ trong của thiết bị OTP đồng bộ với máy chủ xác thực. Do sự xê dịch của đồng hồ, việc đồng bộ tuyệt đối chính xác là không thể nên máy chủ xác thực phải chấp nhận các khóa có sự sai lệch đôi chút. Điều quan trọng đó là thu hẹp hết mức “khung cửa” này để giảm thiểu khả năng bị tấn công. Đa phần các nhà cung cấp thiết bị OTP áp dụng phương thức cộng dồn thời gian xê dịch để điều chỉnh với mỗi xác thực thành công. Thiết bị OTP đồng bộ thời gian có thể phải cân chỉnh lại nếu không được sử dụng một thời gian dài.

    • Loại dùng bộ đếm tăng bộ đếm trong mỗi khi sinh ra một khóa mới và khóa này được xác thực với điều kiện bộ đếm trong của thiết bị OTP đồng bộ với máy chủ xác thực. Khác với bộ đếm trong của thiết bị OTP, bộ đếm của máy chủ được điều chỉnh với mỗi xác thực thành công. Với loại này, thiết bị OTP và máy chủ xác thực dễ bị “mất đồng bộ”.

    So với thiết bị OTP đồng bộ thời gian, thiết bị OTP dùng bộ đếm kém an toàn hơn trong việc chống đỡ kiểu tấn công thụ động online và offline. Tin tặc có thể thực hiện tấn công kiểu giả mạo (phishing) và thu thập nhiều khóa để dùng sau đó, hay ai đó lấy được thiết bị này có thể tạo sẵn các khóa mà không hành động ngay. Một số thiết bị OTP được bảo vệ bằng mã PIN (tương tự password), phương thức này chống được kiểu tấn công offline nhưng không chống được kiểu tấn công online. Cũng có một số thiết bị OTP có khả năng sinh chữ ký số và đây là công cụ hiệu quả để chống lại các cuộc tấn công chủ động.

    Cả hai loại thiết bị OTP trên đều dùng pin và phải thay sau vài năm. Mỗi thiết bị được tạo duy nhất với mã số riêng do vậy người dùng phải lập lại quy trình đăng ký mỗi khi thay thế thiết bị OTP.

    Một biến thể của thiết bị OTP đó là dùng phần mềm giả lập thiết bị phần cứng, cài trên thiết bị di động như PDA hay điện thoại di động (ĐTDĐ). Đây là giải pháp hiệu quả và ít tốn kém, ít nhất cho đến khi các thiết bị di động trở nên dễ bị can thiệp như máy tính và người ta cũng phải cài đặt firewall, trình chống virus, công cụ lọc spam... trên các thiết bị này. Thiết bị OTP "mềm" thường là mục tiêu nhân sao và người dùng có thể bị mất quyền kiểm soát khóa mềm của mình mà không biết.

    Thiết bị OTP mềm trên thiết bị di động có thêm mã PIN bảo vệ gần đạt như thiết bị OTP cứng. Tuy không có chi phí phần cứng (thiết bị di động có sẵn) và chi phí phân phối trực tiếp nhưng khi triển khai đại trà có thể phải đối mặt với khó khăn trong việc cài đặt và vận hành phần mềm trên danh mục ĐTDĐ mở rộng không ngừng và cũng phải cân nhắc đến số người dùng, tuy nhỏ, không có ĐTDĐ tương thích hay không có ĐTDĐ.

    2. Khóa SMS

    SMS cũng có thể được dùng làm phương tiện sinh OTP như khóa hai. Có hai dạng khóa SMS: tức thời và lô.

    • Với phương thức SMS tức thời, trước tiên người dùng thực hiện đăng nhập với password như bình thường, nếu thành công máy chủ xác thực sẽ sinh OTP và gửi ngay SMS cho người dùng để hoàn tất khóa xác thực thứ hai. Giao thức SMS không bảo đảm gửi tin thành công hay gửi kịp thời. Điều này có thể làm giảm tính khả dụng của việc xác thực hai khóa dựa trên SMS.

    • Với khóa SMS lô thì khác, người dùng nhận một danh sách mã số trước khi đăng nhập. Mỗi mã số gắn với một ký tự hay số dòng. Người dùng cần nhập vào mã số tương ứng với dòng yêu cầu để làm khóa xác thực thứ hai. SMS lô có thể giảm đáng kể chi phí SMS và khắc phục được vấn đề chất lượng dịch vụ của giao thức SMS vì danh sách được gửi đến người dùng trước khi họ thực sự cần đến. Tuy nhiên khuyết điểm của SMS lô là khả năng bị tấn công lớn hơn.

    Ngoài ra, còn có một hình thức khóa SMS khác đơn giản hơn: "reply" ký tự quy ước nào đó, chẳng hạn dấu #. Sau khi đăng nhập với username và password, người dùng sẽ nhận được cuộc gọi hay tin nhắn SMS và nhấn # trả lời để xác thực lần hai. Với cách này, việc xác thực được thực hiện trên 2 kênh khác nhau: một qua đường Internet và một qua sóng di động.

    3. Smartcard và thiết bị đọc

    Smartcard an toàn hơn thẻ từ (với công nghệ hiện nay có thể dễ dàng làm giả thẻ từ). Nhiều ngân hàng hiện đã chuyển sang dùng smartcard có chip bảo vệ.

    Một ưu điểm phụ của việc áp dụng smartcard đó là khả năng dùng cho xác thực trực tuyến. Việc này yêu cầu người dùng phải có thiết bị đọc smartcard. Với khả năng lưu chứa thông tin chứng nhận và sinh chữ ký cho giao dịch, smartcard được xem là thiết bị xác thực tốt nhất. Có lẽ các tổ chức tài chính cuối cùng sẽ chuyển sang dùng smartcard, nhưng chi phí triển khai cơ sở hạ tầng cộng với chi phí trang bị thiết bị đọc thẻ cho người dùng có thể là trở ngại ban đầu.
    Nguyên tắc xác thực với smartcard là "ký" bằng mật mã. Chữ ký này được xử lý bảo mật bằng chip trong smartcard. Mật mã không bao giờ rời khỏi cái vỏ an toàn của smartcard nên cung cấp mức bảo mật cao nhất. Việc truy cập các chức năng smartcard có thể được bảo vệ bằng mã PIN.

    Có 2 loại thiết bị đọc smartcard: kết nối và không kết nối.

    • Loại kết nối có thể giao tiếp trực tiếp với thiết bị đầu cuối của người dùng (qua USB, Bluetooth, ...) để trao đổi khóa. Bộ đọc kết nối yêu cầu cài đặt phần mềm trên thiết bị đầu cuối của người dùng để thuận tiện trao đổi dữ liệu giữa thiết bị đọc và máy chủ xác thực.

    • Loại không kết nối không có giao tiếp trực tiếp với thiết bị đầu cuối của người dùng; người dùng phải trung chuyển thông tin giữa phía xác thực và thiết bị đọc. Người dùng nhập vào mật mã trên thiết bị đọc thông qua bàn phím và trình ứng dụng smartcard sẽ sinh khóa mã hóa rút gọn (thường là 6-11 chữ số) rồi hiển thị kết quả cho người dùng.

    Bộ đếm ATC (Application Transaction Counter - bộ đếm giao dịch ứng dụng) được dùng để sinh khóa mã hóa. ATC tăng lên mỗi khi sinh một khóa. Máy chủ xác thực dùng thuật toán đồng bộ ATC và cho phép một khoảng sai lệch nhất định khi kiểm tra khóa mã hoá. Thường giải pháp xác thực smartcard được triển khai với ít nhất 2 trình ứng dụng, mỗi cái dùng một ATC riêng: một để xác thực và một để cho phép thẻ tín dụng ở thiết bị đầu cuối của người bán đề phòng tình huống việc đồng bộ ATC bị trục trặc.

     

    SMS TỐT CHO NGÂN HÀNG

     
     

    Sự “lỏng lẻo” của pasword, đặc biệt là password có liên quan đến tài chính, kích thích tin tặc. Số vụ tấn công liên quan đến mã số thẻ tín dụng (một dạng password) và thông tin tài khoản ngân hàng (bao gồm password đăng nhập) không ngừng tăng. Theo một báo cáo mới đây của Symantec, thông tin tài khoản ngân hàng được giá nhất trên thị trường “đen”, có thể lên đến 400USD.
    Để bảo vệ khách hàng và bảo vệ mình, nhiều ngân hàng đã áp dụng phương thức xác thực hai khóa cho dịch vụ giao dịch trực tuyến của mình. Đặc biệt, do sự phổ biến của ĐTDĐ, nhiều ngân hàng ở châu Âu và châu Á chọn phương thức xác thực qua SMS nhằm tạo tiện lợi cho khách hàng.
    Vibha Coburn, giám đốc Citibank Online Singapore, nói: “Chúng tôi chọn SMS vì hiện nay hầu như ai cũng có ĐTDĐ. Nó tiện lợi, dễ dùng và linh hoạt, khách hàng không cần mang theo thêm một thiết bị nào khác để giao dịch ngân hàng trực tuyến”.
    Ngoài Citibank Singapore và Hongkong, có thể kể thêm một số ngân hàng tên tuổi khác cũng chọn SMS như: Standard Chartered, OCBC, Commonwealth Bank...
    Có một số ý kiến e ngại việc xác thực qua SMS bị lệ thuộc vào mức độ phủ sóng của mạng di động, nhưng việc này cũng đâu khác gì sự lệ thuộc vào đường truyền Internet để thực hiện giao dịch trực tuyến.
    Hiện tại, SMS là giải pháp bảo mật khá lý tưởng (rẻ, tiện lợi, an toàn hơn) cho giao dịch trực tuyến. Một số dịch vụ ngân hàng và chứng khoán trực tuyến tại Việt Nam hiện cũng đã áp dụng phương thức xác thực này.

     
     
     

    4. USB có chip

    Khóa USB dễ dùng và nhỏ gọn. Về chức năng, khóa USB có gắn chip tương đương với smartcard cộng với bộ đọc (hầu như tất cả máy tính hiện nay đều có cổng USB).

    Giống như thiết bị đọc thẻ chip loại kết nối, thường người dùng cần phải cài đặt phần mềm trên máy tính mới có thể làm việc với khóa USB. Tuy nhiên, cũng có những giải pháp "portable" cài sẵn phần mềm ngay trên thiết bị USB, phần mềm này có thể tự chạy khi khóa USB được gắn vào máy tính.

    Một số khóa USB có thêm mã PIN bảo vệ hay dùng một dạng nào đó khác để xác thực người dùng chẳng hạn như quét vân tay.

    5. Sinh trắc

    Đa phần các thiết bị chúng ta xem xét ở trên đều có thể kết hợp với thiết bị quét dấu hiệu sinh trắc như vân tay hay con ngươi để xác thực người dùng. Nhận dạng sinh trắc "dương" sẽ mở khóa tính năng của thiết bị; thiết bị này vẫn cần sinh ra một dạng mật mã nào đó để chứng minh với máy chủ xác thực. Ví dụ thiết bị đọc thẻ chip thông thường đi kèm với bàn phím số cho phép người dùng nhập vào mã PIN và tự xác thực thẻ chip trước khi sinh mật mã. Bàn phím nhập mã PIN có thể được thay bằng thiết bị quét vân tay thân thiện với người dùng hơn.

    Tuy dễ dùng, có triển vọng và thời thượng, nhưng các bộ cảm biến sinh trắc hiện vẫn còn khá đắt.


    Chống phishing?


    Giải pháp xác thực hai khóa khắc phục được vấn đề rò rỉ password. Ví dụ nếu có ai đó biết được password của bạn, họ vẫn không thể thực hiện giao dịch trực tuyến với danh nghĩa của bạn vì không có khóa hai. Tương tự, nếu khóa hai bị thất lạc, nó cũng vô dụng đối với ai đó vô tình có được vì họ không có password.

    Một câu hỏi thú vị đặt ra là liệu khóa hai có giải quyết được vấn đề phishing hay không. Thuần túy về mặt kỹ thuật, câu trả lời là không. Giả sử có kẻ thiết lập một site phishing giả mạo website ngân hàng mà bạn giao dịch (ngân hàng này có áp dụng giải pháp xác thực hai khóa). Nếu bạn cung cấp password của mình và mật mã khóa hai cho site giả mạo, kẻ đó có thể được dùng ngay thông tin này. Hay là, kẻ đó có thể thay đổi bất kỳ giao dịch nào trong phiên làm việc của bạn theo hướng có lợi cho hắn (chẳng hạn chuyển tiền vào tài khoản của hắn thay vì tài khoản đối tác của bạn).

    Tuy nhiên khóa hai không phải vô ích. Cụ thể, nó tác động về mặt kinh tế đối với phishing. Tuy tất cả những kẻ tấn công phishing đều quan tâm đến việc thu thập thông tin nhạy cảm (như số thẻ tín dụng, password tài khoản ngân hàng...), nhưng chỉ có một số ít quan tâm đến việc sử dụng những thông tin này, còn phần đông rao bán trên thị trường "đen". Ít ra, khóa hai sẽ gây khó khăn hơn cho việc sử dụng những thông tin đánh cắp này và làm giảm lợi nhuận của phishing.

    Nếu khóa hai trở nên phổ biến, các kẻ tấn công phishing có thể sẽ thay đổi cuộc chơi và các cuộc tấn công thời gian thực sẽ ngày càng nhiều hơn. Tóm lại, khóa hai cũng không đủ bảo vệ an toàn về lâu dài, nhưng hiện tại nó được việc.

    Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.

    Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.

    Thông tin liên quan:
                   Bảng: So sánh các loại khóa hai

     

    CÁC KIỂU TẤN CÔNG ĐÁNH CẮP TÀI KHOẢN

     
     

    Tin tặc tấn công đánh cắp tài khoản để truy cập thông tin nhạy cảm của người dùng, vì mục đích lợi nhuận (như tài khoản ngân hàng) hay mục đích khác. Tổng quát, tấn công đánh cắp tài khoản có thể phân thành 2 loại: thụ động và tích cực.

    Tấn công thụ động

    Là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có 2 dạng: trực tuyến (online) và ngoại tuyến (offline).Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản của nạn nhân.
    Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng.
    Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu “tay nghề” cao và cũng không tốn bất kỳ chi phí nào.
    Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện.
    . Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống “lỏng lẻo” hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.
    Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của ComputerWorld). Hình thức phổ biến nhất của tấn công online là phishing.
    Chi phí cho tấn công online chủ yếu dùng để mua danh sách email, danh sách máy tính “yếu” có thể đặt website giả mạo hay đặt hàng viết chương trình phá hoại. Tấn công dạng này thường do tin tặc có “tay nghề” thực hiện.

     
     


    Tấn công chủ động

    Là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Kiểu tấn công "man-in-the middle" tạo website giả mạo đứng giữa người dùng và website thực là một ví dụ của tấn công chủ động.
    Kiểu tấn công chủ động không phải là vấn đề bảo mật hiện nay nhưng chúng sẽ là vấn đề trong tương lai gần.

     
     
     

    Khi việc xác thực hai khóa trở nên phổ biến và kiểu tấn công thụ động không còn tác dụng, bọn tội phạm sẽ phải dùng đến kiểu tấn công chủ động tinh vi hơn. Các công ty, đặc biệt là các tổ chức tài chính, cần chuẩn bị cho người dùng đối phó với làn sóng tấn công thứ hai này.
    Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc" sang các website lừa đảo.

     

    P. Nguyễn

      Tham khảo:
    • An essential guide in the fight against Internet fraud, GPayments.
    • How can a Bank prevent Online Banking Fraud, InForm.
    • Internet Security Threat Report, Symantec.
     

    ID: A0710_124