• Thứ Hai, 07/06/2010 13:00 (GMT+7)

    moTP - mật khẩu dùng một lần di động

    Quốc Dũng
    Với giải pháp SSL VPN kết hợp cơ chế “mật khẩu dùng một lần” và chú “dế” yêu, bạn có trong tay khả năng truy cập an toàn như với thiết bị token

    Hình 1: Mô hình kết nối có thiết bị token hỗ trợ xác thực

    Một phân tích về hành vi truy cập Internet cho thấy rất nhiều người vẫn sử dụng một tài khoản để đăng nhập vào các trang web khác nhau. Theo Trusteer, nhà cung cấp bảo mật, 73% người dùng dùng mật khẩu dịch vụ ngân hàng trực tuyến của mình để đăng nhập vào ít nhất một trang web khác, 47% dùng cả tên (ID/Username) và mật khẩu (xem thêm tại http://www.trusteer.com/sites/default/files/cross-logins-advisory.pdf). Điều này cho thấy, nhiều người dùng vẫn chưa chú trọng đến vần đề an toàn thông tin.

    Để tăng cường bảo mật, nhiều ngân hàng, trung tâm tài chính, chứng khoán… đã triển khai và cung cấp cho người dùng thiết bị token. Thiết bị này xác thực người dùng thay cho cơ chế ID/Username và mật khẩu đăng nhập. Mỗi thiết bị token đều phân biệt nhau và được nhà cung cấp dịch vụ gán với một người dùng cụ thể.

    Mật khẩu dùng một lần (one-time password - OTP) là một mật khẩu chỉ có giá trị trong một phiên đăng nhập hay một giao dịch cụ thể ở vào một thời điểm. Giả sử nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được vì mật khẩu này đã hết giá trị sử dụng.

    Các phương pháp tạo OTP:
    - Đồng bộ thời gian.
    - Giải thuật toán.

    OTP có thể được ứng dụng trên:

    - Thiết bị token.
    - Điện thoại di động (ĐTDĐ).
    - SMS: nhà cung cấp dịch vụ gửi một “mật khẩu dùng một lần” qua tin nhắn SMS đến ĐTDĐ của khách hàng có nhu cầu thực hiện một giao dịch.
    - OTP cấp phát trực tiếp: một hệ thống sẽ tạo và cung cấp trực tiếp “mật khẩu dùng một lần” cho người dùng cuối mà không cần phải đồng bộ thời gian; không cần đến các thiết bị token, điện thoại… làm “phương tiện trung gian”.

    Xem thêm tại www.pcworld.com.vn/A0710_124

    Đối với các doanh nghiệp, đặc biệt là các doanh nghiệp có nhiều chi nhánh và đội ngũ nhân viên làm việc từ xa, để bảo vệ an toàn thông tin, họ đã tự xây dựng và triển khai cho mình nhiều giải pháp bảo mật, chẳng hạn bảo mật truy cập từ xa SSL VPN. Tuy SSL VPN khá tốt nhưng nếu hợp thêm cơ chế “mật khẩu dùng một lần” thì mức độ an toàn của hệ thống sẽ được nâng cao hơn.

     Vigor2950Nokia E51Máy khách truy cập SSL VPN vào Vigor2950
    Bước 1:- Username: testlab
    - Authentication Type: Local User Database
    - Nhập PIN: 1357(1)

    - PIN: 0000 (giá trị mặc định dùng để khởi tạo dãy secret)
    - Nhập 25 con số bất kỳ
    => xuất hiện dãy secret (16 ký tự): deb05a55fff33a97

     
    Bước 2:- Nhập dãy secret (16 ký tự): deb05a55fff33a97(2)

    - Nhập PIN: 1357 (1)
    => sinh ra password (6 ký tự): 4a5ea5(3)

     
    Bước 3:  

    Đăng nhập với - Username: testlab - Password: 4a5ea5(4)

    Ghi chú:
    (1): phần mềm mOTP cài đặt trên điện thoại Nokia E51 chỉ cho phép nhập tối đa 4 con số.
    (2): trên mỗi máy khác nhau, dãy secret sẽ khác nhau. Mỗi lần định nghĩa lại secret sẽ có dãy secret mới.
    (3): mỗi lần nhập mã PIN sẽ sinh password mới.
    (4): phải đăng nhập ngay, tối đa không quá 1 phút. Nếu sau 1 phút, người dùng phải nhập lại mã PIN trên Vigor2950 vào điện thoại E51 để tạo password mới. Đăng nhập lại với password mới này.
    Hình 2: Tải phần mềm mOTP từ iTunes

    Bài viết sau sẽ giới thiệu giải pháp SSL VPN kết hợp với cơ chế “mật khẩu dùng một lần” hoạt động tương tự trên thiết bị token nhằm xác thực người dùng truy cập từ xa vào hệ thống mạng nội bộ. Bạn không cần phải mua thiết bị token mà có thể dùng ngay chú “dế” yêu của mình, cùng phần mềm miễn phí “mật khẩu dùng một lần di động” (Mobile One Time Password - mOTP). Mỗi khi muốn truy cập vào hệ thống mạng nội bộ qua SSL VPN, người dùng phải nhập mã PIN (đã biết trước) vào ĐTDĐ để tạo ra mật khẩu đăng nhập. Sau khi thực hiện kết nối SSL VPN, bảng đăng nhập xuất hiện yêu cầu nhập username và password. Lúc này người dùng nhập username (đã biết trước) và mật khẩu vừa được khởi tạo trên điện thoại di động để đăng nhập vào mạng nội bộ. Bài viết không đi sâu vào chi tiết cách cấu hình SSL VPN mà chỉ giúp bạn đọc hiểu thêm về cơ chế xác thực “mật khẩu dùng một lần” trên các thiết bị hỗ trợ mOTP. 


    Hình 3: Mô hình kết nối SSL VPN đến Vigor2950 có Nokia E51 hỗ trợ xác thực

    Để minh họa cho bài viết, chúng tôi dùng bộ định tuyến Vigor2950 của hãng DrayTek (Firmware v3.2.6_RC5 tích hợp sẵn cơ chế mật khẩu dùng 1 lần trong xác thực kết nối SSL, và VPN giao thức PPTP, L2TP). Chúng tôi dùng 2 điện thoại: Apple iPhone và Nokia E51 để thử nghiệm.

    Hình 4: Thiết lập chế độ mOTP trên Vigor2950

    Để tải mOPT và cài đặt vào máy, trên iPhone, bạn có thể dùng qua iTunes, còn trên E51, bạn truy cập http://motp.sourceforge.net tải về 2 tập tin MobileOTP.jar, MobileOTP.jad.

    Sau khi cài đặt xong phần mềm mOTP vào điện thoại, bước tiếp theo và cũng quan trọng nhất là bạn phải thiết lập cùng thời gian trên cả điện thoại và Vigor2950. Nếu thời gian sai lệch sẽ dẫn đến việc tạo mật khẩu sai – 1 phút là thời gian tối đa để bạn nhập mật khẩu được tạo ra từ điện thoại vào ô mật khẩu đăng nhập trên màn hình máy tính, khi thực hiện một kết nối SSL VPN. Ở đây để xác lập thời gian chính xác, trên Vigor2950 bạn thiết lập đồng bộ thời gian với máy chủ ntp.org, chọn “time zone” GMT+7; và bạn nên “canh” thời gian trên Vigor2950 vừa nhảy qua phút mới thì chỉnh ngay lại thời gian trên điện thoại.

     Vigor2950iPhoneMáy khách truy cập SSL VPN vào Vigor2950
    Bước 1:- Username: testlab
    - Authentication Type: Local User Database
    - Nhập PIN: 135790(1)

    - “Lắc” iPhone để tạo secret (32 ký tự): 8ff1ac73bdbaa82695a4adcb68b389b8

     
    Bước 2- Username: testlab
    - Authentication Type: Local User Database
    - Nhập PIN: 135790(1)

    - Nhập PIN: 1357 (1)
    => sinh ra password (6 ký tự): 4a5ea5(3)

    - Nhập dãy secret (32 ký tự): 8ff1ac73bdbaa82695a4adcb68b389b8 (2)
    Bước 3  

    Đăng nhập với
    - Username: testlab
    - Password: e9d722(4)

    Ghi chú:
    (1): phần mềm mOTP cài đặt trên iPhone cho phép nhập trên 4 con số.
    (2): trên mỗi máy khác nhau, dãy secret sẽ khác nhau. Mỗi lần định nghĩa lại secret sẽ có dãy secret mới.
    (3): mỗi lần nhập mã PIN sẽ sinh password mới.
    (4): phải đăng nhập ngay, tối đa không quá 1 phút. Nếu sau 1 phút, người dùng phải nhập lại mã PIN trên Vigor2950 vào iPhone để tạo password mới. Đăng nhập lại với password mới này.

     

    Thiết bị token hoạt động ra sao?
     

    Thiết bị token hoạt động theo phương thức tự tạo các dãy số ngẫu nhiên và có giá trị chỉ trong một khoảng thời gian nhất định (thường dưới 1 phút). Chẳng hạn, khi người dùng muốn đăng nhập vào trang web ngân hàng - nơi đã cung cấp thiết bị token, để thực hiện giao dịch, người dùng phải nhập dãy số trên thiết bị token vào ô mật khẩu thì mới được truy cập. Nếu sau thời gian qui định trên thiết bị token, dãy số này sẽ không còn giá trị, và nếu người dùng vẫn chưa đăng nhập hay hoàn tất giao dịch thì họ phải nhấn nút hay thiết bị token sẽ tự động tạo ra dãy số mới và người dùng nhập dãy số mới này để đăng nhập hay hoàn tất giao dịch. Bạn có thể tham khảo một số dịch vụ dùng thiết bị token: www.payoo.com.vn, www.fpts.com.vn


    Hình 5: Mô hình kết nối SSL VPN đến Vigor2950 có iPhone hỗ trợ xác thực

    Sau khi bạn thiết lập xong các thông số SSL VPN trên Vigor2950. Phần thông số ở mục SSL VPN\User Account là phần mà bạn cần quan tâm. Tại ô nhập username, bạn nhấn chọn Enable Mobile One-Time Password (mOTP), lúc này 2 ô Pin Code và Secret sẽ hiện ra, ô password sẽ ẩn đi. Bạn thực hiện thiết lập theo các bước sau:
     

    Hình 6: Kết nối SSL-VPN sau khi xác thực thành công.

    Với giải pháp SSL VPN kết hợp cơ chế “mật khẩu dùng một lần di động”, việc truy cập từ xa vào mạng nội bộ sẽ tin cậy, an toàn và bảo mật hơn.
     

    Tuy nhiên, trong hệ thống mạng nội bộ, thông tin dữ liệu của doanh nghiệp được các nhà quản trị mạng bảo vệ; vậy còn những thông tin, dữ liệu, các giao dịch trên mạng internet của bạn sẽ được ai bảo vệ? Trước khi đặt câu hỏi này, bạn hãy tự bảo vệ chính mình. Hãng cung cấp bảo mật Trusteer khuyên người dùng nên tạo 3 tài khoản đăng nhập khác nhau: một cho các trang web về tài chính, một cho các trang web có chứa thông tin, dữ liệu nhạy cảm và một cho các trang web thông thường.

    Bạn đã thực hiện những lời khuyên này chưa, nếu chưa hãy bắt đầu ngay từ bây giờ.

    Một số lưu ý khi dùng SSL VPN với cơ chế xác thực “mật khẩu dùng một lần di động” trên Vigor2950 và điện thoại di động:

    - Mật khẩu có giá trị chỉ trong 1 phút. Sau đó phải nhập lại mã PIN để tạo mật khẩu mới.

    - Cơ chế xác thực dựa trên 3 yếu tố kết hợp: dãy secret, PIN và thời gian.

    - Phương pháp kết nối SSL Tunnel trên Vigor2950:

    + ActiveX: có thể dùng cho trình duyệt IE 6/7/8.

    + JavaApplet có thể dùng cho trình duyệt IE 6/7/8, Firefox, Google Chrome.

    Quốc Dũng

    Từ khóa: Quốc Dũng
    ID: A1004_99