• Thứ Bảy, 28/06/2008 08:11 (GMT+7)

    Chìa khóa cho giao dịch trực tuyến

    Thiết bị lưu trữ USB nhúng thêm chip bảo mật trở thành "khoá hai" tiện lợi cho dịch vụ web, giúp tăng cường "hàng rào an ninh" và đem lại niềm tin cho khách hàng.

    Ngày càng nhiều tổ chức tài chính, ngân hàng, chứng khoán cung cấp dịch vụ trực tuyến nhằm đem lại sự tiện lợi cho khách hàng. Chỉ cần máy tính kết nối Internet là người dùng có thể thực hiện các giao dịch như chuyển khoản hay thanh toán ở bất kỳ đâu một cách nhanh chóng.

    Nhanh và tiện lợi, nhưng không ít người vẫn ngại giao dịch qua mạng. Thật khó an tâm khi giao dịch số tiền lớn qua mạng với "phương thức bảo đảm" đơn sơ chỉ có tài khoản đăng nhập (tên hay mã số) và mật khẩu (password) – phương thức truyền thống được nhiều dịch vụ trực tuyến áp dụng – khi những thông tin về các vụ đánh cắp tài khoản, tấn công "bẻ khoá” hay giả mạo (phishing) không ngớt xuất hiện trên các phương tiện truyền thông.

    Mật khẩu giờ không còn đủ tin cậy, để tăng cường "hàng rào an ninh" và đem lại niềm tin cho khách hàng, một số ngân hàng và công ty chứng khoán đã bắt đầu sử dụng phương thức "khóa hai" (xem bài Khóa thêm password đã đăng trên TGVT A tháng 10/2007, ID: A0710_124).

    Khóa USB

    Thiết bị USB (phần cứng) đi cùng phần mềm xác thực có lẽ là giải pháp "khóa hai" được ưa chuộng nhất hiện nay. Thiết bị lưu trữ (bút nhớ) USB hiện rất phổ biến và gần như "không thể thiếu" với người dùng máy tính, nhúng thêm "chip" bảo mật, thiết bị này trở thành "khóa hai" tiện lợi cho dịch vụ web. Đây chính là hướng đi của SmartWeb.

    Giải pháp SmartWeb của Silemi bao gồm phần cứng (thiết bị USB) và phần mềm. Thiết bị USB được thiết kế đặc biệt, mỗi khóa có một số serial riêng được sinh bởi chip nhúng bên trong (không bị mất đi khi format). Ngoài vùng lưu trữ như bút nhớ USB thông thường, thiết bị này còn có 1 vùng dành riêng cho dữ liệu và ứng dụng "nhạy cảm", để truy cập phân vùng này người dùng cần có mật mã.

    Phần mềm của SmartWeb gồm 3 module:

    • Module kích hoạt USB: Chạy trên máy tính của người quản lý, dùng để ghi số serial của USB vào CSDL trên máy chủ xác thực và kích hoạt tính năng "khóa" cho USB.

    • Module người dùng: được nạp trên thiết bị USB, dùng để truy cập dịch vụ web.

    • Module quản lý: đây là thành phần quan trọng nhất, chạy trên server, quản lý việc truy cập của các khóa USB và xác thực người dùng.

    Trừ module quản lý cài đặt trên máy chủ web (server), hai module còn lại được thiết kế dạng "copy và chạy", có thể chạy trên bất kỳ máy tính nào có kết nối Internet mà không yêu cầu cài đặt bất kỳ trình điều khiển hay phần mềm nào - điều rất có ý nghĩa với người dùng cuối.

    Khỏi nhớ, đỡ lo

    Giao dịch trực tuyến tiện lợi, nhưng nếu sử dụng máy tính công cộng ở đâu đó chứ không phải chiếc máy tính thường dùng của mình chắc không ít người dùng cảm thấy "đôi chút bất tiện": phải nhớ địa chỉ trang đăng nhập của dịch vụ web (đôi khi khá dài và không dễ nhớ), và quan trọng hơn, phải nhớ xoá dấu vết truy cập web mà trình duyệt web lưu lại để "phòng ngừa hậu họa".

    SmartWeb giải quyết được nỗi lo này. Người dùng chỉ việc đơn giản cắm khóa USB vào máy tính, chạy chương trình SmartWeb (module người dùng) và nhập mã Pin, chương trình sẽ truy cập server để lấy địa chỉ dịch vụ web đã được khai báo và hiển thị trong cửa sổ giao diện tương tự trình duyệt (nhưng thanh địa chỉ được giấu đi) - tính năng này cũng có thể giúp người dùng tránh được việc giả mạo website (phishing). Chương trình SmartWeb có thể được cất trong vùng riêng trên USB, mọi "dấu vết" duyệt web cũng được lưu trong vùng này chứ không phải trên máy tính nhờ vậy tránh được các cặp mắt tò mò.

    SmartWeb thiết kế nhiều lớp bảo vệ. Việc truy cập vùng riêng cần có mật mã (Pin code và Password), module người dùng khi chạy cũng yêu cầu mật mã. Do đó nếu người dùng lỡ để lạc USB thì cũng khó có khả năng bị lộ thông tin nhạy cảm. Và trong tình huống bị lạc USB, SmartWeb có cách thức "gửi" thông báo đến người cầm nhầm USB thông tin liên hệ của người chủ sở hữu.

    SmartWeb thực sự là "người bạn tin cậy" cho cả người dùng và nhà cung cấp dịch vụ trực tuyến. Không chỉ cho các tổ chức tài chính, giải pháp SmartWeb còn có thể áp dụng cho các tổ chức có mở "mạng riêng", cho phép nhân viên truy cập qua Internet hay các tòa soạn báo điện tử có thực hiện cập nhật qua Internet.

    Với chi phí triển khai (bao gồm USB và phần mềm) khoảng 3.000 USD cho 100 người dùng hay 20.000 USD cho 1.000 người dùng (USB có các mức dung lượng từ 1GB đến 8GB), giải pháp SmartWeb khá phù hợp cho các tổ chức tài chính cũng như doanh nghiệp nhỏ và vừa tại Việt Nam. Sản phẩm do công ty Kim Hoàn Bội phân phối.

    AN TOÀN HƠN VỚI WebOTP

    Một giải pháp của Eutronsec, WebOTP sử dụng khóa USB sinh tự động mật khẩu "luôn mới" nhờ công nghệ One Time Password (OTP), đảm bảo tính bảo mật và an toàn rất cao.

    Qui trình xác thực khởi đầu với việc hiển thị trang web yêu cầu người dùng cắm vào máy tính thiết bị WebOTP (khóa USB), người dùng cắm thiết bị vào cổng USB và thiết bị tự động gửi mã xác thực đến server. Nếu xác thực thành công, trình duyệt sẽ chuyển đến trang web được bảo vệ. Tiến trình xác thực không hề yêu cầu người dùng gõ vào bất kỳ thông tin gì từ bàn phím – nhờ vậy tránh được việc bị lộ password hay bị ghi trộm password từ bàn phím. Chuỗi xác thực chứa ID nhận diện người dùng sử dụng thuật toán mã hóa AES 256 bit.

    Giải pháp WebOTP chỉ yêu cầu cài đặt phía server để tích hợp với dịch vụ web, không yêu cầu cài đặt bất kỳ phần mềm hay trình điều khiển nào phía client. Khác với khóa USB của SmartWeb, khóa USB của WebOTP không có chức năng lưu trữ và máy tính cũng không nhận diện như bút nhớ USB thông thường.

    ID: B0806_78