Xác thực 2 lớp – 2FA – Two Factor Authentication trong thời đại số

Spread the love
  •   
  •   
  •   
  •   
  •  
  •  
  •  
  •  
  •  
Trong thời đại số hoá, tài khoản trực tuyến được xem là mục tiêu tấn công hàng đầu của tội phạm công nghệ. Để nâng cao tính bảo mật, phương thức xác thực 2 lớp hay 2 yếu tố đã được ra đời. 2FA viết tắt của Two Factor Authentication (xác thực 2 lớp hay 2 yếu tố).
Với xác thực 1 lớp, User chỉ cần nhập UsernamePassword để đăng nhập vào tài khoản. Với 2FA, thay vì lập tức có quyền truy cập, họ sẽ được yêu cầu cung cấp thêm một thông tin khác. Yếu tố xác thực thứ hai có thể là một trong các yếu tố sau:
  • Something you know – Một số thông tin nhất định chỉ có người dùng mới biết: có thể là mã PIN (Personal Identification Number), Password, câu trả lời cho “các câu hỏi bảo mật”: Ví dụ: Tên vật nuôi đầu tiên của bạn? …
  • Something you have – Một đối tượng vật lý mà người dùng sở hữu chẳng hạn như mã thông báo bảo mật dưới dạng thẻ USB (security-token), thẻ ngân hàng, …
  • Something you are – Một số đặc điểm vật lý dữ liệu sinh trắc học của người dùng như: dấu vân tay, quét mống mắt (Iris Recognition) hoặc nhận diện giọng nói…
CÁC HÌNH THỨC 2FA PHỔ BIẾN
Hardware Token
Đây có lẽ là dạng 2FA lâu đời nhất. Hardware Token (còn được gọi là Hard-token) là một thiết bị nhỏ gọn như USB, dùng để nhận mã Token khi giao dịch. Trong đó, mã Token là một dạng chữ ký số (Digital Signature) được mã hoá bằng công nghệ chuyên biệt. Mã này được tạo ra ngẫu nhiên, dùng một lần và thường chỉ có hiệu lực trong vòng 30 giây. Khi sử dụng 2FA với Hard Token, đến bước xác minh thứ hai, người dùng chỉ gần nhập mã hiển thị trên Hard Token vào Website hoặc ứng dụng là sẽ có quyền truy cập vào tài khoản. Ví dụ: Nếu bạn mở thẻ tín dụng ở ngân hàng HSBC bạn sẽ được phát kèm theo một hardware token.
Tuy nhiên, dùng 2FA với Hard Token có một số nhược điểm. Đối với các tổ chức, việc phân phối Hard token cho tất cả User là rất tốn kém. Kích thước nhỏ bé của Hard Token cũng khiến chúng dễ bị mất hoặc thất lạc. Quan trọng nhất, Hard Token không hoàn toàn an toàn trước hacker.
 
SMS OTP
2FA với SMS OTP cần sự tương tác trực tiếp với điện thoại người dùng. Sau bước nhập Username và Password, website sẽ gửi cho người dùng mã OTP (One Time Password) qua tin nhắn văn bản SMS. Người dùng sau đó phải nhập lại mã OTP trong thời gian hiệu lực quy định để có quyền truy cập. Xác thực hai yếu tố bằng cách này có thể đảm bảo an toàn với những hoạt động không đòi hỏi tính bảo mật cao. Tuy nhiên, đối với các tài khoản chứa thông tin quan trọng như tài khoản nội bộ các tổ chức hoặc tài khoản ngân hàng, hình thức này có thể không đủ an toàn. Theo báo cáo, hacker vẫn liên tiếp dùng nhiều thủ đoạn tinh vi lừa đảo người dùng cung cấp mã OTP để đoạt quyền truy cập của họ.
Có thể thấy hình thức SMS OTP đang rất phổ biến và được sử dụng ở hầu hết các dịch vụ số ở Việt Nam.
 
Voice OTP
Voice OTP tương tự như SMS OTP, nhưng thay vì nhận mã OTP qua SMS, người dùng sẽ nhận được một cuộc gọi thông báo mã từ tổng đài đến trực tiếp tới số điện thoại của khách hàng để đảm bảo tính riêng tư. Với dịch vụ này, chỉ khi khách hàng nhấc máy thì OTP mới được thông báo. Đây là một lợi thế lớn giúp mã OTP được gửi qua Voice OTP trở nên an toàn hơn.
Ví dụ của Voice OTP thường thấy ở các dịch vụ của Google, facebook…
 
Software Token – Hay Smart OTP
Đây là hình thức 2FA phổ biến nhất đang được sử dụng trên thế giới, và cũng là lựa chọn thay thế cho SMS OTP và Voice OTP. Trái ngược với Hard-token, Software Token (hay Soft-token) cung cấp mã TOTP (Time-based One Time Password) thông qua ứng dụng. Để sử dụng, người dùng phải download ứng dụng 2FA được các tổ chức cung cấp vào Smartphone hoặc Desktop.
Các bước nhận và sử dụng mã TOTP trong soft token cũng tương tự như hai loại 2FA được nhắc đến ở trên. Soft-token an toàn ở chỗ, mã Token được tạo ra và hiển thị trên cùng một thiết bị của người dùng, giúp cho trở nên rất an toàn và tiện lợi hơn.
Hình ảnh minh họa của Soft Token ở bài viết là khi người dùng thực hiện một giao dịch chuyển tiền trên ứng dụng mobile banking của Techcombank, thay vì phải chờ OTP gửi đến mobile hoặc email rồi phải điền vào ứng dụng thì ở đây người dùng chỉ cần phải nhập mã PIN lúc đăng ký dùng để mở khóa Smart OTP, sau đó mã OTP sẽ tự sinh ra và điền sẵn trên form.
Ngày nay ở các ngân hàng Việt nam hầu hết xu thế đang chuyển dịch từ SMS-OTP sang Smart OTP. Phương thức này không chỉ tiện lợi, bảo mật mà còn tiết kiệm hàng tháng một khoản chi phí SMS khổng lồ cho các ngân hàng lên tới hàng chục tỷ.
 
Push Notification
Thay vì dựa vào việc nhận và nhập mã thông báo 2FA, các website và ứng dụng có thể áp dụng Push Notification (xác thực đẩy) vào quá trình xác thực truy cập trực tuyến. Theo đó, người dùng sẽ nhận được thông báo về yêu cầu truy cập thông qua thiết bị đã được đăng ký, và có thể phê duyệt hoặc từ chối truy cập chỉ bằng một cú chạm.
Bằng cách kết nối trực tiếp và an toàn giữa các tổ chức, dịch vụ 2FA và thiết bị của người dùng, Push Notification vừa mang lại sự tiện lợi và linh hoạt, vừa bảo mật hơn do loại bỏ các nguy cơ lừa đảo hoặc tấn công qua trung gian.
Push Notification cũng giúp cho các ngân hàng tiết kiệm hàng chục tỷ đồng mỗi tháng thay cho các tin nhắn SMS xác nhận hay quảng cáo gửi khách hàng.
 
Biometric 2FA
Ngoài các phương thức phổ biến trên, nhờ sự phát triển của công nghệ, xác thực sinh trắc học Biometric 2FA đang bắt đầu nở rộ thông qua nhận dạng các đặc điểm vật lý và hành vi.
Nhận dạng đặc điểm vật lý:
  • Nhận dạng khuôn mặt: eKYC đã bắt đầu được áp dụng trong việc định danh khách hàng ở các ngân hàng Việt nam trong 1-2 năm gần đây. Thay vì như trước đây khách hàng phải ra tận quầy giao dịch đưa giấy tờ tùy thân cho giao dịch viên để mở tài khoản thì ngày nay, khách hàng chỉ cần chiếc điện thoại thông minh cài app mobile banking của ngân hàng chụp ảnh giấy tờ tùy thân và ảnh chân dung bản thân selfie. Hệ thống eKYC của ngân hàng sẽ sử dụng trí tuệ nhân tạo nhận diện khuôn mặt (face recognization) để xác thực khách hàng. Kết hợp công nghệ nhận dạng ký tự quang học OCR thông tin trên giấy tờ tùy thân được trích xuất và tự động đưa vào hệ thống…
  • Nhận diện qua dấu vân tay (Fingerprint regcognition)
  • DNA (DNA matching)
  • Nhận diện võng mạc (Iris Recognition)
  • Nhận diện qua mạch máu (Vien Recognition)
Nhận diện qua hành vi:
  • Chữ viết (Signature recognition)
  • Giọng nói (Voice Recognition)
  • Kiểu gõ bàn phím (Keystroke). Nếu muốn thử bạn có thể tham gia các khóa học trực tuyến trên coursera.org họ sẽ xác thực bạn thông qua Keystroke khi làm bài kiểm tra cuối khóa.
Có thể nói, với sự phát triển vượt bậc của công nghệ, trải nghiệm số cho người dùng ngày càng trở nên thuận lợi. Cuộc chiến dành thị phần khách hàng giờ đây không chỉ là cuộc chiến về sản phẩm mà còn là cuộc chạy đua về công nghệ – trải nghiệm khách hàng. Lĩnh vực bảo hiểm nhân thọ cũng không thể nằm ngoài xu thế tất yếu này!

Leave a Reply

Your email address will not be published. Required fields are marked *