Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính
trực tuyến Internet Banking, chứng khoáng
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ
---------***----------
GIẢI PHÁP XÁC THỰC MẠNH 2 YẾU TỐ
CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN
INTERNET BANKING, CHỨNG KHOÁN
Khách hàng: Công ty Chứng khoán Phương Đông
Đơn vị lập phương án Công ty MISOFT
Mã dự án:
Tiêu đề: Giải pháp Xác thực mạnh 2 yếu tố
Nội dung:
Phiên bản:
Loại tài liệu: Cung cấp cho khách hàng
Ngày hoàn thành 12 năm 2007
Người thực hiện Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh
Hà Nội : 12-2007
1
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet

thông tin quan trọng nhất
của khách hàng để họ có
thể truy cập dịch vụ và
giao dịch tài chính là
Danh tính trực tuyến
(Online Identity). Thông
tin này được sử dụng để
chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có
thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.
Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của
Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể
ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy
cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên
đăng nhập/Mật khẩu, Số tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công
khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ
đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính
và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là
3
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực
tuyến.
Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán có các dịch vụ trực
tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác
thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không
còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu.
Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu
các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt
động tài chính ép buộc phải thực thi.
Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong
giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số

tính:”
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng…
3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác
thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công
nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất ở trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công
việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của
FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố
là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng,
chứng khoán và bảo hiểm.
I.3 Xác thực 2 yếu tố
Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố
phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên
những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có
(SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng
thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố
bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so
với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.
Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả
như sau:
“ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết
được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2
yếu tố có khả năng giúp bạn làm được điều đó”
• Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu
tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là
vô nghĩa.
• Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi

dụng
Tính
bảo
mật
Chi phí
đầu tư
Khả
năng
quản trị
Khả năng
tích hợp
One-Time-Password Tokens 5 3 4 2 2 5
Dịch vụ OTP của RSA Token 5 4 4 3 3 5
Smart Card (EMV) 5 3 5 3 3 5
Xác thực bằng số PIN/TAN 5 5 3 3 3 5
Entrust
IdentityGuard
5 5 5 4 4 5
Xác thực bằng Mobile 4 3 5 3 5 5
Nhập giá trị xác thực trên bàn
phím ảo
5 3 2 5 5 2
Xác thực bằng danh sách các
dãy số
5 2 2 4 5 2
Số điểm: 1 = kém 5 = rất tốt
Theo nguồn: Công ty nghiên cứu đánh giá các sản phẩm công nghệ Forrester Research
Điều gì đã làm nên sự thành công của Entrust, đó là Entrust đã nhanh chóng cung cấp các
giải pháp bảo mật đáp ứng kịp thời các yêu cầu cụ thể cho những tổ chức tài chính, ngân hàng,
6

khả năng kết hợp được nhiều phương pháp xác thực đồng thời trong cùng một phần mềm. Các
phương pháp xác thực của Entrust IdentityGuard không những cho phép nhà cung cấp dịch vụ
xác thực mạnh người dùng, mà còn giúp cho khách hàng có thể kiểm tra tính chân thật của các
Web site trước khi họ nhập các thông tin cá nhân. Chính vì các khả năng đó, Entrust
IdentityGuard đã nâng mức độ đảm bảo của giải pháp vượt xa các giải pháp xác thực hiện có trên
thị trường, trong khi chi phí đầu tư không phát sinh và đặc biệt là rất phù hợp khi triển khai với
số lượng người sử dụng lớn cho nhiều đối tượng khách hàng.
Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là:
• Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ.
• Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các
Web site dịch vụ trực tuyến.
Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh
người dùng khi truy cập dịch vụ. Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện
riêng lẻ hoặc kết hợp đồng thời, bao gồm:
• Xác thực người dùng bằng ma trận lưới ngẫu nhiên. Mỗi khách hàng sẽ được cấp một
thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu
nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ
độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau
mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không
bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá
8