Xác thực – mắt xích quan trọng của bảo mật

05/11/2008

Bạn có bao nhiêu tài khoản? Tôi có một thẻ tín dụng quốc tế Visa, ba thẻ ATM nội địa của ba ngân hàng khác nhau, hai địa chỉ e-mail, ba accounts để truy xuất ba máy tính khác nhau, và hơn một chục tài khoản trên các trang web… Nghĩa là tôi có hơn 20 cặp thông tin tên đăng nhập/mật khẩu (username/password) cần phải luôn ghi nhớ để có thể được chứng thực “ra vào cổng” các hệ thống nói trên. Các mật khẩu cần phải “mạnh” để người khác khó đoán ra. Mà mật khẩu phải dài hơn sáu ký tự, nên chứa vừa chữ vừa số. Chưa kể, mấy anh chàng quản trị hệ thống lại còn yêu cầu tôi đổi mật khẩu sau mỗi 45 ngày…

Càng ngày chúng ta càng sử dụng nhiều hệ thống thông tin khác nhau. Tôi không thể bỏ bớt các tài khoản quan trọng của mình, mà chỉ có thể cố gắng nhớ và giữ thật bí mật các thông tin đăng nhập. Tuy nhiên, đó chỉ mới là xác thực một yếu tố.

Xác thực một hay nhiều yếu tố ?

Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay không. Yếu tố xác thực là phần thông tin dùng để xác nhận hoặc xác minh nhân dạng (identity) của một người. Có ba loại yếu tố xác thực chính của con người, đó là :
• Những gì họ sở hữu. Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu hay điện thoại di động.
• Những gì họ biết. Ví dụ mật khẩu, mã PIN (personal identification number).
• Những gì là chính họ. Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA.

Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng kết hợp nhiều yếu tố với nhau. Cũng giống như căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa. Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa.

Một ví dụ về xác thực một yếu tố : đó là vào đầu tháng 8-2008, PA Việt Nam thừa nhận đã bị mất tài khoản quản trị cao nhất, gây nên nhiều rắc rối cho khách hàng. Nếu PA Việt Nam có thêm yếu tố xác thực thứ hai, ngoài tài khoản quản trị vốn chỉ gồm định danh (username) và mật khẩu duy nhất đó, chắc hẳn sẽ khó xảy ra vụ việc đáng tiếc này. Một ví dụ khác là ABN Amro Bank cung cấp cho khách hàng sử dụng thẻ một thiết bị gọi là Dynamic Security Password (DSP) – thiết bị đọc thẻ cầm tay có tích hợp thiết bị token (hardware token). Khi sử dụng dịch vụ ngân hàng qua Internet (Internet banking), đầu tiên khách hàng phải đăng nhập bằng định danh và mật khẩu. Sau đó họ đặt thẻ ngân hàng của mình vào thiết bị DSP, nhấn nút và thiết bị này sinh ra mật khẩu dùng một lần (OTP – one-time password). Khách hàng nhập giá trị OTP này vào màn hình chứng thực. Nếu chứng thực thành công ở bước này, khách hàng mới chính thức sử dụng được dịch vụ ngân hàng qua Internet của ABN Amro Bank .

Tăng cường bảo mật

Không có một hệ thống nào được xem là hoàn toàn an ninh. Mỗi hệ thống và mỗi kỹ thuật bảo mật đều có những điểm yếu riêng. Việc kết hợp nhiều kỹ thuật bảo mật làm tăng thêm nhiều lớp “giáp” cho hệ thống nhưng bù lại, làm hệ thống nặng nề hơn, tăng chi phí đầu tư và vận hành. Các chi phí này không nhỏ. Nhà tỷ phú Larry Ellison, người đứng đầu hãng phần mềm Oracle ở Mỹ, đã chi tới gần 2 triệu đô-la Mỹ mỗi năm cho công tác an ninh. Chi phí cấp phép (license) cho hệ thống như Entrust IdentityGuard lên đến hàng trăm ngàn đô-la, đó là chưa kể chi phí tư vấn, triển khai, đào tạo… Mọi doanh nghiệp đều phải cân nhắc bài toán chi phí, lẫn hiệu suất (performance) và mức độ dễ sử dụng (user-friendly). Sự phức tạp thường được cho là một trong những mối đe dọa lớn nhất đối với vấn đề bảo mật. Đơn cử đối với chính sách mật khẩu “mạnh” : số yêu cầu hỗ trợ của người sử dụng đến bộ phận CNTT hoặc Customer Support có liên quan đến việc quên mật khẩu/không đăng nhập thành công luôn nằm trong nhóm năm vấn đề hỗ trợ. Đó là do sự hạn chế về khả năng nhớ thông tin của con người : một người trung bình chỉ có thể nhớ năm mẩu thông tin tại một thời điểm.

Như phân tích ở trên, việc chứng thực một yếu tố rất mỏng manh và dễ bị phá vỡ. Xu hướng hiện tại là doanh nghiệp đang triển khai thêm cách chứng thực hai-yếu-tố tùy theo năng lực kỹ thuật và tài chính. Cách thông dụng là áp dụng ma trận xác thực (access control matrix) hoặc mật khẩu dùng một lần (OTP) qua SMS/hardware/software/USB token. Ngân hàng Đông Á (EAB) áp dụng tốt kỹ thuật SMS OTP. Khi khách hàng thực hiện một giao dịch chuyển khoản hay thanh toán thông qua dịch vụ ngân hàng Internet của Đông Á, hệ thống sẽ sinh ra một mã OTP và gửi SMS vào điện thoại của khách hàng. Khách hàng xác thực đúng giá trị này thì mới thực hiện thành công giao dịch.

Một số doanh nghiệp khác áp dụng hình thức OTP bằng hardware hoặc software token. Đây là hình thức xác thực mạnh hơn so với SMS hoặc Matrix. Thiết bị phần cứng hoặc một ứng dụng phần mềm sinh ra một chuỗi số dựa trên ba giá trị : thời gian hiện tại theo kiểu UTC (Universal Time Coordinated), một số hạt nhân (seed) có độ dài 64 hoặc 128 bits và thuật toán tạo số giả ngẫu nhiên. Với hai giá trị là thời gian và số hạt nhân, sau khi áp dụng thuật toán tạo số giả ngẫu nhiên, chuỗi số sinh ra chỉ có hiệu lực trong khoảng thời gian xác định, thường là một phút. Do đó, cách này luôn tạo được những con số thay đổi theo thời gian và không lặp lại. Việc dự đoán trước chuỗi số nào sẽ xuất hiện tiếp theo hoặc sẽ xuất hiện tại một thời điểm nào đó trong tương lai là không thể, trừ phi có được số hạt nhân và thuật toán tạo số giả ngẫu nhiên. Chuỗi số này khi gửi lên máy chủ trung tâm sẽ được phân tích theo cùng các giá trị thời gian, số hạt nhân và thuật toán. Nếu kết quả phù hợp, người sử dụng sở hữu hardware hay software token đó sẽ được chứng thực.

Chứng thực tập trung

Mô hình trên đây mô tả cách áp dụng cục bộ cho từng doanh nghiệp – mỗi doanh nghiệp phải tự triển khai hệ thống con (subsystem) chứng thực thứ hai bên trong hệ thống thông tin của mình. Tuy nhiên, vấn đề chi phí lại một lần nữa được đặt ra. Để có thể triển khai như vậy, doanh nghiệp cần trả các loại chi phí chính sau :
• Phí tư vấn.
• Phí cấp phép hoặc phí tự phát triển hệ thống
con này.
• Phí tích hợp hệ thống con này vào hệ thống thông tin chung.
• Phí triển khai, đào tạo.
• Phí cho hardware token (khoảng 10-15 đô-la cho một token).

Do chi phí đầu tư lớn, hiện nay chỉ mới một số ngân hàng lớn ở Việt Nam áp dụng hình thức OTP bằng hardware token như HSBC, TechcomBank, Western Bank… Thường thì doanh nghiệp yêu cầu khách hàng chia sẻ chi phí sử dụng như mua token hoặc đóng phí dịch vụ hằng năm… Nếu có càng nhiều doanh nghiệp áp dụng cách chứng thực này, không những tổng chi phí đầu tư phía doanh nghiệp càng tăng, mà cả người tiêu dùng cũng phải trả phí nhiều hơn để lúc nào cũng cầm theo đến 2-3 hardware token, mỗi token chứng thực một doanh nghiệp khác nhau! Điều này thực sự bất tiện và hao phí.

Công ty VeriSign đã đề xuất mô hình chứng thực tập trung dựa trên dịch vụ VeriSign Identity Protection (VIP) như hình bên. Với mô hình này, doanh nghiệp sẽ tiết kiệm nhiều khoản đầu tư cũng như người sử dụng sẽ được hưởng lợi hơn vì chỉ cần duy nhất một token là đủ để định danh người sử dụng ở nhiều dịch vụ của nhiều doanh nghiệp khác nhau. Đây là mô hình mà VeriSign đang triển khai tại Việt Nam với Công ty Dịch vụ trực tuyến Cộng Đồng Việt, sau khi đã triển khai thành công tại Úc với Bưu điện Úc năm 2006.

Kết luận

Mắt xích yếu nhất trong bảo mật không phải là phần cứng hay phần mềm, mà chính là người sử dụng. “Nó là vấn đề về con người hơn là vấn đề của công nghệ,” theo chuyên gia Dan Kaminisky của Dox Para Research. Vì vậy, bên cạnh việc cân nhắc chi phí hàng trăm nghìn hoặc triệu đô-la để đầu tư cho bảo mật, hay tuyển dụng bộ phận an ninh túc trực 24/7, doanh nghiệp cũng nên tư vấn cho khách hàng cách tự bảo vệ lấy mình. Hành động này phải là hành động ưu tiên và bắt buộc trong chiến lược bảo mật của doanh nghiệp, cũng vốn là một phần không thể thiếu của chiến lược kinh doanh, nhất là đối với các doanh nghiệp CNTT-truyền thông. Có điều nếu hôm nay doanh nghiệp vừa triển khai thành công một hệ thống xác thực hai-yếu-tố hay nhiều yếu tố, thì cũng đừng dừng lại và ăn mừng, bởi bảo mật sẽ mãi là đường đi chứ chưa bao giờ là đích đến.