Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính trực tuyến internet banking, chứng khoán

Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính trực tuyến Internet Banking, chứng khoáng Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ ---------***---------- GIẢI PHÁP XÁC THỰC MẠNH 2 YẾU TỐ CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN INTERNET BANKING, CHỨNG KHOÁN Khách hàng: Công ty Chứng khoán Phương Đông Đơn vị lập phương án Công ty MISOFT Mã dự án: Tiêu đề: Giải pháp Xác thực mạnh 2 yếu tố Nội dung: Phiên bản: Loại tài liệu: Cung cấp cho khách hàng Ngày hoàn thành 12 năm 2007 Người thực hiện Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh Hà Nội : 12-2007 1 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet MỤC LỤC I. ĐẶT VẤN ĐỀ..............................................................................................................................3 I.1 Xác thực danh tính trực tuyến................................................................................................3 I.2 Lựa chọn phương pháp xác thực phù hợp..............................................................................4 I.3 Xác thực 2 yếu tố....................................................................................................................5 II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ.....................................7 II.1 Xác thực mạnh kết hợp nhiều phương pháp.........................................................................7 II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming............................................................10 II.3 Khả năng tích hợp của Entrust IdentityGuard....................................................................10 II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán........................13 II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực .....................................14 II.4 Các thành phần chính trong IdentityGuard Server..............................................................17 II.5 Lập kế hoach triển khai Entrust IdentityGuard...................................................................19 II.5.1 Các công việc cần xem xét và thực thi.....................................................................19 II.5.2 Tiến độ thực hiện.....................................................................................................20 III. DỰ TOÁN KINH PHÍ...........................................................................................................20 IV. KẾT LUẬN.............................................................................................................................22 ....................................................................................................................................................22 2 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet I. ĐẶT VẤN ĐỀ I.1 Xác thực danh tính trực tuyến Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích mà các dịch vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất và với chi phí hợp lý nhất mà vẫn bảo vệ được thông tin đăng kí của khách hàng khi họ tham gia vào các dịch vụ trực tuyến. Đây được coi là quyền lợi chính đáng của khách hàng và cũng là trách nhiệm không thể coi nhẹ của nhà cung cấp dịch vụ tài chính. Một trong những thông tin quan trọng nhất của khách hàng để họ có thể truy cập dịch vụ và giao dịch tài chính là Danh tính trực tuyến (Online Identity). Thông tin này được sử dụng để chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào. Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên đăng nhập/Mật khẩu, Số tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là 3 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực tuyến. Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán có các dịch vụ trực tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu. Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt động tài chính ép buộc phải thực thi. Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa trên 3 yếu tố cơ bản sau: 1. Something a person knows: Thường được sử dụng là số PIN, mật khẩu 2. Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token… 3. Something a person is: Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi là Xác thực mạnh. Chi phí của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống. Mặc dù vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ mà còn phụ thuộc và rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn thực thi an toàn thông tin, khả năng quản lý và giám sát hệ thống. Và đặc biệt một hệ thống có hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai. I.2 Lựa chọn phương pháp xác thực phù hợp Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các giao dịch thương mại trực tuyến trên Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) được sự hỗ trợ của một loạt các ngân hàng hàng đầu trên thế giới đã soạn thảo một ấn phẩm vào năm 2001 có tên “Xác thực trong môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực tuyến”. Mục tiêu của ấn phẩm này là để hướng dẫn thực thi những chính sách xác thực mạnh cho những tổ chức tài chính tham gia vào các dịch vụ và giao dịch điện tử. Nội dung của ấn phẩm đề cập đến những hậu quả khi mất cắp danh tính và các chỉ dẫn lựa chọn công nghệ xác thực mạnh phù hợp cho tổ chức tài chính: “ Những kẻ lừa đảo đang khai thác điểm yểu bảo mật của khách hàng khi họ hoàn toàn tin tưởng và việc xác thực 1 yếu tố khi truy cập vào các dịch vụ trực tuyến của ngân hàng, chứng 4 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet khoán, email và những website giao dịch điện tử. Các tổ chức tài chính nên cân nhắc từng yếu tố sau đề nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy cơ đánh cắp danh tính:” 1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố. 2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng… 3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác thực danh tính trong môi trường điện tử. 4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ. Trong bốn đề xuất ở trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng, chứng khoán và bảo hiểm. I.3 Xác thực 2 yếu tố Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin. Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả như sau: “ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2 yếu tố có khả năng giúp bạn làm được điều đó” • Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là vô nghĩa. • Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi danh tính đó được bảo vệ bằng 2 yếu tố thay vì 1 yếu tố (mật khẩu/số PIN) như trước đây. 5 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet • Trong giao dịch trực tuyến, tính chống từ chối và tính bí mật là một trong những yêu cầu cần thiết của khách hàng. Rất nhiều tổ chức tài chính đã sử dụng Chữ kí số được tạo ra từ hệ thống xác thực 2 yếu tố để đảm bảo cho các giao dịch. • Xác thực 1 yếu tố trước đây mới chỉ đáp ứng được xác thực giữa nhà cung cấp dịch vụ với khách hàng mà không có khả năng ngược lại. Hệ thống xác thực 2 yếu tố sẽ giúp cho quá trình xác thực là tương tác 2 chiều, đảm bảo tối đa tính an toàn cho các giao dịch trực tuyến. • Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ rất nhiều mật khẩu, phải nhớ thay đổi mật khẩu theo định kì và rất nhiều rắc rối khác khi chúng ta quên chúng. Một số dạng của xác thực 2 yếu tố có khả năng giúp ta thực hiện điều đó. Đứng trước nhu cầu đó, rất nhiều công ty bảo mật đã phối hợp cùng các ngân hàng, tổ chức tài chính để phát triển những giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới các hoạt động giao dịch trực tuyến. Công ty Entrust, công ty phần mềm chuyên trong lĩnh vực bảo mật và mã hoá thông tin, đã là một trong các công ty hiếm hoi trên thế giới giúp cho các ngân hàng đáp ứng được đầy đủ yêu cầu về bảo vệ danh tính và chống lại các hành vi lừa đảo trực tuyến. Bên cạnh đó, giải pháp bảo mật của Entrust đã được đánh giá là có chi phí đầu tư thấp nhất so với các giải pháp của một số hãng như RSA Security, Aladdin, ActiveCard, VASCO… và đặc biệt rất phù hợp cho triển khai với số lượng người dùng lớn như trong lĩnh vực ngân hàng, chứng khoán. Dưới đây là đánh giá của Công ty Forrester Research (www.forrester.com), một công ty toàn cầu chuyên nghiên cứu thị trường và đánh giá các sản phẩm công nghệ Sản phẩm / Công nghệ xác thực Tính tiện dùng Tính sử dụng Tính bảo mật Chi phí đầu tư Khả năng quản trị Khả năng tích hợp One-Time-Password Tokens 5 3 4 2 2 5 Dịch vụ OTP của RSA Token 5 4 4 3 3 5 Smart Card (EMV) 5 3 5 3 3 5 Xác thực bằng số PIN/TAN 5 5 3 3 3 5 Entrust IdentityGuard 5 5 5 4 4 5 Xác thực bằng Mobile 4 3 5 3 5 5 Nhập giá trị xác thực trên bàn phím ảo 5 3 2 5 5 2 Xác thực bằng danh sách các dãy số 5 2 2 4 5 2 Số điểm: 1 = kém 5 = rất tốt Theo nguồn: Công ty nghiên cứu đánh giá các sản phẩm công nghệ Forrester Research Điều gì đã làm nên sự thành công của Entrust, đó là Entrust đã nhanh chóng cung cấp các giải pháp bảo mật đáp ứng kịp thời các yêu cầu cụ thể cho những tổ chức tài chính, ngân hàng, 6 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet chứng khoán trong việc bảo vệ thông tin khi giao dịch trực tuyến. Đặc biệt, giải pháp của Entrust có mức chi phí đầu tư tối ưu và dễ sử dụng nhất khi triển khai cho số lượng người dùng rất lớn là những khách hàng đang sử dụng các dịch vụ ngân hàng, tài chính, chứng khoán, bảo hiểm, … Công ty Entrust đưa ra 2 bộ sản phẩm phần mềm Strong Authentication Platform và eFraud Detection để giải quyết 2 vấn đề: • Xác thực mạnh 2 yếu tố để bảo vệ danh tính trực tuyến. • Giám sát và ngăn chặn các hình thức lừa đảo trực tuyến để giảm thiểu rủi ro cho các giao dịch. Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh 2 yếu tố trong bộ giải pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng dịch vụ tài chính, chứng khoán trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí đầu tư triển khai. II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ II.1 Xác thực mạnh kết hợp nhiều phương pháp Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh trong bộ giải pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng dịch vụ tài chính trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí đầu tư triển khai. 7 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet Hình dưới đây mô tả được phần nào cái nhìn tổng quan về các tính năng và ích lợi của phần mềm Entrust IdentityGuard. Có thể coi Entrust IdentityGuard là giải pháp phần mềm duy nhất hiện nay trên thế giới có khả năng kết hợp được nhiều phương pháp xác thực đồng thời trong cùng một phần mềm. Các phương pháp xác thực của Entrust IdentityGuard không những cho phép nhà cung cấp dịch vụ xác thực mạnh người dùng, mà còn giúp cho khách hàng có thể kiểm tra tính chân thật của các Web site trước khi họ nhập các thông tin cá nhân. Chính vì các khả năng đó, Entrust IdentityGuard đã nâng mức độ đảm bảo của giải pháp vượt xa các giải pháp xác thực hiện có trên thị trường, trong khi chi phí đầu tư không phát sinh và đặc biệt là rất phù hợp khi triển khai với số lượng người sử dụng lớn cho nhiều đối tượng khách hàng. Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là: • Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ. • Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các Web site dịch vụ trực tuyến. Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ. Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện riêng lẻ hoặc kết hợp đồng thời, bao gồm: • Xác thực người dùng bằng ma trận lưới ngẫu nhiên. Mỗi khách hàng sẽ được cấp một thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá 8 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet trị tương ứng theo toạ độ được yêu cầu. Kích thước hàng/cột của ma trận và độ dài của mật khẩu cho mỗi lần xác thực có thể thay đổi để phù hợp với từng chính sách bảo mật cụ thể. Với một ma trận hàng cột kích thước 5x10, và độ dài của mật khẩu là 3, khách hàng có thể dùng đến 19,600 mật khẩu động không trùng nhau. Ma trận hàng/cột có thể được in trên các thẻ ATM và được phát cho khách hàng. • Xác thực người dùng bằng One-Time-Password Tokens: Entrust IdentityGuard cho phép các khách hàng sử dụng Entrust OTP Tokens (hoặc Vasco OTP Token – Token của hãng Vasco – www.vasco.com) để xác thực dựa trên mật khẩu động được tạo ra từ Token mà không phải mua thêm bất cứ phần mềm xử lý nào bổ sung. • Xác thực theo thông tin cấu hình của các thiết bị cá nhân: Entrust IdentityGuard hỗ trợ xác thực dựa trên những thông tin cấu hình của các thiết bị như PC, Notebook, Server cho lần đầu tiên khi truy cập tới dịch vụ. Khi đó các thông tin cấu hình sẽ được lưu giữ trên Server xác thực và các lần sau đó khách hàng khi sử dụng thiết bị cá nhân đã đăng kí của mình sẽ không phải xác thực lại. • Xác thực thông qua gửi OTP bằng SMS tới thiết bị mobile: Đây là một phương pháp tương đối phổ biến trong các giao dịch điện tử. Trước khi khách hàng xác nhận thực hiện một giao dịch, ví dụ như chuyển tiền…, hệ thống sẽ tạo ra một dãy chữ số và gửi tới số mobile của khách hàng đã đăng kí trước đó bằng một tin nhắn SMS. Sau khi nhận được, khách hàng sẽ nhập dãy số đó cùng với giao dịch để đảm bảo việc chuyển tiền đúng là của khách hàng. Phương pháp này giảm thiểu rủi ro khi khách hàng bị hacker chiếm quyền điều khiển. 9 Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet • Xác thực dựa trên các thông tin cá nhân: Phương pháp này giúp các ứng dụng kiểm tra tính đúng đắn của khách hàng bằng những câu hỏi, câu trả lời mà khách hàng đã đăng kí với nhà cung cấp dịch vụ. Đây là thông tin cá nhân bí mật mà chỉ có khách hàng và nhà cung cấp mới có thể biết. • Xác thực bằng số PIN tạm thời: Phương pháp xác thực này được sử dụng trong trường hợp khách hàng quên không mang thẻ lưới (phương pháp xác thực bằng thẻ lưới). Khi đó khách hàng có thể sử dụng một số PIN tạm thời để sử dụng. Số PIN tạm thời này có thể được sử dụng lại nhiều lần trong một khoảng thời gian do hệ thống xác thực đặt trước (ví dụ thời gian sử dụng số PIN tạm thời là 1 ngày). Số PIN tạm thời này cũng sẽ tự động hết hiệu lực sử dụng ngay khi khách hàng sử dụng lại thẻ lưới. II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming Trong các dịch vụ trực tuyến, nhà cung cấp dịch vụ thường sử dụng cơ chế xác thực để đảm bảo tính đúng đắn về danh tính của khách hàng. Đối với giao dịch trực tuyến, xác thực một chiều đối với khách hàng là chưa đủ. Khách hàng cũng cần phải biết chắc chắn là nhà cung cấp dịch vụ mà họ đang giao dịch là đúng và không bị giả mạo. Để giải quyết được vấn đề này, Entrust IdentityGuard cung cấp một phương thức xác thực tính đúng đắ