FIDO - PHƯƠNG THỨC XÁC THỰC MẬT KHẨU MỚI, HIỆN ĐẠI VÀ CẢI TIẾN

Bạn có thường xuyên gặp phải các tình huống như bên dưới hay chưa?

- Tình huống 1: Bạn muốn đăng ký tài khoản cho dịch vụ trực tuyến, nhưng lại sợ quên mật khẩu, vì vậy để dễ nhớ, bạn đặt password (mật khẩu) cho email, ngân hàng trực tuyến, các gian hàng điện tử… và tất cả dều sủ dụng cùng một mật khẩu cho tất cả tài khoản.

- Tình huống 2: Bạn lại thấy các sự cố bảo mật thông tin trên tin tức như lộ mật khẩu và nhận ra rằng mật khẩu của bạn có thể không đủ an toàn, vì vậy bạn đã đặt mật khẩu mạnh kết hợp chữ và số, kí tự đặc biệt như "$] 2iUzzJ", nhưng bạn không thể nào nhớ hết được những loại mật khẩu quá phức tạp này. Vì vậy bạn ghi lại nó trên một mảnh giấy và dán nó vào vị trí dễ thấy nhất trên màn hình bàn làm việc của bạn hoặc ghi chú đâu đó trên máy tính.

Nhược điểm của mật khẩu truyền thống

“Mật khẩu truyền thống” có nhiều nhược điểm làm người dùng phải đau đầu. Ví dụ: Đối với người dùng, những mật khẩu mạnh nói trên có vẻ hợp lý và cũng có thể tăng tính bảo mật, nhưng thực ra bộ não con người không thích hợp để ghi nhớ mật khẩu. Hành vi này về cơ bản vi phạm bản chất con người.Đối với các nhà cung cấp dịch vụ, mặc dù hầu hết trong số họ hiện có một bộ quy tắc tương ứng, chẳng hạn như người dùng nên đặt mật khẩu mạnh hoặc tăng cường bảo mật tài khoản thông qua xác minh 2 bước và SMS OTP (Mật khẩu một lần), hoàn toàn không thể ngăn chặn nguy cơ bị hacker bẻ khóa và các trang web lừa đảo.

Đặc biệt trong thời đại Internet, nhiều dữ liệu và dịch vụ quan trọng được đưa lên đám mây, điều này cũng khiến phạm vi tấn công của hacker ngày càng rộng hơn, rủi ro từ các nguồn bên ngoài ngày càng cao.Theo một cuộc khảo sát năm 2019 của công ty viễn thông Hoa Kỳ Verizon, 80% vi phạm bảo mật liên quan đến rò rỉ mật khẩu và 51% mật khẩu của người dùng được sử dụng lại.Đối với hacker, dữ liệu là tiền và phương thức tấn công đã tiến hóa từ việc làm tê liệt hệ thống đơn giản đến lấy thông tin cá nhân của người dùng thông qua các trang web lừa đảo và các phương pháp khác để thu được nhiều lợi ích hơn nữa.

Từ Điều bạn biết đến Điều bạn làm

Để giải quyết các vấn đề tồn tại trong ngành, trước tiên chúng ta phải hiểu các phương pháp xác minh danh tính chính ở giai đoạn này.

1. Những gì bạn biết: Là mật khẩu truyền thống mà ai cũng quen thuộc nhưng khả năng bị bẻ khóa rất cao, chỉ cần một dịch vụ mạng nào đó hữu ích là có khả năng bị hacker tấn công.
2. Một cái gì đó bạn có: Tính bảo mật cao hơn so với mật khẩu truyền thống, chẳng hạn như bằng cách gửi mật khẩu OTP đến thiết bị cá nhân và sau đó xác minh chúng.Ví dụ: nhiều ngân hàng trực tuyến hiện gửi một bộ mật khẩu SMS đến điện thoại di động khi người dùng chuyển tiền và Google Authenticator phổ biến thuộc loại này.

3. Một cái gì đó của bạn (Sinh trắc học cá nhân).Ví dụ: nhận dạng vân tay, khuôn mặt và mống mắt thuộc loại này.

Vì khả năng tin tặc lấy được xác thực có thể giảm đáng kể thông qua các thiết bị và sinh trắc học thuộc sở hữu của các cá nhân, nên hiện tại, cách xác thực trong ngành đang dần phát triển từ loại đầu tiên là "Điều bạn biết" sang loại thứ hai và thứ ba của xác thực. "Một cái gì đó bạn có/bạn là".Giờ đây, việc "loại bỏ mật khẩu truyền thống" đã trở thành một sự đồng thuận trong ngành, đây cũng là lúc để giới thiệu FIDO, một tiêu chuẩn nhận dạng mạng thế hệ mới và giải thích lý do cho sự phát triển nhanh chóng của nó trong hai năm qua.

FIDO là gì?

FIDO (Fast Identity Online) là gì?Nói một cách dễ hiểu, nó có thể hiểu là lấy thiết bị phần cứng làm trục chính, làm phương thức xác thực danh tính để xác minh. Mục tiêu chính là cung cấp một bộ tiêu chuẩn mở và có thể tương tác cho các trang web và dịch vụ di động khác nhau, để người dùng có thể sử dụng phần cứng an toàn. Module bảo mật thay thế mật khẩu truyền thống để xác thực.

Ví dụ: nếu dịch vụ bạn sử dụng hỗ trợ tiêu chuẩn FIDO, bạn có thể sử dụng khóa bảo mật vật lý (chẳng hạn như Khóa USB) vượt qua tiêu chuẩn FIDO để trực tiếp xác thực và truy cập dịch vụ; Nếu bạn có module bảo mật như máy tính xách tay hỗ trợ tiêu chuẩn FIDO-Windows hello, thì bạn cũng có thể sử dụng nhận dạng vân tay và các chức năng khác trên máy tính này để truy cập thêm vào các dịch vụ và thực hiện xác thực danh tính an toàn hơn.

So với các phương pháp xác thực khác, FIDO an toàn hơn.Về mặt kiến trúc, FIDO không yêu cầu chia sẻ bí mật và khóa riêng tư không tồn tại ở phía máy chủ, phân tán rủi ro ở phía thiết bị thay vì tập trung vào phía máy chủ, có nghĩa là ngay cả khi máy chủ bị xâm nhập, sẽ không có gì lớn. Đặc biệt là vấn đề rò rỉ tài khoản.Ngoài ra, các khóa FIDO là duy nhất duy nhất cho mỗi website, vì vậy chúng không thể được sử dụng để theo dõi việc sử dụng của người dùng trên các trang web.

Trên thực tế, vì FIDO ban đầu là một tiêu chuẩn cho bảo mật mạng, nhiều dịch vụ web quen thuộc với công chúng đã hỗ trợ tiêu chuẩn này, chẳng hạn như Google Chrome, Firefox, Edge và các trình duyệt phổ biến khác.Một loại phổ biến khác bao gồm máy tính Windows.Microsoft đã công bố vào tháng 2 năm ngoái rằng Windows Hello đã được chứng nhận FIDO2.Miễn là phiên bản Windows 10 mới của Microsoft được chứng nhận FIDO2, bạn có thể đăng nhập vào các dịch vụ trang web của Microsoft, chẳng hạn như Outlook.com, Microsoft365, OneDrive, v.v., thông qua phương pháp sinh trắc học được FIDO2 chứng nhận.

Liên minh FIDO được thành lập vào năm 2012 và đã phát triển lên hơn 250 thành viên, bao gồm PayPal, Google, Apple, Microsoft (Microsoft) đều là thành viên của liên minh này, nhiều nhà cung cấp dịch vụ Internet, tổ chức tài chính và đơn vị chính phủ tham gia, để cùng thúc đẩy tiêu chuẩn mở mới về "không có mật khẩu" cho ngành.

Một tương lai "không mật khẩu"

DSM 7.0 được Synology phát hành vào tháng 12 năm ngoái cũng đã giới thiệu xác thực FIDO, hy vọng sẽ giải phóng người dùng khỏi sự bất tiện khi ghi nhớ mật khẩu trong quá khứ, đồng thời tăng cường tính bảo mật của xác thực.

Bằng cách hỗ trợ chương trình xác thực di động Synology Secure SignIn App và phương thức đăng nhập bằng khóa phần cứng, nó cung cấp trải nghiệm người dùng mới với cả tính bảo mật và tiện lợi.Lý do tại sao hai phương pháp xác thực mới này được giới thiệu đồng thời không chỉ để hy vọng rằng người dùng có thể chọn phương pháp phù hợp tùy theo tình huống sử dụng của riêng họ mà còn để thúc đẩy xác minh giai đoạn đa yếu tố MFA để loại bỏ nguy cơ rò rỉ đơn yếu tố.

Ngoài việc hy vọng FIDO sẽ được sử dụng cho trường hợp sử dụng hơn, nó cũng cho phép người dùng làm quen với việc nhập một cơ chế mới.Phê duyệt đăng nhập là vì hầu hết mọi người đều có thiết bị di động bây giờ, miễn là ứng dụng được tải xuống, nó có thể được sử dụng, rất có tính thực tiễn và bảo mật; FIDO là một phương thức xác thực mạnh và đã có nhiều thị trường hỗ trợ chứng chỉ FIDO. Khóa bảo mật vật lý rất đơn giản để sử dụng và nhóm khách hàng mục tiêu cũng có thể được mở rộng hơn nữa cho những người dùng có yêu cầu bảo mật cao hơn, chẳng hạn như nhân viên MIS doanh nghiệp.

(Secure SignIn cung cấp một phương thức xác minh tiện lợi hơn. Khi đăng nhập, người dùng sẽ nhận được thông báo nhắc rằng hệ thống cần phê duyệt đăng nhập. Nhấp để chấp nhận, không cần mật khẩu hoặc mã xác minh.)

Có thể nói FIDO là phương thức xác thực danh tính an toàn nhất hiện nay, phương thức đăng nhập dựa trên phần cứng không chỉ giúp loại bỏ việc phải ghi nhớ mật khẩu mà còn mang lại nhiều quyền riêng tư hơn.Trong hai năm qua, FIDO đã bước vào giai đoạn phát triển mạnh mẽ. Hầu hết các kiến trúc và chứng nhận đã được thiết lập trên phía trình duyệt. Có rất nhiều ví dụ về ứng dụng bao gồm các cơ quan chính phủ, tổ chức tài chính và ngành viễn thông. Bước tiếp theo là để cung cấp các dịch vụ khác nhau. Đã đến lúc các nhà sản xuất phải theo kịp và cùng nhau nắm lấy một tương lai "không mật khẩu – no password".

EmeraldETL là Công ty chuyên về Công Nghệ, là đại lý rất nhiều dòng sản phẩm bảo mật cao cấp và lưu trữ chuyên nghiệp tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.