Xác thực mạnh cho các giao dịch trực tuyến ngành Tài chính
Đây được coi là quyền lợi chính đáng của khách hàng và cũng là trách nhiệm quan trọng của nhà cung cấp dịch vụ trực tuyến.
Một trong những thông tin quan trọng nhất của khách hàng để họ có thể truy cập và sử dụng dịch vụ chính là Danh tính trực tuyến (Online Identity). Thông tin này được sử dụng để chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.
Cũng vì vậy, phần lớn các tấn công của hacker đều nhằm vào việc tìm cách để lấy cắp hoặc chiếm đoạt danh tính của khách hàng. Các tấn công có thể ở nhiều hình thức khác nhau như:
- Phishing: hacker gửi một email giả mạo nhà cung cấp để lừa khách hàng truy cập vào một Website và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như mật khẩu, số tài khoản hoặc số thẻ tín dụng.
- Các dạng tấn công khác như Brute force, KeyLogger: hacker ghi lại tất cả những ký tự khách hàng gõ lên bàn phím để từ đó tìm ra mật khẩu, số tài khoản của họ.
Thực tế cho thấy rằng các tấn công đánh cắp danh tính, hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã gây ra không ít hậu quả nghiêm trọng, tổn thất cho những nhà cung cấp dịch vụ trực tuyến.
Giải pháp xác thực mạnh - Entrust Identity Guard
Nhiều hãng bảo mật đã phối hợp cùng các tổ chức, các nhà cung cấp dịch vụ để phát triển những giải pháp, sản phẩm nhằm mục đích bảo vệ thông tin có liên quan tới các hoạt động giao dịch trực tuyến. Entrust Identity Guard - Phần mềm chuyên dụng bảo đảm an toàn thông tin, giúp cho các tổ chức đáp ứng được tương đối đầy đủ yêu cầu về bảo vệ danh tính và chống lại các hành vi lừa đảo trực tuyến. Đây là một giải pháp có khả năng kết hợp đồng thời được nhiều phương pháp xác thực trong một phần mềm. Bên cạnh đó, giải pháp bảo mật của Entrust đã được đánh giá là có chi phí đầu tư thấp so với các giải pháp tương tự của một số hãng khác.
Kiến trúc hệ thống Entrust Identity Guard
Entrust IdentityGuard là một phần mềm xác thực mạnh chạy trên Server cài hệ điều hành Microsoft Windows Server 2003 hoặc RedHat Linux Advance Server 3.0 trở lên. Cơ sở dữ liệu sử dụng để lưu trữ các thông tin xác thực tuân theo các chuẩn LDAP như MS Active Directory hoặc DBMS như Oracle, IBM DB2 hoặc Ms SQL 2000 (2005). Việc tích hợp vào các ứng dụng phát triển được thực hiện thông qua các Web service và hàm API cho ngôn ngữ Java, C#.
Các phương pháp xác thực mạnh của Entrust Identity Guard:
- Xác thực người dùng bằng ma trận lưới ngẫu nhiên: Mỗi khách hàng sẽ được cấp một thẻ bảo mật, trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá trị tương ứng theo tọa độ được yêu cầu.
Kích thước hàng/cột của ma trận và độ dài của mật khẩu cho mỗi lần xác thực có thể thay đổi để phù hợp với từng chính sách bảo mật cụ thể. Với một ma trận hàng/cột kích thước 5x10 và độ dài của mật khẩu là 3 ô, khách hàng có thể dùng đến 19.600 mật khẩu động không trùng nhau.
- Xác thực người dùng bằng One-Time-Password Token: Entrust IdentityGuard cho phép các khách hàng sử dụng Entrust OTP Token hoặc VASCO OTP Token của hãng VASCO để thực hiện xác thực dựa trên mật khẩu động được tạo ra từ Token mà không phải mua thêm bất cứ phần mềm xử lý nào.
- Xác thực theo thông tin cấu hình của các thiết bị cá nhân: Entrust IdentityGuard hỗ trợ xác thực dựa trên những thông tin cấu hình của các thiết bị như PDA, PC, Notebook, Server cho lần đầu tiên khi truy cập tới dịch vụ. Khi đó các thông tin cấu hình sẽ được lưu giữ trên Entrust IdentityGuard Server và các lần sau đó khách hàng không phải xác thực lại mỗi khi sử dụng thiết bị cá nhân đã đăng kí.
- Xác nhận các giao dịch qua phương tiện Mobile: Đây là một phương pháp tương đối phổ biến trong các giao dịch điện tử. Trước khi khách hàng xác nhận thực hiện một giao dịch, ví dụ như chuyển tiền, hệ thống sẽ tạo ra một dãy chữ số và gửi tới số mobile của khách hàng đã đăng kí trước đó. Sau khi nhận được, khách hàng sẽ nhập dãy số đó cùng với giao dịch để đảm bảo việc chuyển tiền đúng là của khách hàng. Phương pháp này giảm thiểu rủi ro khi khách hàng bị hacker chiếm quyền điều khiển.
- Xác thực dựa trên các thông tin cá nhân: Phương pháp này giúp các ứng dụng kiểm tra tính đúng đắn của khách hàng bằng những câu hỏi câu trả lời mà khách hàng đã đăng kí với nhà cung cấp dịch vụ. Đây là thông tin cá nhân bí mật mà chỉ có khách hàng và nhà cung cấp mới biết được.
- Xác thực bằng danh sách các dãy số bí mật: Với phương pháp này, mỗi khách hàng sẽ được cấp một danh sách các dãy số không giống nhau để sử dụng cho mỗi lần xác thực. Mỗi dãy số đó chỉ được sử dụng một lần duy nhất.
- Xác định mức độ tin cậy của Website: Trong việc xác thực 2 chiều, Entrust Identity Guard đưa ra các hình thức sau để giúp khách hàng có thể kiểm tra tính chân thực của các Website mà họ sẽ thực hiện giao dịch. Kiểm tra độ tin cậy của Website dựa trên thông tin số serial của thẻ bảo mật/token hoặc một số giá trị trên thẻ bảo mật: Khi khách hàng truy cập vào ứng dụng trực tuyến sau thủ tục đăng nhập UserName/Password, ứng dụng sẽ phải hiển thị ra một số các thông tin để người dùng kiểm tra tính đúng đắn của Website, ví dụ như số Serial của thẻ/token mà khách hàng đang sở hữu, hoặc một số giá trị trong ma trận được in trên thẻ. Nếu các thông tin này khớp nhau, khách hàng có thể yên tâm về tính chân thực của Website.
Sản phẩm Entrust Identity Guard trên thị trường
Các phương pháp xác thực của Entrust Identity Guard không những cho phép nhà cung cấp dịch vụ xác thực người dùng mà còn giúp cho khách hàng có thể kiểm tra tính chân thực của Website trước khi họ nhập các thông tin cá nhân có tính chất nhạy cảm (số thẻ tín dụng,...). Chính vì các khả năng đó, Entrust Identity Guard đã nâng mức độ đảm bảo của giải pháp, vượt xa các giải pháp xác thực hiện có trên thị trường, trong khi chi phí đầu tư không phát sinh thêm và đặc biệt là phù hợp khi triển khai với số lượng người sử dụng lớn cho nhiều đối tượng khách hàng.
Entrust Identity Guard có khả năng tương thích cao, dễ dàng áp dụng triển khai vào nhiều loại ứng dụng khác nhau.
Trong bộ giải pháp của Entrust, Entrust Identity Guard là sản phẩm phần mềm xác thực mạnh đã được cấp bằng sáng chế. Phần mềm này có thể coi là nền tảng cho nhiều phương pháp xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng dịch vụ trực tuyến