TỔNG QUAN
Hàng triệu cuộc tấn công vi phạm bảo mật trong những năm gần đây đã khiến môi trường Internet trở nên kém an toàn đối với các doanh nghiệp mỗi năm, đặc biệt là các doanh nghiệp kinh doanh thương mại điện tử và các nhà cung cấp dịch vụ ví điện tử. Điều này khiến cho người sử dụng có thể gặp phải các tình huống mất an toàn về bảo mật thông tin. Một hệ thống tài chính an toàn là một hệ thống có nhiệm vụ thực hiện các tác vụ liên quan tới tài chính và đảm bảo tính an toàn cho người dùng. Cần phải đảm bảo công việc xác thực cho tất cả các bên liên quan và đảm bảo một môi trường an toàn cho việc thanh toán kỹ thuật số.
Ví điện tử là một ứng dụng điện tử cho phép thực hiện các giao dịch thương mại điện tử trực tuyến như mua hàng hóa, thanh toán hóa đơn tiện ích, chuyển tiền, đặt vé máy bay bằng một công cụ tài chính (chẳng hạn như thẻ tín dụng hoặc tiền kỹ thuật số) bằng cách sử dụng điện thoại thông minh hoặc máy tính. Rất nhiều ví điện tử được cung cấp trực tuyến để tải xuống thông qua ứng dụng để hỗ trợ cả giao dịch PoS (Point of Sale) và giao dịch ngang hàng giữa các cá nhân. Chúng được thiết kế để thuận tiện cho người dùng thực hiện các khoản cần thanh toán thông qua ví điện tử thay vì ví truyền thống, bằng cách cung cấp khả năng quản lý tốt hơn đối với các khoản thanh toán, tài khoản của họ, nhận ưu đãi, cảnh báo từ người bán, lưu trữ biên lai kỹ thuật số và thông tin bảo hành được bảo mật bởi mật khẩu mạnh và thông tin xác thực.
Một số công ty chuyên về công nghệ thông tin, ngân hàng, công ty viễn thông, cổng thương mại điện tử trực tuyến, dịch vụ taxi, chuỗi siêu thị cung cấp ví điện tử. Một số thông tin nhận dạng cá nhân (PII) của khách hàng như tên, số điện thoại di động và thông tin cá nhân được bảo vệ như số thẻ khách hàng, mã PIN, thông tin đăng nhập ngân hàng mạng,... được lưu trữ vĩnh viễn trong ví điện tử, chỉ cần ủy quyền cuối cùng từ người dùng thông qua các phương tiện xác thực sinh trắc học, mật khẩu một lần (OTP),... Quá trình thanh toán bao gồm các cơ chế bảo mật như chứng chỉ xác thực hoặc sử dụng các hệ mật mã.
MỘT SỐ GIẢI PHÁP AN TOÀN CHO NHÀ CUNG CẤP DỊCH VỤ VÍ ĐIỆN TỬ
Các phương thức an toàn SSL và TLS
Khái niệm
Các trang Web bảo vệ thông tin thanh toán bằng cách mã hóa dữ liệu trước khi thực hiện truyền dữ liệu. Hai giao thức chính thực hiện bước mã hóa này là Secure Sockets Layer (viết tắt là SSL) và Transport Layer Security (viết tắt là TLS). TLS là giao thức mới hơn, bao gồm các thuật toán mã hóa mạnh hơn.
Hội đồng Tiêu chuẩn an toàn ngành thẻ thanh toán (PCI SSC) là một tổ chức quốc tế chuyên bảo mật dữ liệu thanh toán. Nó có chức năng xuất bản và cập nhật các tiêu chuẩn bảo mật dữ liệu PCI (PCI DSS), áp dụng cho tất cả các thực thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ hoặc dữ liệu xác thực nhạy cảm.
Các loại hình kinh doanh khác nhau cần mức độ tuân thủ PCI khác nhau, từ một số yêu cầu đơn giản đối với người bán trực tuyến sử dụng đến thao tác kiểm tra tính hợp lệ của dữ liệu đầy đủ cho chính nhà cung cấp. Các thương hiệu thanh toán lớn như Visa và Mastercard vận hành các chương trình độc lập xác định mức độ xác thực và mức độ tuân thủ khác nhau.
Cách hoạt động
Để xác thực bên phía máy chủ, máy khách sẽ sử dụng khóa công khai của máy chủ để mã hóa dữ liệu (tập dữ liệu này được sử dụng để tạo khóa bí mật). Máy chủ chỉ có thể tạo khóa bí mật nếu nó có thể giải mã dữ liệu đó bằng khóa riêng tư.
Để thực hiện xác thực bên phía máy khách, máy chủ sẽ sử dụng khóa công khai trong chứng chỉ của phía máy khách để giải mã dữ liệu mà máy khách gửi trong bước 5 của quá trình bắt tay. Việc trao đổi các gói dữ liệu đã được mã hóa bằng khóa bí mật sẽ xác nhận rằng quá trình xác thực được hoàn tất. Nếu bất kỳ bước xác thực nào không thành công, quá trình bắt tay sẽ không được hoàn thành và phiên trao đổi kết thúc.
Việc trao đổi chứng chỉ kỹ thuật số trong quá trình bắt tay SSL hoặc TLS là một phần của quá trình xác thực. Các chứng chỉ được yêu cầu như sau, trong đó, CA X cấp chứng chỉ cho máy khách SSL hoặc TLS và CA Y cấp chứng chỉ cho máy chủ SSL hoặc TLS:
Để xác thực máy chủ, máy chủ SSL hoặc TLS cần có chứng chỉ cá nhân do CA Y cấp cho máy chủ và khóa riêng của máy chủ
Máy khách SSL hoặc TLS cần có chứng chỉ CA cho CA Y
Nếu máy chủ SSL hoặc TLS yêu cầu xác thực bên phía máy khách, máy chủ xác minh danh tính của máy khách bằng cách xác minh chứng chỉ số của máy khách bằng khóa công khai cho CA đã cấp chứng chỉ cá nhân cho máy khách, trong trường hợp này là CA X. Để xác thực cả máy chủ và máy khách, máy chủ cần có chứng chỉ cá nhân do CA Y cấp cho máy chủ, khóa riêng tư của máy chủ và chứng chỉ CA cho CA X.
Máy khách cần chứng chỉ cá nhân do CA X cấp cho khách hàng, khóa riêng tư của khách hàng và chứng chỉ CA cho CA Y.
Cả máy chủ SSL hoặc TLS và máy khách có thể cần các chứng chỉ CA khác để tạo chuỗi chứng chỉ tới chứng chỉ CA gốc.
Trong quá trình bắt tay SSL hoặc TLS, một khóa bí mật được tạo để mã hóa dữ liệu giữa máy khách và máy chủ SSL hoặc TLS. Khóa bí mật được sử dụng trong một công thức toán học được áp dụng cho dữ liệu để biến đổi bản rõ thành bản mã không đọc được và bản mã thành bản rõ.
Khóa bí mật được tạo từ văn bản ngẫu nhiên được gửi với vai trò là một phần của quá trình bắt tay và được sử dụng để mã hóa bản rõ thành bản mã. Khóa bí mật cũng được sử dụng trong thuật toán MAC (Message Authentication Code), được sử dụng để xác định xem thông báo có bị thay đổi hay không.
Nếu khóa bí mật được phát hiện, bản rõ của một thông điệp có thể được giải mã khỏi bản mã hoặc có thể tính toán bản tóm tắt thông điệp, cho phép thay đổi thông điệp mà không bị phát hiện. Ngay cả đối với một thuật toán phức tạp, bản rõ cuối cùng cũng có thể được phát hiện bằng cách áp dụng mọi phép biến đổi toán học có thể có cho bản mã. Để giảm thiểu lượng dữ liệu có thể được giải mã hoặc thay đổi nếu khóa bí mật bị hỏng, khóa bí mật có thể được tạo lại dựa theo một khoảng thời gian nhất định. Khi khóa bí mật đã được tạo lại, khóa bí mật trước đó sẽ không còn được sử dụng để giải mã dữ liệu được mã hóa bằng khóa bí mật mới.
Tokenization
Khái niệm
Mã hóa không phải là cách duy nhất để che giấu giá trị số nhận dạng tài chính hoặc thông tin cá nhân của người dùng. Tokenization là một quá trình mà trong đó thông tin thanh toán nhạy cảm của người sử dụng được thay thế bằng một tập hợp các ký tự được gọi là token và các token này sẽ không ảnh hưởng đến tính an toàn trong các giao dịch trực tuyến và di động. Các máy khách sẽ thực hiện truyền mã token, thay vì dữ liệu thông tin gốc quan trọng, điều này khiến dữ liệu sẽ không thể bị đánh cắp hoặc không có giá trị đối với kẻ tấn công khi đánh cắp được.
Không giống với chức năng của hệ thống mã hóa, hệ thống sử dụng phương thức tokenization sẽ thực hiện tạo ra token mới cho mỗi người dùng mới, liên kết dữ liệu gốc với token nhưng không thực hiện giải mã token và làm lộ dữ liệu gốc.
Ví dụ, tại một sòng bạc, những người chơi đánh bạc sẽ nhận được các token để đổi lấy một số lượng tiền mặt. Sòng bạc sẽ cho phép người chơi đánh bạc bằng các token này mà không cần sử dụng tiền mặt thực tế. Nếu token bị đánh cắp thì những token đó sẽ không thể được sử dụng trong các sòng bạc khác.
Tokenization được sử dụng ở đâu?
Tokenization được ứng dụng trong nhiều ngành công nghiệp khác nhau. Với chức năng chính của tokenization là để bảo vệ dữ liệu nhạy cảm trong kinh doanh, nó chủ yếu được sử dụng trong ngành thẻ thanh toán (PCI - Payment Card Industry).
Google Pay, Samsung Pay, Apple Pay và nhiều ngân hàng khác đã sử dụng phương pháp tokenization. PCI lựa chọn tokenization thay vì công nghệ mã hóa là bởi có thêm một lớp bảo mật cho người sử dụng. Nó giúp tiết kiệm chi phí hơn so với các phương pháp bảo vệ dữ liệu nhạy cảm khác, đảm bảo trải nghiệm người dùng tốt hơn và dễ dàng được tích hợp vào trong các ứng dụng.
Lý do trong việc chọn tokenization là nó đáp ứng các tiêu chuẩn tuân thủ và giúp các nhà cung cấp dịch vụ thanh toán kỹ thuật số nhận được các chứng chỉ liên quan tới bảo mật một cách dễ dàng.
Ví dụ về cách thức hoạt động của Tokenization
Khi ví điện tử xử lý thẻ ghi nợ hoặc thẻ tín dụng của khách hàng, phương thức tokenization sẽ thực hiện thay thế giá trị PAN bằng một token.
3224-2276-4452-5541 được thay thế bằng một bộ số nhận dạng duy nhất là 7f4ghg45Ee295Yhr.
Người cung cấp có thể áp dụng Token ID để xử lý quá trình thanh toán. Điều này sẽ có một quá trình xác minh token được hỗ trợ để lưu trữ hồ sơ của khách hàng.
Ví dụ, 7f4ghg45Ee295Yhr được kết nối với Robin White. Token sẽ được chia sẻ với bộ xử lý thanh toán để xác định mã token. Bộ xử lý thanh toán sẽ thực hiện biên dịch token để xác nhận quá trình thanh toán. Nếu được xác minh thành công, 7f4ghg45Ee295Yhr sẽ được biến đổi thành 3224-2276-4452-5541.
Bên xử lý thanh toán (ngân hàng hoặc công ty phát hành thẻ) là bên duy nhất có thể đọc mã token. Nó hoàn toàn không có giá trị gì đối với bất kỳ ai khác, sẽ không có vấn đề gì nếu mã token bị tấn công.
Xác thực đa yếu tố (MFA)
Khái niệm
Để cấp quyền truy cập vào thông tin được bảo vệ, hệ thống cần thực hiện xác thực danh tính của người dùng. Một cách đơn giản để tiến hành công việc xác thực này là cho phép người dùng thực hiện nhập mật khẩu, tuy nhiên kẻ tấn công vẫn có thể lấy được mật khẩu, do đó, việc xác thực thông qua một yếu tố mật khẩu duy nhất là chưa đủ để đảm bảo tính an toàn đối với người dùng.
Yếu tố xác thực thứ hai thường được sử dụng là một mã code được gửi đến điện thoại hoặc địa chỉ email của người dùng khi có yêu cầu quyền truy cập. Đây là một dạng xác thực quyền truy cập đa yếu tố đơn giản nhưng hiệu quả nhằm giúp cải thiện đáng kể tính bảo mật cho người dùng.
Cách hoạt động của MFA
MFA hoạt động bằng cách yêu cầu bổ sung thêm thông tin xác minh (các yếu tố khác). Một trong những yếu tố MFA phổ biến nhất mà người dùng thường sử dụng là mật khẩu sử dụng một lần (OTP). OTP là những mã bao gồm từ 4 đến 8 chữ số mà bạn thường nhận được qua email, SMS hoặc một số loại ứng dụng dành cho thiết bị di động. Với OTP, một mã mới được tạo theo từng giai đoạn hoặc mỗi khi gửi yêu cầu xác thực. Mã được tạo dựa trên một giá trị được gán cho người dùng khi họ đăng ký lần đầu tiên và một số yếu tố xác thực khác.
Các dạng yếu tố xác thực
MFA thường bao gồm 5 kiểu yếu tố xác thực được biểu thị như sau:
Thứ mà người dùng biết: Một cái gì đó mà người dùng biết, như tên người dùng, mật khẩu hoặc mã PIN.
Cái người dùng có: Một cái gì đó mà người dùng có, như một mã thông báo an toàn.
Cái thuộc về bản thể người dùng: Bản chất của người dùng, có thể được chứng minh bằng xác minh vân tay, võng mạc hoặc nhận dạng giọng nói.
Vị trí: Dựa trên vị trí thực tế của người dùng. MFA sẽ xem xét địa chỉ IP của người dùng và nếu có thể, sử dụng vị trí địa lý của họ. Thông tin này có thể được sử dụng để chặn quyền truy cập của người dùng một cách đơn giản nếu thông tin vị trí của họ không khớp với những gì được chỉ định trong danh sách cho phép hoặc nó có thể được sử dụng như một hình thức xác thực bổ sung ngoài các yếu tố khác như mật khẩu hoặc OTP để xác nhận người dùng xác thực.
Thời gian: Mã xác thực dựa theo thời gian để xác thực như OTP.
Khi lựa chọn sử dụng phương thức xác thực, nhà cung cấp cần xem xét những thứ như mức độ bảo mật cần thiết, loại công nghệ mà khách hàng thường sử dụng nhất để truy cập vào nguồn tài nguyên và chi phí khi áp dụng.
Ví dụ về MFA
Ví dụ về xác thực đa yếu tố bao gồm việc sử dụng kết hợp các yếu tố khác nhau để xác thực:
● Thứ mà người dùng biết: Câu trả lời cho các câu hỏi bảo mật cá nhân; Mật khẩu; Mã OTP.
● Thứ mà người dùng sở hữu: OTP do ứng dụng điện thoại thông minh sinh ra; OTP được gửi qua văn bản hoặc email; Thiết bị USB, thẻ thông minh hoặc các giá trị khóa bảo mật; Sử dụng token và chứng chỉ phần mềm.
● Cái thuộc về bản thể người dùng: Quét vân tay, nhận dạng khuôn mặt, giọng nói, võng mạc hoặc mống mắt hoặc các sinh trắc học khác; Phân tích hành vi.
KẾT LUẬN
Ví điện tử đang ngày càng trở nên phổ biến đối với người dùng ở các lứa tuổi bởi nó giúp việc thực hiện các giao dịch trở nên dễ dàng, đơn giản hóa và tăng tốc độ xử lý quá trình diễn ra giao dịch giữa người mua và người bán, cũng như thúc đẩy việc thực hiện thanh toán không tiếp xúc. Các giải pháp thanh toán bằng ví điện tử cho phép các doanh nghiệp cung cấp các dịch vụ mạnh mẽ, an toàn và nhanh hơn cho khách hàng của họ.
Mặc dù việc thanh toán điện tử còn chưa được ứng dụng rộng rãi bởi tính an toàn của nó. Tuy nhiên, việc xây dựng một ứng dụng ví điện tử an toàn và hoạt động hiệu quả thông qua các phương pháp bảo mật mạnh mẽ sẽ giúp tạo sự tin cậy của người dùng đối với một công ty phát triển và sẽ giúp thúc đẩy việc thanh toán thông qua ví điện tử ngày càng phát triển. Không chỉ vậy, việc thực thi các biện pháp bảo mật cũng sẽ mang lại cho ứng dụng ví điện tử một lợi thế khác biệt so với các đối thủ cạnh tranh. Các nhà cung cấp dịch vụ ví điện tử nên xem xét các phương pháp bảo mật phù hợp với ứng dụng của mình, hoặc có thể áp dụng nhiều phương pháp với nhau giúp tạo nền tảng an toàn cho người dùng khi thực hiện thanh toán.