Hệ thống xác thực mật khẩu 3 lớp

09:25 | 23/05/2018

Mật khẩu là nhân tố được sử dụng phổ biến nhưng cũng được xem là một mắt xích yếu trong hệ thống xác thực. Đã có một số giải pháp được phát triển để giúp người dùng tạo và quản lý mật khẩu. Tuy nhiên, các giải pháp vẫn tồn tại các rủi ro gây mất an toàn thông tin. Bài báo này trình bày về hệ thống xác thực mật khẩu 3 lớp. Đây là hệ thống xác thực đa nhân tố kết hợp các tính năng của các sơ đồ xác thực khác nhau.

Tổng quan về các kỹ thuật xác thực

Các sơ đồ xác thực hiện đang sử dụng có thể được chia thành ba loại chính:

Xác thực dựa trên thẻ bài: Kỹ thuật xác thực dựa trên thẻ bài sử dụng các thẻ bài (thẻ khóa, thẻ ngân hàng, thẻ thông minh...) được sử dụng rộng rãi trong thực tế. Hầu hết các hệ thống xác thực dựa trên thẻ bài cũng sử dụng kỹ thuật xác thực dựa trên tri thức để tăng cường sự an toàn của hệ thống. Ví dụ sử dụng thẻ ATM cùng với số PIN.

Xác thực dựa trên sinh trắc học: Kỹ thuật xác thực dựa trên sinh trắc học, (chẳng hạn như dấu vân tay, quét mống mắt hoặc nhận diện khuôn mặt) vẫn chưa được sử dụng rộng rãi bởi cách tiếp cận này, đòi hỏi chi phí triển khai cao. Quá trình nhận dạng có thể tốn nhiều thời gian trong việc xác thực, tuy nhiên, kỹ thuật này cung cấp khả năng bảo mật cao nhất.

Xác thực dựa trên tri ​​thức: Kỹ thuật xác thực được sử dụng rộng rãi nhất là kỹ thuật dựa trên tri ​​thức. Nó bao gồm cả mật khẩu dựa trên văn bản và mật khẩu dựa trên hình ảnh. Các kỹ thuật mật khẩu dựa trên hình ảnh có thể tiếp tục chia thành hai loại khác nhau: kỹ thuật dựa trên hồi tưởng và kỹ thuật dựa trên nhận dạng.

Kỹ thuật dựa trên hồi tưởng (recall): đòi hỏi người dùng lặp lại, hoặc sao chép một thông tin bí mật mà họ đã tạo ra trước đó. Một trong những ví dụ phổ biến cho sơ đồ xác thực dựa trên hồi tưởng là mật khẩu văn bản. Một trong những giới hạn chính của mật khẩu văn bản là hai yêu cầu mâu thuẫn của sơ đồ này: lựa chọn mật khẩu dễ nhớ đồng thời đáp ứng yêu cầu khó đoán.

Kỹ thuật dựa trên nhận dạng (recognition): là một phân ngạch của mật khẩu đồ hoạ. Mật khẩu đồ họa cho phép người dùng có thể gọi lại và nhận ra hình ảnh tốt hơn văn bản. Một số lược đồ mật khẩu đồ họa đòi hỏi một lượng thời gian khá dài cho quá trình thực hiện. Bất lợi chính của nó là trong khi người dùng đang thực hiện nhập các mật khẩu đồ họa, thì kẻ tấn công có thể thực hiện tấn công “lướt vai”, bằng việc dễ dàng quan sát và ghi lại thao tác của người dùng.

Lược đồ mật khẩu 3 lớp

Nội dung dưới đây trình bày về một hệ thống xác thực mật khẩu 3 lớp, gồm: thứ tự hình ảnh, các điểm ảnh màu và mật khẩu một lần (OTP). Lớp đầu tiên là thứ tự hình ảnh, ở lớp này người dùng chọn các hình ảnh giống hệt nhau và theo đúng thứ tự như đã chọn trong giai đoạn đăng ký. Lớp thứ hai là lựa chọn pixel màu, ở lớp này người dùng chọn một điểm ảnh màu duy nhất. Lớp thứ ba, tạo mật khẩu một lần, đây là lớp an toàn nhất. Với hệ thống này, người dùng cần vượt qua cả 3 lớp xác thực, mới được quyền truy cập.

Thứ tự Hình ảnh

Tại lớp này, người dùng lựa chọn chính xác các hình ảnh được đặt trước đó theo cùng một thứ tự. Từ một chuỗi các hình ảnh, người dùng có thể lựa chọn một số hình ảnh một cách ngẫu nhiên. Các hình ảnh được cung cấp thường được sử dụng phổ biến, thân thiện với người dùng và dễ nhớ. Ví dụ: Khi chúng ta thiết lập một bộ đếm là 3 thì giới hạn tối đa của hình ảnh lựa chọn sẽ được thiết lập là ba hình ảnh.

Trong suốt giai đoạn xác thực, chuỗi các hình ảnh sẽ được đưa ra theo một thứ tự được xáo trộn, từ đó người dùng chọn cùng một tập hình ảnh được chọn trong giai đoạn đăng ký theo cùng một thứ tự. Trong trường hợp bất kỳ lựa chọn không hợp lệ của hình ảnh, hệ thống sẽ bị khóa tự động sau số lần thử được phép.


Hình 1: Thứ tự hình ảnh

Các điểm ảnh màu

Sau khi xác thực thành công ở lớp thứ tự hình ảnh, hệ thống chuyển đến lớp lựa chọn các điểm ảnh màu (Pixel màu). Người dùng sẽ chọn một pixel màu đơn từ các khối màu khác nhau được cung cấp. Các pixel màu được chọn phải trùng với pixel đã chọn trong giai đoạn đăng ký. Trong trường hợp lựa chọn hình ảnh hoặc pixel màu không hợp lệ, hệ thống sẽ được khóa tự động sau số lần thử tối đa được phép. Ví dụ, khi thiết lập một bộ đếm là 1, thì giới hạn của lựa chọn điểm ảnh màu sẽ được thiết lập là 1.


Hình 2: Pixel màu

Mỗi Pixel màu ở đây sử dụng mô hình màu RGB, là kết quả của việc tổ hợp 3 thành phần màu Red, Green và Blue. Mỗi thành phần màu có thể nhận giá trị từ 0 - 255. Vì vậy, số lượng Pixel màu tối đa sẽ là: 2563 = 26.777.216. Không gian mật khẩu dựa trên Pixel màu là: 26.777.216N, trong đó N là số lượng Pixel màu của mật khẩu.

Mật khẩu một lần

Ở lớp thứ ba, hệ thống sử dụng mật khẩu một lần (One Time Password - OTP) là mật khẩu có giá trị trong một phiên, được tạo ra và xác minh bằng các hàm băm và thuật toán mật mã an toàn như SHA-1. Trong hệ thống xác thực mật khẩu 3 lớp thì OTP sẽ được gửi đến điện thoại dưới dạng tin nhắn SMS, hoặc được tạo ra thông qua ứng dụng trên điện thoại thông minh. Giải pháp này sẽ giúp người dùng tạo và quản lý mật khẩu của mình thuận tiện và chi phí hợp lý hơn.

Với khả năng tiếp cận tất cả khách hàng với chi phí thấp, OTP được gửi qua tin nhắn là hình thức phổ biến. Ngoài ra, điện thoại thông minh cũng có thể được sử dụng như là thẻ bài hoặc nền tảng để tạo OTP. Như vậy có thể gọi nó là SMS OTP hoặc OTP được tạo ra thông qua điện thoại thông minh.

Kết luận

Hiện nay có rất nhiều sơ đồ xác thực, một số trong đó dựa trên các thuộc tính vật lý và hành vi của người dùng, một số khác dựa trên kiến ​​thức của người dùng (mật khẩu văn bản và mật khẩu đồ họa). Ngoài ra, còn có các sơ đồ xác thực phức tạp hơn dựa trên các thẻ bài, chẳng hạn như thẻ thông minh (dựa trên những gì người dùng có). Các sơ đồ xác thực được sử dụng phổ biến nhất là mật khẩu văn bản và các sơ đồ dựa trên thẻ bài, hoặc sự kết hợp của hai loại này. Tuy nhiên, cả hai lược đồ xác thực này đều dễ bị tấn công nhất định.

Hệ thống xác thực mật khẩu 3 lớp được xây dựng bằng phương pháp kết hợp các tính năng của các sơ đồ xác thực khác nhau. Do vậy, sẽ nâng cao độ an toàn bảo mật hệ thống xác thực.