Ứng dụng công nghệ sinh trắc học trong bảo mật doanh nghiệp

15:47 | 12/10/2016

Các phương pháp xác thực bằng mật khẩu thông thường hiện nay không còn đảm bảo được an toàn cho người dùng. Việc thay thế mật khẩu này đã có nhiều giải pháp, một trong số đó là công nghệ sinh trắc học.

Ứng dụng sinh trắc học trong bảo mật và an toàn thông tin (ATTT) đã được phát triển trong một thời gian dài. Trong những năm gần đây, công nghệ này đã giải quyết được các vấn đề lớn như chi phí, cách thức vận hành và khả năng truy cập, từ đó tạo ra khả năng chính xác cao trong các giải pháp xác thực. Phương pháp xác thực sinh trắc học (Biometric) là một công nghệ sử dụng những thuộc tính vật lý hoặc các mẫu hành vi, các đặc điểm sinh học đặc trưng như dấu vân tay, mẫu mống mắt, giọng nói, khuôn mặt, dáng đi,... để nhận diện con người. 

Hiện nay, công nghệ bảo mật sinh trắc học chưa đưa ra một giải pháp hoàn hảo về mọi mặt, nhưng nó sẽ là một lựa chọn quan trọng cho các doanh nghiệp về vấn đề bảo mật trong tương lai. Khi đó, các doanh nghiệp có thể chuyển sang sử dụng công nghệ sinh trắc học trong việc xác thực người dùng mà không cần phải lo lắng đến từ nguy cơ rò rỉ thông tin nhạy cảm.

Việc ứng dụng sinh trắc học trong xác thực là một lựa chọn để tăng cường mức độ ATTT. Đây là giải pháp giúp cho các doanh nghiệp giảm sự phụ thuộc vào những nhược điểm của mật khẩu truyền thống, khi đa số những mật khẩu đó là do con người lập ra. Sinh trắc học là một đề xuất tốt nhằm đảm bảo tính ATTT, tuy nhiên nó cũng có những hạn chế.

Thứ nhất, sinh trắc học có thể không phải là một bí mật. Ví dụ, xác thực dấu vân tay là phương pháp sinh trắc học phổ biến nhất, nhưng dấu vân tay của mọi người có thể tìm thấy ở khắp mọi nơi.

Thứ hai, dữ liệu sinh trắc học là thông tin cá nhân nhạy cảm và việc kiểm soát các dữ liệu này sẽ có những rủi ro đáng kể.

Sự riêng biệt của dữ liệu sinh trắc sẽ quyết định mục đích sử dụng dữ liệu này. Một máy quét khi lấy được các điểm dữ liệu đặc biệt sẽ lưu trữ trong một khuôn dạng thích hợp với nhà cung cấp. Dữ liệu sinh trắc này được mã hóa và sau này khi có sự thỏa thuận với người dùng sẽ được giải mã và sử dụng hạn chế.

Tuy nhiên, khi thông tin xác thực được tạo ra ngày càng nhiều, như dữ liệu quét mống mắt, dấu vân tay hay phân tích giọng nói đầy đủ... thì có thể gây ra những rủi ro. Nếu những thông tin này được thỏa thuận trước, thì một tập dữ liệu lớn hơn có thể bị rò rỉ và có thể được sử dụng để làm vô hiệu hóa tính năng xác thực của các chương trình xác thực sinh trắc học (dựa trên thuộc tính sinh trắc riêng). 

Một cách để quản lý rủi ro khi sử dụng sinh trắc học là chuyển trách nhiệm sang cho người dùng. Nhiều điện thoại thông minh hiện đại có khả năng nhận dạng vân tay và có thể thiết lập một mối quan hệ tin cậy cho phép các thiết bị xác thực người sử dụng trong các mạng công ty và hệ thống.

Trong môi trường sử dụng thiết bị cá nhân để giải quyết công việc của doanh nghiệp (BYOD), dữ liệu sinh trắc học lưu trữ trên các thiết bị thuộc về người sử dụng và họ phải chịu trách nhiệm về những dữ liệu này. Đây có thể là một cách thức thực tế để khai thác sức mạnh của sinh trắc học mà doanh nghiệp không cần đảm nhận việc lưu trữ vật lý dữ liệu sinh trắc học. Nói một cách khác, cung cấp cho người dùng sở hữu thiết bị xác thực sinh trắc học là một giải pháp thay thế để đảm bảo sự tin cậy trong môi trường BYOD.

Tuy vậy, dù có sử dụng thiết bị nào thì vấn đề then chốt là cách lưu trữ dữ liệu sinh trắc học như thế nào. Khi áp dụng các phương pháp sinh trắc học, như laptop/điện thoại sử dụng nhận dạng vân tay, giả định rằng dữ liệu được lưu trong chính thiết bị, nếu có một cuộc tấn công thành công thì chỉ dữ liệu của người dùng bị tổn hại. Tuy nhiên, nếu dữ liệu được sao lưu hoặc lưu trữ tập trung, thì có khả năng tất cả các thông tin của người dùng cũng sẽ được lưu trữ tập trung. Điều này tạo ra sự khác biệt đáng kể khi đánh giá rủi ro, khi đó cần xem xét kỹ lưỡng việc kiểm soát bảo mật như: các giao thức mã hóa cao cho dữ liệu sinh trắc học, hạn chế truy cập đến kho lưu trữ trung tâm, bổ sung thêm tường lửa hoặc kiểm soát truy nhập tới kho trung tâm và dịch vụ, dọn sạch thường xuyên và xóa những dữ liệu không còn cần thiết.

Tóm lại, sinh trắc học là một nhân tố tăng cường cho ATTT, nhưng cũng có những hạn chế, đặc biệt là việc chọn lựa dữ liệu sinh học nào và cách lưu trữ chúng. Tuy nhiên, những hạn chế này không phải là rào cản đối với việc sử dụng sinh trắc học của các doanh nghiệp, nhưng cần phải có biện pháp bảo vệ phù hợp, bao gồm cả việc biết chính xác dữ liệu gì trong giải pháp sinh trắc học của nhà cung cấp, cũng như cách sử dụng những dữ liệu này. 

Công nghệ sinh trắc học có một vai trò đáng kể trong việc đảm bảo ATTT mạng. Nhưng nếu chỉ sử dụng riêng công nghệ này thì sẽ là không đủ để đảm bảo an toàn, vì thể tốt nhất nên sử dụng trong môi trường bảo mật đa yếu tố - sinh trắc học cung cấp thêm một xác thực để giúp chứng minh danh tính. Với xác thực đa yếu tố, ta có thể tăng mức độ bảo mật và ATTT nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ ATTT sẽ càng cao khi số yếu tố xác thực càng nhiều.