CHƯƠNG 1: TỔNG QUAN VỀ XÁC THỰC VÀ QUYỀN TRUY CẬP HỆ THỐNG 1. Khái niệm và quan trọng của xác thực và quyền truy cập 1. Khái niệm và tầm quan trọng của Authentication (xác thực) Khái niệm Authentication (xác thực) Authentication (xác thực) là một dịch vụ bảo mật quan trọng, với quy trình phổ biến nhất là xác minh tên người dùng và mật khẩu, đó là quá trình xác định "người dùng là ai ?" [1]. Trong bối cảnh an ninh thông tin, Authentication đảm bảo rằng chỉ những người đã được xác minh mới có thể truy cập vào tài liệu, dịch vụ hoặc các phần quan trọng của hệ thống.
Khi quá trình xác thực thành công, người dùng sẽ được cấp quyền truy cập theo các cấp độ hoặc phạm vi đã được quy định trước. Authentication là một phần quan trọng trong bảo mật thông tin và đảm bảo tính riêng tư của người dùng. Nó đóng vai trò chống lại các tấn công giả mạo và bảo vệ khỏi việc truy cập trái phép vào hệ thống hoặc dữ liệu quan trọng. Có ba yếu tố xác thực chính: Điều người dùng biết (yếu tố kiến thức) : Đây là yếu tố xác thực phổ biến nhất.
Nó xác minh danh tính bằng cách xác nhận người dùng thông qua những thông tin bí mật mà chỉ họ biết, chẳng hạn như thông tin đăng nhập và mật khẩu.2 Yếu tố kiến thức trong xác thực Thứ người dùng có (yếu tố sở hữu) : Người dùng xác minh danh tính của họ bằng một vật thể duy nhất như thẻ truy cập hoặc chìa khóa điện tử, điện thoại di động. Việc xác thực này loại bỏ được rủi ro khi người dùng quên mật khẩu. Tuy nhiên, điều đó có nghĩa là người dùng phải mang theo đồ vật đó bất cứ khi nào họ cần để truy cập vào hệ thống. Và những đồ vật này có thể bị mất, đánh cắp hoặc hư hỏng trong quá trình di chuyển.3 Yếu tố sở hữu trong xác thực Đặc điểm cá nhân của người dùng (yếu tố vốn có) : Yếu tố vốn có xác minh danh tính thông qua các đặc điểm sinh trắc học vốn có của người dùng – chẳng hạn như mẫu vân tay, giọng nói hoặc mống mắt.
Ưu điểm của xác thực sinh trắc học là chúng khó bị mất hoặc bị sao chép. Tuy nhiên các phương thức xác thực này có thể tốn kém hơn các yếu tố xác thực truyền thống.4 Yếu tố đặc điểm cá nhân người dùng trong xác thực Tầm quan trọng của Authentication Xác thực là quá trình xác minh danh tính của người dùng hoặc thiết bị. Đây là bước đầu tiên và quan trọng nhất trong việc bảo mật hệ thống và dữ liệu. Xác thực giúp đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào hệ thống và dữ liệu.
Những lý do khiến việc xác thực trở nên quan trọng là: Bảo vệ dữ liệu quan trọng: Authentication đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào thông tin và dữ liệu quan trọng. Điều này giúp ngăn chặn truy cập trái phép từ những người không có quyền truy cập. Đảm bảo độ tin cậy: Xác thực danh tính của người dùng đảm bảo rằng người dùng thật sự là người mà họ tuyên bố là. Điều này giúp xây dựng tính đáng tin cậy và uy tín cho người dùng và tổ chức.
Giữ an toàn cho thông tin cá nhân: Authentication bảo vệ tài khoản cá nhân của người dùng khỏi việc bị truy cập trái phép hoặc đánh cắp thông tin. Từ đó giúp bảo vệ thông tin cá nhân của họ không bị lợi dụng bởi những kẻ lừa đảo. Tuân thủ quy định pháp luật: Trong một số ngành như tài chính và y tế, các quy định pháp luật yêu cầu việc bảo mật và xác thực dữ liệu. Authentication giúp đảm bảo rằng tổ chức tuân thủ các quy định này và tránh các vấn đề pháp lý.
Đảm bảo trải nghiệm người dùng: Authentication cung cấp trải nghiệm an toàn hơn cho người dùng trên các ứng dụng hoặc nền tảng trực tuyến. Nhờ vậy họ có thể tự tin sử dụng và truy cập mà không lo ngại về vấn đề bảo mật. Khái niệm và tầm quan trọng của Authorization (quyền truy cập) Khái niệm Authorization (quyền truy cập) Ủy quyền truy cập là quá trình thiết lập ranh giới cho phép truy cập, tức là mức độ người dùng có thể truy cập được [1]. 6 Ủy quyền truy cập là một phần quan trọng của bảo mật hệ thống vì nó giúp bảo vệ dữ liệu và hệ thống khỏi truy cập trái phép.
Nó cũng có thể giúp tuân thủ các quy định và tiêu chuẩn.5 Authorization (Quyền truy cập) Tầm quan trọng của Authorization Authorization (Ủy quyền) là một khía cạnh quan trọng khác của bảo mật thông tin và hệ thống. Trong ngữ cảnh của bảo mật hệ thống, ủy quyền là quá trình kiểm soát và quản lý quyền lợi của người dùng, ứng dụng, hay dịch vụ đối với các tài nguyên cụ thể trong hệ thống. Dưới đây là một số chi tiết về tầm quan trọng của ủy quyền: Bảo vệ dữ liệu và hệ thống khỏi truy cập trái phép: Chỉ những người dùng được ủy quyền mới có thể truy cập dữ liệu và hệ thống. Điều này giúp ngăn chặn tin tặc và những kẻ xâm nhập khác truy cập thông tin nhạy cảm.
Đảm bảo tính toàn vẹn của dữ liệu: Quyền truy cập có thể giúp ngăn chặn người dùng trái phép sửa đổi hoặc xóa dữ liệu. Điều này giúp đảm bảo tính toàn vẹn của dữ liệu và tính chính xác của các quyết định kinh doanh. Tuân thủ các quy định và tiêu chuẩn: Nhiều quy định và tiêu chuẩn yêu cầu các tổ chức triển khai các biện pháp kiểm soát quyền truy cập để bảo vệ dữ liệu. 7 Giảm nguy cơ vi phạm dữ liệu: Quyền truy cập có thể giúp giảm nguy cơ vi phạm dữ liệu bằng cách hạn chế số lượng người có quyền truy cập vào dữ liệu nhạy cảm.2 Phân loại các phương pháp xác thực 1.1 Xác thực truyền thống (Sử dụng username và password) Xác thực truyền thống yêu cầu người dùng cung cấp một cặp thông tin đăng nhập gồm username và password để truy cập vào hệ thống hoặc tài khoản cá nhân, như trong hình 1.6 Xác thực sử dụng username và password Hoạt động: 1.
Người dùng cung cấp username: Người dùng nhập thông tin tài khoản của mình, thường là một tên đăng nhập duy nhất. Người dùng cung cấp password: Người dùng nhập mật khẩu mà chỉ có họ biết để xác minh danh tính. Hệ thống xác thực: Hệ thống so sánh thông tin đăng nhập được cung cấp với dữ liệu đã lưu trữ. Nếu thông tin khớp, người dùng được cho phép truy cập vào tài khoản hoặc hệ thống.
Ưu điểm: 8 Đơn giản và dễ triển khai: Xác thực truyền thống sử dụng username và password là một phương pháp đơn giản và dễ dùng. Người dùng chỉ cần nhớ thông tin đăng nhập và nhập vào để truy cập vào hệ thống. Phổ biến và rộng rãi: Xác thực truyền thống đã được sử dụng rộng rãi trong nhiều ứng dụng và hệ thống. Đa số người dùng đã quen thuộc và có kiến thức về cách sử dụng username và password.
Linh hoạt và tiện ích: Người dùng có thể tạo và quản lý nhiều tài khoản với các username và password khác nhau cho từng dịch vụ hoặc nền tảng. Điều này mang lại tính linh hoạt và tiện ích cho người dùng khi quản lý thông tin đăng nhập. Nhược điểm: Bảo mật yếu: Xác thực truyền thống sử dụng username và password đơn lẻ, làm cho nó dễ bị tấn công và đánh cắp. Nếu một người khác có thể tìm hiểu hoặc đoán được thông tin đăng nhập, họ có thể tiếp cận và xâm nhập vào tài khoản.
Nguy cơ về mất mật khẩu: Người dùng có thể quên mật khẩu hoặc mất mật khẩu, đặc biệt khi sử dụng nhiều tài khoản khác nhau. Điều này tạo ra sự phiền toái và cần thực hiện quy trình khôi phục mật khẩu. Độc quyền và chia sẻ thông tin: Username và password thường được sử dụng riêng cho mỗi người dùng. Tuy nhiên, người dùng có thể cung cấp thông tin đăng nhập cho người khác, gây ra rủi ro về bảo mật và truy cập trái phép vào tài khoản.
Các hình thức tấn công: Xác thực truyền thống dễ bị tấn công bởi các hình thức như tấn công dò mật khẩu (brute force), tấn công từ điển (dictionary attack) và tấn công phishing. Những hình thức tấn công này có thể thành công nếu người dùng chọn mật khẩu yếu hoặc không cẩn thận trong việc chia sẻ thông tin đăng nhập. Xác thực đa yếu tố (MFA – Multi-Factor Authentication) Xác thực đa yếu tố (MFA) là một phương thức xác thực yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực để được xác minh danh tính. Các yếu tố xác thực này có thể bao gồm: Kiến thức: Mật khẩu, câu hỏi bí mật, mã PIN, … Sở hữu: Thẻ thông minh, điện thoại di động, thiết bị đeo tay, … Đặc điểm cá nhân: Dấu vân tay, khuôn mặt, mống mắt, … Hình 1.7 Xác thực đa yếu tố Hoạt động: 1.
Người dùng nhập thông tin đăng nhập (yếu tố kiến thức) vào hệ thống. Hệ thống yêu cầu người dùng cung cấp thêm một yếu tố xác thực khác. Người dùng cung cấp yếu tố xác thực thứ hai (ví dụ: mã OTP được gửi qua tin nhắn SMS). Hệ thống xác minh cả hai yếu tố xác thực và cấp cho người dùng quyền truy cập.
Ưu điểm: 10 Bảo mật cao hơn: MFA tăng cường bảo mật bằng cách yêu cầu nhiều yếu tố xác thực. Một hacker cần phải chiếm được cả hai hoặc nhiều yếu tố để xâm nhập vào tài khoản, làm cho việc tấn công trở nên khó khăn hơn. Phòng ngừa tấn công đánh cắp thông tin đăng nhập: Với MFA, việc đánh cắp mật khẩu đơn lẻ không đủ để truy cập vào tài khoản. Kẻ tấn công sẽ phải có cả yếu tố sở hữu của người dùng, như thiết bị di động hoặc thẻ thông minh, để thành công.
Tăng cường tính nhất quán: MFA giúp đảm bảo rằng người dùng thực sự là chủ sở hữu của tài khoản bằng cách kết hợp nhiều yếu tố xác thực. Điều này giúp ngăn chặn các hình thức giả mạo và đảm bảo tính nhất quán trong quá trình xác thực. Tùy chỉnh và linh hoạt: MFA cho phép người dùng lựa chọn các yếu tố xác thực phù hợp với nhu cầu và sự thuận tiện của họ. Người dùng có thể chọn sử dụng mật khẩu, mã OTP, dấu vân tay, hoặc các phương pháp xác thực khác tùy theo sự ưa thích và tính tiện lợi.