HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐỖ NGỌC CƯỜNG

NGHIÊN CỨU TÍCH HỢP CÔNG NGHỆ OTP VÀO XÁC THỰC
NGƯỜI DÙNG TẠI HỆ THỐNG THANH TOÁN TRỰC TUYẾN
NGÂN HÀNG

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI - 2018


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐỖ NGỌC CƯỜNG
NGHIÊN CỨU TÍCH HỢP CÔNG NGHỆ OTP VÀO XÁC THỰC
NGƯỜI DÙNG TẠI HỆ THỐNG THANH TOÁN TRỰC TUYẾN
NGÂN HÀNG
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN

MÃ SỐ:

8.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TSKH. HOÀNG ĐĂNG HẢI

HÀ NỘI - 2018


i

LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng
tôi. Các số liệu sử dụng phân tích trong luận án có nguồn gốc rõ ràng, đã công bố
theo đúng quy định. Các kết quả nghiên cứu trong luận án do tôi tự tìm hiểu, phân
tích một cách trung thực, khách quan và phù hợp với thực tiễn. Các kết quả này
chưa từng được công bố trong bất kỳ nghiên cứu nào khác.
Tác giả luận văn

Đỗ Ngọc Cường


ii

LỜI CẢM ƠN
Để hoàn thành được luận văn này, bên cạnh sự nỗ lực cố gắng của bản thân,
em xin gửi lời cảm ơn sâu sắc tới giảng viên hướng dẫn khoa học PGS.TSKH
Hoàng Đăng Hải đã tận tình chỉ bảo và định hướng cho em trong suốt quá trình
nghiên cứu và thực hiện luận văn.
Em xin gửi lời cảm ơn chân thành các thầy cô giảng viên trong khoa Quốc
Tế và Sau Đại Học, khoa Công Nghệ Thông Tin, khoa Cơ Bản của Học Viện Công
Nghệ Bưu Chính Viễn Thông đã tận tình giảng dạy, hướng dẫn em trong suốt quá
trình học tập và nghiên cứu ở Học Viện Bưu chính Viễn Thông.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè và đồng nghiệp đã hỗ
trợ tạo điều kiện thuận lợi cho em trong suốt thời gian học tập và thực hiện hoàn

thiện luận văn.
Em xin chân thành cảm ơn!
Học viên

Đỗ Ngọc Cường


iii

MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................i
LỜI CẢM ƠN ............................................................................................................ ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC HÌNH ...................................................................................................vi
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT ............................................. vii
MỞ ĐẦU .....................................................................................................................1
CHƯƠNG 1: KHÁI QUÁT VỀ CÁC CÔNG NGHỆ XÁC THỰC ĐIỂN HÌNH
HIỆN TẠI ....................................................................................................................4
1.1

Tổng quan về xác thực...................................................................................4

1.1.1

Định nghĩa xác thực ................................................................................4

1.1.2

Vấn đề xác thực người dùng và tầm quan trọng của vấn đề ...................4


1.2

Phân tích, đánh giá các công nghệ xác thực hiện tại .....................................5

1.2.1

Xác thực bằng username/password.........................................................6

1.2.2

Xác thực bằng thẻ Chip EMV.................................................................7

1.2.3

Xác thực bằng sinh trắc học ....................................................................9

1.2.4

Xác thực bằng mật khẩu 1 lần ( OTP ) .................................................11

1.3

Vấn đề xác thực người dùng trong hệ thống ngân hàng trực tuyến ............13

1.3.1

Hệ thống thông tin ................................................................................13

1.3.2


Vấn đề ngân hàng trực tuyến ................................................................14

1.3.3

Xác thực người dùng trong giao dịch ngân hàng trực tuyến ................15

1.4

Kết luận chương 1 .......................................................................................16

CHƯƠNG 2 : NGHIÊN CỨU CÔNG NGHỆ OTP XÁC THỰC NGƯỜI DÙNG
ỨNG DỤNG TRONG DỊCH VỤ THƯƠNG MẠI ĐIỆN TỬ .................................17


iv

2.1

Xác thực người dùng trong dịch vụ thương mại điện tử .............................17

2.1.1

Dịch vụ thương mại điện tử ..................................................................17

2.1.2

Hiện trạng thanh toán khi sử dụng dịch vụ thương mai điện tử ...........18

2.1.3


Sự cần thiết của việc xác thực...............................................................19

2.2

Một số vấn đề cơ bản với OTP trong thương mại điện tử ...........................20

2.3

Các thuật toán được sử dụng trong OTP .....................................................23

2.3.1

Thuật toán sự kiện (OTP Event based) .................................................23

2.3.2

Thuật toán thời gian TOTP ...................................................................28

2.3.3

Thuật toán thách thức -hồi đáp .............................................................32

2.4

Nhận xét đánh giá ........................................................................................34

2.5

Kết luận chương 2 .......................................................................................34


CHƯƠNG 3: TÍCH HỢP CÔNG NGHỆ XÁC THỰC OTP VÀO HỆ THỐNG
THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG .............................................36
3.1

Giới thiệu hệ thống thanh toán trực tuyến tại ngân hàng Liên doanh Việt-

Nga.... .....................................................................................................................36
3.1.1

Các dịch vụ thanh toán trực tuyến ........................................................36

3.1.2

Tích hợp công nghệ OTP tại ngân hàng Liên doanh Việt-Nga ............36

3.1.3

Tích hợp hệ thống với SMS Gateway [9] .............................................39

3.2

Triển khai tích hợp OTP với Entrust ...........................................................40

3.2.1

Cài đặt hệ thống Entrust IdentityGuard ................................................40

3.2.2

Giao diện quản trị hệ thống ..................................................................43


3.2.3

Trình tự thực hiện giao dịch trên Internet Banking với SMS OTP ......45

3.2.4

Trình tự thực hiện giao dịch trên Internet Banking sử dụng Hard Token

OTP…………………………………………………………………………....46


v

3.2.5
3.3

Định dạng bản tin yêu cầu xác thực OTP trên Internet Banking ..........47

Một số vấn đề thực tế và giải pháp ..............................................................54

3.3.1

Vấn đề của hệ thống hiện tại: ...............................................................54

3.3.2

Đề xuất hệ thống Soft-Token OTP .......................................................55

3.4


Xây dựng hệ thống xác thực Soft Token OTP ............................................57

3.5

Kết quả thử nghiệm .....................................................................................61

3.5.1

Khối Soft Token OTP ...........................................................................61

3.5.2

Khối thanh toán .....................................................................................62

3.5.3

Khối Server xác thực ............................................................................63

3.5.4

Kết quả xác thực sử dụng Soft Token OTP ..........................................64

3.5.5

Chức năng đồng bộ thời gian ................................................................65

3.5.6

Một số xử lý ngoại lệ: ...........................................................................66


CHƯƠNG 4: KẾT LUẬN ........................................................................................69
4.1

Những kết quả đã đạt được trong luận văn..................................................69

4.2

Hướng nghiên cứu tiếp theo .......................................................................70

DANH MỤC TÀI LIỆU THAM KHẢO ..................................................................71


vi

DANH MỤC HÌNH
Hình 1.1: Xác thực bằng username/password ............................................................. 6
Hình 1.2: Thẻ Chip EMV ............................................................................................ 8
Hình 1.3: Cơ chế hoạt động thẻ Chip EMV ................................................................ 8
Hình 1.4: Xác thực theo sinh trắc học ....................................................................... 10
Hình 1.5: Xác thực mật khẩu 1 lần ( One-time Password) ....................................... 12
Hình 2.1: Quy trình thực hiện giao dịch thương mại điện tử .................................... 17
Hình 2.2: Sử dụng thông tin Thẻ để thanh toán trực tuyến ....................................... 19
Hình 2.3: Cơ chế sinh mã OTP dựa trên sự kiện ...................................................... 20
Hình 2.4: Mô hình sinh mã OTP dựa trên thời gian ................................................. 21
Hình 2.5: Điều kiện của một xác thực thành công giữa Client-Server ..................... 34
Hình 3.1: Mô hình tích hợp hệ thống Entrust IdentityGuard System ....................... 37
Hình 3.2: Mô hình tích hợp Bank System với SMS Gateway .................................. 39
Hình 3.3: Giao diện quản trị hệ thống Entrust IdentityGuard................................... 43
Hình 3.4: Giao diện hệ thống quản trị thông tin người dùng E-commerce .............. 44

Hình 3.5: Sơ đồ trình tự thực hiện giao dịch E-commerce ....................................... 50
Hình 3.6: Mô hình tổng quản hệ thống xác thực khi tích hợp Soft OTP .................. 56
Hình 3.7: Sơ đồ xác thực 2 yếu tố ............................................................................. 57
Hình 3.8: Sơ đồ trình tự chức năng đăng ký ............................................................. 59
Hình 3.9: Sơ đồ trình tự chức năng nhận mã OTP.................................................... 59
Hình 3.10: Sơ đồ trình tự xác thực OTP trong hệ thống Soft token OTP ................. 60


vii

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

OTP

One Time Password

Mật khẩu một lần

E-Commerce

Electronic commerce

Thương mại điện tử

Internet Banking


Dịch vụ ngân hàng điện tử

IB
HOTP
TOTP
OCRA
Sync time /

HMAC Based One Time
Password
Time Based OTP
OATH Challenge-Response
Algorithm

OTP dựa trên sự kiện
OTP dựa trên thời gian
Thuật toán thách thức hồi đáp

Synchronous time / event

Đồng bộ thời gian / sự kiện

SMPP

Short Message Peer to Peer

Đồng đẳng tin nhắn ngắn

SMS


Short Message Service

Dịch vụ tin nhắn ngắn

RFC

Request for Comments

Duyệt thảo và bình luận

event

API
XML
ISO

Application Programming
Interface
eXtensible Markup Language
International Organisation for
Standardisation

Giao diện lập trình ứng dụng
Ngôn ngữ dánh dấu mở rộng
Tổ chức tiêu chuẩn hóa quốc tế

DES

Data Encryption Standard


Tiêu chuẩn Mã hóa Dữ liệu

VPN

Virtual Private Network

Mạng riêng ảo

Personal Computer

Máy tính cá nhân

PC


1

MỞ ĐẦU
1. Tính cấp thiết của đề tài:
Trong gần 5 thập kỷ hình thành, phát triển và bùng nổ, mạng Internet cung
cấp một khối lượng thông tin và dịch vụ khổng lồ. Internet mang lại rất nhiều tiện
ích hữu dụng cho người sử dụng, ví dụ như hệ thống thư điện tử, trò chuyện trực
tuyến, công cụ tìm kiếm , các dịch vụ thương mại và chuyển khoản ngân hàng…
Trong số đó thương mại điện tử hay còn gọi là E-commerce chú trọng đến
việc mua bán trực tuyến sử dụng Internet và các công nghệ trực tuyến tạo ra quá
trình hoạt động kinh doanh, tăng tính nhanh chóng và tiện ích cho người sử dụng.
Tuy nhiên, kèm sự phát triển của Thương mại điện tử là vấn đề tội phạm tin
học đã và đang diễn ra. Các kiểu tấn công điển hình:
- Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến

thức hệ thống thực hiện.
- Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy
cảm.
- Tấn công làm từ chối phục vụ (Denial-of-service (DoS) attack) là sử dụng
phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải,
không thể phục vụ được.
- Tấn công từ chối dịch vụ phân tán (Distributed denial of service (DDoS)
attack) là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền
truy cập bất hợp pháp vào vào nhiều máy trên mạng để gửi số liệu giả đến
mục tiêu.
- Virus là đoạn mã chương trình chèn vào máy chủ sau đó lây lan. Virus
không chạy độc lập.
- Sâu (Worm) là một chương trình chạy độc lập. Sử dụng tài nguyên của
máy chủ để lan truyền thông tin đi các máy khác.
Một trong số những mục đích của việc tấn công đó là gian lận trên mạng
nhằm chiếm đoạt tài sản hoặc thu nhập bất chính. Ví dụ sử dụng thông tin trên thẻ
Visa của nạn nhân để thực hiện mua bán trên mạng. Các cuộc tấn công tin tặc trên


2

mạng Internet ngày càng gia tăng với những phương thức đa dạng tinh vi chủ yếu
tập trung vào đối tượng ít am hiểu về công nghệ thông tin.
Một vấn đề nổi cộm trong giao dịch thương mai điện tử là tin tặc có thể giả
danh người dùng hợp pháp để xâm nhập bất hợp pháp vào phiên giao dịch. Việc xác
thực người dùng hợp pháp là hết sức cần thiết. Trong số các phương pháp xác thực
điển hình hiện nay, phương pháp sử dụng mật khẩu một lần (OTP- One Time
Password) có nhiều ưu điểm. OTP đã có nhiều nghiên cứu và ứng dụng thực tiễn,
tuy nhiên triển khai thực tiễn OTP vẫn còn nội dụng đồng bộ thời gian, sự kiện.
Trong thực tiễn, có nhiều mô hình thanh toán trực tuyến và có nhiều mô hình

xác thực OTP đã được tích hợp. Tương ứng với mỗi sự lựa chọn mô hình tích hợp là
những vấn đề xác thực người dùng phù hợp trong phiên giao dịch và cơ chế sinh và
xác thực mã OTP, cơ chế đồng bộ thời gian hay sự kiện trong hệ thống xác thực
OTP.
Qua quá trình công tác tại Ngân hàng và triển khai hệ thống hỗ trợ thanh toán
điện tử, học viên đã nhận thấy một số vấn đề phát sinh trong thực tế khi triển khai
OTP. Trên cơ sở đó, học viên đã nghiên cứu vấn đề xác thực người dùng trong
thương mại điện tử, cơ chế xác thực với OTP và đưa ra giải pháp Soft-Token nhằm
khắc phục một số hạn chế hiện có với OTP. Trong khuôn khổ luận văn, học viên đã
đề xuất hệ thống xác thực với Soft-Token, xây dựng chương trình phần mềm thử
nghiệm cho một thanh toán trực tuyến ngân hàng với Soft-Token. Kết quả thử
nghiệm cho thấy hệ thống hoạt động tốt, đã minh chứng tính khả thi của hệ thống đã
đề xuất.
2. Mục đích nghiên cứu:
Nghiên cứu giải pháp tích hợp công nghệ OTP vào xác thực người dùng tại
hệ thống thanh toán trực tuyến ngân hàng.
3. Nội dung nghiên cứu:
Các nội dung chính của bài luận văn này gồm:
-

Nghiên cứu khái quát về vấn đề xác thực người dùng trong hệ thống ngân
hàng trực tuyến, thương mại điện tử.


3

-

Nghiên cứu, phân tích một số vấn đề kỹ thuật trong việc tạo, xác thực với
OTP (Cơ chế tạo, cơ chế đồng bộ, cơ chế xác thực), các mô hình OTP (sinh

mã theo thời gian, sinh mã theo sự kiện).

-

Nghiên cứu giải pháp tích hợp OTP vào xác thực người dùng tại hệ thống
thanh toán trực tuyến ngân hàng với hệ thống xác thực OTP Entrust
IdentityGuard.

-

Phân tích một số vấn đề hạn chế của hệ thống, đề xuất hệ thống xác thực
Soft-Token OTP bổ sung cho mô hình hiện tại, xây dựng và triển khai thử
nghiệm một chương trình phần mềm Soft-Token OTP cho hệ thống tại ngân
hàng nơi học viên đang công tác. Thử nghiệm, đánh giá hệ thống.

4. Đối tượng và phạm vi nghiên cứu:
Luận văn tập trung vào nghiên cứu phương pháp xác thực người dùng, cụ thể
là OTP trong việc sử dụng dịch vụ thương mại điện tử hiện nay.
Phạm vi nghiên cứu tập trung vào công nghệ OTP với các vấn đề về: Thuật
toán Thời gian-Sự kiện:

Time and event based one time password; Đồng bộ Thời

gian-Sự kiện (DES/3DES): Synchronous Time + Event (DES/3DES) …
5. Phương pháp nghiên cứu:
Thu thập, phân tích các tài liệu và những thông tin liên quan đến đề tài.
Tìm hiểu các giao dịch, mô hình thanh toán trong thương mại điện tử của
một số Website.
Thu thập các thông tin về xác thực người dùng trong các giao dịch thương
mại điện tử đã có.

Kết hợp các nghiên cứu đã có trước đây của các tác giả trong và ngoài nước
cùng với sự hướng dẫn của thầy để hoàn thành nội dung nghiên cứu.


4

CHƯƠNG 1: KHÁI QUÁT VỀ CÁC CÔNG NGHỆ XÁC
THỰC ĐIỂN HÌNH HIỆN TẠI
1.1

Tổng quan về xác thực

1.1.1 Định nghĩa xác thực
Theo wikipedia định nghĩa: Xác thực (tiếng Anh: authentication, tiếng Hy
Lạp: αυθεντικός = thật hoặc chính cống, bắt nguồn từ 'authentes' = tác giả/người tạo
ra) là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người
nào đó) đáng tin cậy, có nghĩa là những lời khai báo do người đó đưa ra hoặc về vật
đó là sự thật. Xác thực một đối tượng còn có nghĩa là công nhận nguồn
gốc (provenance) của đối tượng, trong khi xác thực một người thường bao gồm việc
thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc
nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể. [13]
Trong giao dịch thương mại điện tử, việc "xác thực" là một quy trình xác
minh để đảm bảo rằng người dùng hiện đang thi hành những chức năng trong một
hệ thống thanh toán là chính họ.

1.1.2 Vấn đề xác thực người dùng và tầm quan trọng của vấn đề
Ngày nay, các nhà quản trị mạng hay quản trị hệ thống phải điều khiển việc
truy cập cũng như giám sát thông tin người dùng đầu cuối đang thao tác. AAA là
cách thức tốt nhất để giám sát những gì mà người dùng đầu cuối có thể làm trên
mạng. Dịch vụ AAA có trên router, switch, firewall, các thiết bị VPN, server…[3]

Các dịch vụ AAA được chia thành ba phần:
 Xác thực (Authentication): Xác thực dùng để nhận dạng (identify) người
dùng. Trong suốt quá trình xác thực, username và password của người dùng được
kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Server. [3]
 Thẩm quyền (Authorization): Authorization cho phép nhà quản trị điều
khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm,


5

từng người dùng cụ thể hay trên từng giao thức. [3]
 Tính cước (Accounting): Accounting cho phép nhà quản trị có thể thu thập
thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ
thống, 3 các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và
sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Như vậy, xác thực
nằm ở vị trí đầu tiên trong cách thức để giám sát những gì mà người dùng đầu cuối
có thể làm trên mạng. [3]
Xác thực người dùng đóng vai trò quan trọng trong việc an toàn và bảo mật
thông tin của người dùng trong thời kỳ phát triển công nghệ số hiện đại. Nếu không
có hệ thống xác thực người dùng thì làm sao có thể giữ an toàn được những thông
tin bí mật hoặc làm sao quản lý được các bí mật trong kinh doanh, thương mại và tài
khoản ở ngân hàng hoặc những nguồn tài nguyên được chia sẻ ở trên mạng từ một
máy chủ?

1.2

Phân tích, đánh giá các công nghệ xác thực hiện tại

Hiện nay, trên thế giới đã có nhiều công nghệ xác thực như:
-


Xác thực bằng user/password

-

Xác thực bằng thẻ Chíp EMV

-

Xác thực bằng sinh trắc học

-

Xác thực bằng mật khẩu sử dụng một lần (One Time Password)

Các công nghệ xác thực nêu trên đều có ưu nhược điểm riêng khi đưa vào
mô hình thương mại điện tử. Thực hiện khảo sát trên mạng Internet với từ khóa
“Phương thức xác thực thanh toán” có thể thấy công nghệ xác thực đang được các
ngân hàng tại Việt Nam đang sử dụng là công nghệ xác thực bằng mật khẩu sử dụng
một lần (OTP).
Công nghệ OTP hiện tại cung cấp các giải pháp như:
 OTP SMS:

Mã xác thực được gửi bằng tin nhắn tới số điện thoại

của người dùng.
 OTP Token: Mã xác thực được tích hợp trong thiết bị Token.


6


1.2.1 Xác thực bằng username/password
 Mô tả:
Nhằm kiểm soát quyền truy cập ở mức hệ thống. Mỗi người sử dụng muốn
vào được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu. Người
quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác
định quyền truy nhập của người sử dụng khác tuỳ theo không gian và thời gian.

Hình 1.1: Xác thực bằng username/password

 Cơ chế xác thực bằng Username/password:
Khi người dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải
đăng nhập bằng cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối
chiếu tên truy nhập của người dùng đưa vào với cơ sở dữ liệu tên người dùng, nếu
tồn tại tên người dùng như vậy thì hệ thống tiếp tục đối chiếu mật khẩu được đưa
vào tương ứng với tên truy nhập trong cơ sở dữ liệu. Qua hai lần đối chiếu nếu thỏa
mãn thì người đăng nhập là người dùng hợp lệ của hệ thống.
 Ưu điểm:
-

Thiết kế và sử dụng đơn giản, tốn ít tài nguyên.

-

Người dùng dễ hiểu và dễ sử dụng.

-

Chi phí để thực hiện giải pháp này rẻ so với các giải pháp khác. Không phụ
thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm.



7

-

Giải pháp này có khả năng làm việc trên mọi hệ điều hành. Do đó, việc thực
hiện giải pháp này khá dễ dàng và không tốn kém.

-

Đơn giản, dễ sử dụng.

-

Không cần thêm bất cứ một phần mềm hoặc phần cứng nào.

 Nhược điểm:
-

Dễ bị giả mạo: chỉ cần biết được mật khẩu của ai đó, hacker hoàn toàn có thể
mạo danh người đó để thực hiện các giao dịch trên mạng hoặc đăng nhập vào
hệ thống để tiến hành phá hoại hay đánh cắp thông tin.

-

Dễ bị đánh cắp: một mật khẩu thông thường là được dùng nhiều lần, do vậy
chỉ cần những phần mềm đơn giản (có thể tải được một cách dễ dàng từ
Internet), một hacker có thể chặn bắt được các gói tin trên mạng và lấy cắp
được mật khẩu người sử dụng.


-

Quản lý khó khăn: với nhiều hệ thống, người sử dụng phải sử dụng nhiều
mật khẩu, do vậy, vấn đề quản lý mật khẩu trở nên phức tạp.

-

Chi phí cao: trong một mạng doanh nghiệp lớn, sẽ có rất nhiều yêu cầu tới bộ
phận hỗ trợ kỹ thuật về các vấn đề liên quan đến mật khẩu và hầu hết trong
số đó sẽ là do người sử dụng quên mật khẩu, mật khẩu bị hết hạn sử dụng...

 Kết luận:
Với tất cả những nhược điểm nêu trên, có thể thấy rằng giải pháp xác thực
bằng mật khẩu không thể đảm bảo được an toàn và độ tin cậy nhất là trong những
lĩnh vực nhạy cảm như ngành ngân hàng, tài chính, bưu điện, dịch vụ y tế,... nơi mà
những thông tin cần phải được giữ bí mật tuyệt đối.

1.2.2 Xác thực bằng thẻ Chip EMV
 Thẻ thông minh:
Thẻ thông minh (Smart card) là một thiết bị an toàn, tuy nhiên vẫn có thể bị
hư hỏng. Có rất ít cuộc tấn công vào thẻ thông minh và chi phí để thực hiện các
cuộc tấn công này rất cao. Mặc dù vậy, chi phí đầu tư cho thẻ thông minh cũng rất
lớn và vẫn còn nguy cơ rủi ro.


8

 Cấu tạo của thẻ thông minh:
Về cơ bản, thẻ thông minh bao gồm 3 bộ phận: Thẻ nhựa là bộ phận quan

trọng nhất có kích thước 85,6 x 53,98x 0,8mm. Một mạch in và một con chip vi
mạch được gắn vào trên thẻ. Tính năng của thẻ thông minh phụ thuộc vào loại con
chip vi mạch gắn trên thẻ. Con chip vi mạch này thường bao gồm một bộ vi xử lý,
một bộ nhớ ROM, một bộ nhớ RAM và một bộ nhớ EEPROM.

Hình 1.2: Thẻ Chip EMV

 Cơ chế hoạt động:
Người sử dụng đưa thẻ vào đầu đọc theo đúng chiều quy định. Sau đó nhập
mã số PIN để xác nhận quyền sử dụng thẻ. Số PIN không nằm trên thẻ mà được mã
hoá trong một cơ sở dữ liệu. Thông tin Chip sẽ được đưa vào bản tin và chuyển về
hệ thống phát hành để xác thực.

Hình 1.3: Cơ chế hoạt động thẻ Chip EMV


9

 Kỹ thuật tấn công thẻ thông minh:
Cách thứ nhất: Do tất cả các thông tin quan trọng của thẻ thông minh được
lưu giữ trong bộ nhớ EEPROM, trong khi đó bộ nhớ này có thể bị ảnh hưởng do
những thay đổi về điện áp hoặc nhiệt độ nên những thông tin quan trọng có thể bị
đánh cắp bằng việc tăng hoặc giảm điện áp ở bộ phận vi điều khiển.
Cách thứ hai: Tội phạm tách rời con chip vi mạch ra khỏi tấm thẻ nhựa và
tấn công trực tiếp vào con chip.
 Kết luận:
Thẻ thông minh dùng để xác nhận khách hàng là một trong những cách an
ninh nhất, có thể dùng trong những ứng dụng như giao dịch ngân hàng qua internet,
nhưng mức độ an ninh không thể đảm bảo tuyệt đối. Có rất nhiều ngân hàng sử
dụng thẻ thông minh để thực hiện các giao dịch. Tuy nhiên, muốn đảm bảo an toàn

phải dùng chung một thẻ thông minh với một máy đọc thẻ không nối mạng nhằm
giải quyết những vấn đề xấu xảy ra. Khách hàng nhập một thông tin đánh giá từ
trang web của ngân hàng, PIN của họ, và tổng số tiền giao dịch vào một máy đọc
thẻ, máy đọc thẻ sẽ trả lại một chữ ký 8 chữ số. Chữ ký này sẽ được khách hàng
nhập bằng tay vào PC và được kiểm chứng bởi ngân hàng. Thẻ thông minh là một
thiết bị an toàn, tuy nhiên vẫn có thể bị hư hỏng. Vẫn có những cuộc tấn công vào
thẻ thông minh, trong trường hợp giao dịch ngân hàng qua internet, nếu PC bị
nhiễm bởi các phần mềm xấu (Ví dụ như Trojan. Silentbanker), mô hình an ninh sẽ
bị phá vỡ. Phần mềm xấu có thể viết đè lên thông tin (cả thông tin đầu vào từ bàn
phím và thông tin đầu ra màn hình) giữa khách hàng và ngân hàng. Nó có thể sẽ sửa
đổi giao dịch mà khách hàng không biết.

1.2.3 Xác thực bằng sinh trắc học
 Tổng quan về xác thực theo sinh trắc học:
Xác thực dựa theo sinh trắc học là phương thức sử dụng công nghệ như nhận
dạng vân tay, võng mạc, khuôn mặt, giọng nói, loại máu, những chi tiết sinh học
nhỏ trên cở thể người dùng…[14]


10

Hình 1.4: Xác thực theo sinh trắc học

 Các thành phần trong hệ thống xác thực sinh trắc học:
Một hệ thống sinh trắc cơ bản là một hệ thống nhận dạng mẫu để nhận ra
một người bằng cách quyết định tính xác thực của một đặc tính sinh học hay hành vi
thuộc về người đó. Trong thiết kế một hệ thống sinh trắc, một vấn đề quan trọng đặt
ra là xác định cách một người được nhận dạng. Một hệ thống sinh trắc có thể là một
hệ thống kiểm tra hay một hệ thống nhận dạng.
 So sánh các đặc trưng sinh trắc

Một đặc tính sinh học hoặc hành vi của con người có thể được sử dụng như
là một đặc trưng sinh trắc trong nhận dạng một người nếu nó có các yêu cầu sau:
- Tính phổ biến.
- Tính phân biệt.
- Tính ổn định.
- Tính thu thập.
- Hiệu năng.
- Tính chấp nhận.
- Khả năng phá hoại.
 Kết luận:
Công nghệ sinh trắc học (Biometric) là công nghệ sử dụng những thuộc tính
vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, mống mắt, khuôn
mặt... để nhận diện. Đây được coi là công cụ xác thực người dùng hữu hiệu nhất.
Những thiết bị điện tử có khả năng sử dụng dữ liệu sinh trắc học trong thời gian


11

thực để bảo vệ thông tin bí mật của con người.
Tại Việt Nam, công nghệ xác thực bằng sinh trắc học gặp nhiều khó khăn khi
ứng dụng trong vào giao dịch thương mại điện tử do hiện tại cơ sở hạ tầng chưa đủ
điều kiện đáp ứng.

1.2.4 Xác thực bằng mật khẩu 1 lần ( OTP )
Một mật khẩu một lần (OTP) là một mật khẩu hợp lệ chỉ cho một phiên đăng
nhập hoặc giao dịch, trên một hệ thống máy tính hoặc thiết bị kỹ thuật số khác [15].
Xác thực OTP khắc phục được thiếu sót liên quan đến chứng thực truyền thống dựa
trên mật khẩu tĩnh. Hiện nay, mã OTP được tích hợp phổ biến trên thiết bị Hard
Token OTP hay SMS OTP.
So với mật khẩu tĩnh việc tấn công hệ thống xác thực OTP diễn ra khó khăn

hơn rất nhiều lần. Do mật khẩu OTP chỉ có giá trị trong thời gian ngắn và được thay
đổi liên tục nên sẽ chặn được hành vi lợi dụng một OTP tại một thời điểm trước
hoặc một OTP đã được sử dụng để tiếp tục thực hiện đăng nhập vào một dịch vụ
hay thực hiện tiếp một giao dịch khác. Một điểm mạnh khác của xác thức OTP với
xác thực mật khẩu tĩnh là thông thường để dễ ghi nhớ người sử dụng thường đặt
một mật khẩu khi sử dụng cùng lúc nhiều user điều này làm tăng nguy cơ bị kẻ tấn
công cùng lúc chiếm đoạt và lợi dụng thông tin.
Một hệ thống OTP đảm bảo một phiên không thể dễ dàng bị chặn hoặc bị giả
mạo. Không thể đoán trước được thông tin tiếp theo được tạo ra dựa theo thông tin
có trong các phiên giao dịch trước, điều này làm giảm bề mặt tấn công hơn.
Hệ thống xác thực OTP là một sự thay thế và hoạt động một cách tự động
dựa trên công nghệ.


12

Hình 1.5: Xác thực mật khẩu 1 lần ( One-time Password)

 OTP có những ưu và nhược điểm sau [2]:
 Ưu điểm:
-

An toàn: Giải quyết tốt các vấn đề giả mạo, đánh cắp, Key logger. Mã OTP có
thể được kết hợp với mã PIN hoặc mật khẩu để trở thành xác thực hai yếu tố.

-

Dễ dàng sử dụng: Việc nhận dạng và xác thực được thực hiện trong vài giây,
giảm thiểu lỗi khi gõ mã OTP trong quá trình thực. Nó hoạt động với tài
nguyên và đăng nhập được trên tất cả các nền tảng máy tính, và trình duyệt

không cần phần mềm cài đặt Client. Nhanh chóng và tích hợp dễ dàng vào
bất kỳ ứng dụng web nào (Windows, Linux,, Internet Explorer, Firefox,...).

-

Linh hoạt: Người dùng dễ dàng sử dụng cho các máy tính khác nhau và dễ
mang theo bên mình.

-

Mã nguồn mở: Sẵn sàng tích hợp với nhiều ứng dụng mã nguồn mở.
 Nhược điểm:

-

OTP sẽ mất an toàn khi chủ tài khoản bị mất thiết bị sinh OTP (Hard Token


13

OTP) hay kẻ cắp có thể xâm nhập vào hệ thống gửi/nhận tin nhắn SMS để
biết được OTP mỗi khi khách hàng thực hiện giao dịch.
-

Ngoài ra, nếu như hệ thống mạng viễn thông bị chậm,quá tải... hay vì lý do
gì đó mà tin nhắn SMS gửi OTP đến chậm quá thời gian hiệu lực của mã
OTP thì giao dịch dựa vào OTPSMS này sẽ thực hiện không thành công.

 Kết luận:
Hiện nay, cơ sở hạ tầng tại Việt Nam đã đủ điều kiện đáp ứng cho việc ứng

dụng công nghệ xác thực bằng mật khẩu 1 lần (OTP) trong giao dịch thương mại
điện tử. Có thể áp dụng các chính sách, giải pháp để khắc phục những nhược điểm
đã nêu. Do vậy, việc triển khai ứng dụng công nghệ xác thực bằng mật khẩu 1 lần (
OTP ) trong giao dịch thương mại điển tử tại thị trường Việt Nam cho thấy sự hiệu
quả, an toàn và tiện lợi.

Vấn đề xác thực người dùng trong hệ thống ngân hàng trực tuyến

1.3

1.3.1 Hệ thống thông tin
 Khái niệm hệ thống thông tin:
Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau
cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và
cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu
nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh
tranh. Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
 Thành phần hệ thống tin
Hệ thống thông tin thông thường được cấu thành bởi:
-

Phần cứng: Gồm các thiết bị/phương tiện kỹ thuật dùng để xử lý/lưu trữ
thông tin. Trong đó chủ yếu là máy tính, các thiết bị ngoại vi dùng để lưu trữ
và nhập vào/xuất ra dữ liệu, các thiết bị chuyển tiếp dữ liệu trên mạng.


14


-

Phần mềm: Gồm các chương trình máy tính, các phần mềm hệ thống, các
phần mềm chuyên dụng, thủ tục dành cho người sử dụng.

-

Dữ liệu: Gồm các thông tin được lưu trữ và được sử dụng vào những mục
đích cụ thể.

 Các vấn đề liên quan đến hoạt động của hệ thống thông tin
Các vấn đề điển hình liên quan đến hoạt động của hệ thống thông tin gồm:
-

Tích hợp hệ thống (system integrator).

-

Quản trị cơ sở dữ liệu hệ thống.

-

Phân tích hệ thống thông tin (system analysis).

-

Quản trị hệ thống thông tin trong tổ chức.

-


Khai thác, vận hành, bảo trì, khôi phục hệ thống thông tin.

-

Lập trình quản lý cơ sở dữ liệu.

-

Các giao dịch tương tác (ví dụ thương mại điện tử).

-

Quản lý cơ sở dữ liệu, hỗ trợ ra quyết định cho lãnh đạo, quản lý.

 Vai trò của hệ thống thông tin
Ứng dụng của hệ thống thông tin cho công tác xã hội và hoạt động kinh
doanh bao gồm:
-

Giáo dục điện tử (elearning)

-

Thương mại điện tử (e-commerce)

-

Chính phủ điện tử (e-government)


-

Các hệ thống thông tin địa lý (GIS)...

Ngoài ra, hệ thống thông tin còn xuất hiện trong nhiều lĩnh vực khác.

1.3.2 Vấn đề ngân hàng trực tuyến
 Giá trị lợi ích của ngân hàng trực tuyến
-

Dịch vụ ngân hàng trực tuyến giúp cho khách hàng chủ động quản lý thông
tin các tài khoản (bao gồm tài khoản thẻ, tài khoản thanh toán, tài khoản tiền
gửi tiết kiệm….)


15

-

Thực hiện các giao dịch ngân hàng trực tuyến nhanh chóng, thuận tiện, mọi
lúc, mọi nơi nhằm tiết kiệm chi phí, thời gian đi lại cho khách hàng.

-

Phương thức truy cập đa dạng, tiện lợi trên nhiều thiết bị giúp khách hàng dễ
dàng sử dụng.
Mặc dù có những lợi ích nêu trên, tâm lý khách hàng vẫn còn e ngại khi sử

dụng các dịch vụ ngân hàng trực tuyến. Nguyên nhân của việc này do họ lo ngại khi
hệ thống thanh toán của ngân hàng không thực sự bảo đảm, máy tính cá nhân của

người dùng bị nhiễm virus, hay bị cài những phần mềm gián điệp thì thông tin sẽ bị
ăn cắp và tiền trong tài khoản có thể sẽ bị kẻ xấu đặt lệnh chuyển sang các tài khoản
khác, v.v.
Do dó, vấn đề hàng đầu được đưa ra cho một hệ thống thông tin nói chung
cũng như hệ thống ngân hàng trực tuyến nói riêng là đảm bảo an toàn bảo mật thông
tin giao dịch của khách hàng khi sử dụng dịch vụ.

1.3.3 Xác thực người dùng trong giao dịch ngân hàng trực tuyến
Theo thông tư 35/2016/TT-NHNN điều 3 khoản 2 quy định về an toàn, bảo
mật cho việc cung cấp dịch vụ ngân hàng trên internet : Đảm bảo bí mật thông tin
khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch tài chính
của khách hàng phải được xác thực tối thiểu 2 yếu tố.
Cụ thể quy định xác thực 2 yếu tố được đề cập tại điều 9 “Xác thực khách
hàng truy cập dịch vụ Internet Banking” và điều 10 “Yêu cầu đối với các giải pháp
xác thực giao dịch”
Hiện nay, các giải pháp xác thực giao dịch đã được một số các ngân hàng
trong nước triển khai áp dụng, điển hình như:
-

OTP.

-

Chữ ký số.

-

Sinh trắc học.

Hầu hết các ngân hàng đều áp dụng hệ thống bảo mật ba lớp với các giao

dịch trực tuyến, bao gồm: tên đăng nhập, tổ hợp mã khoá mật khẩu 128 bit (do


16

khách hàng lựa chọn) và mã số bảo mật "one time password - OTP", thay đổi từng
thời điểm, thông qua một thiết bị bảo mật đặc biệt do ngân hàng cấp (Token).

1.4

Kết luận chương 1
Chương một của luận văn đã tổng quan về xác thực và tầm quan trọng của

việc xác thực. Nội dung chương đã giới thiệu, phân tích và đánh giá ưu nhược điểm
các công nghệ xác thực điển hình đang dùng hiện tại bao gồm:
-

Xác thực bằng user/password

-

Xác thực bằng thẻ Chíp EMV

-

Xác thực bằng sinh trắc học

-

Xác thực mật khẩu sử dụng một lần (One Time Password - OTP)


Trong số công nghệ xác thực đã đề cập, xác thực mật khẩu khẩu sử dụng một
lần (OTP) phù hợp và thích hợp khi đưa vào thị trường thương mại điện tử tại Việt
Nam. Trong các chương tiếp theo, luận văn tiếp tực tìm hiểu sâu về công nghệ xác
thực mật khẩu một lần OTP, trình bày một số vấn đề hạn chế và đề xuất giải pháp
áp dụng triển khai tích hợp vào hệ thống thanh toán và hệ thống thương mại điện tử
của ngân hàng nơi học viên đang công tác.