Giải pháp xác thực mạnh 2 yếu tố cho dịch vụ tài chính
trực tuyến Internet Banking, chứng khoáng
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ
---------***----------
GIẢI PHÁP XÁC THỰC MẠNH 2 YẾU TỐ
CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN
INTERNET BANKING, CHỨNG KHOÁN
Khách hàng: Công ty Chứng khoán Phương Đông
Đơn vị lập phương án Công ty MISOFT
Mã dự án:
Tiêu đề: Giải pháp Xác thực mạnh 2 yếu tố
Nội dung:
Phiên bản:
Loại tài liệu: Cung cấp cho khách hàng
Ngày hoàn thành 12 năm 2007
Người thực hiện Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh
Hà Nội : 12-2007
1
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet

MỤC LỤC
I. ĐẶT VẤN ĐỀ..............................................................................................................................3
I.1 Xác thực danh tính trực tuyến................................................................................................3
I.2 Lựa chọn phương pháp xác thực phù hợp..............................................................................4
I.3 Xác thực 2 yếu tố....................................................................................................................5
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ.....................................7
II.1 Xác thực mạnh kết hợp nhiều phương pháp.........................................................................7
II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming............................................................10
II.3 Khả năng tích hợp của Entrust IdentityGuard....................................................................10
II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán........................13
II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực .....................................14
II.4 Các thành phần chính trong IdentityGuard Server..............................................................17
II.5 Lập kế hoach triển khai Entrust IdentityGuard...................................................................19
II.5.1 Các công việc cần xem xét và thực thi.....................................................................19
II.5.2 Tiến độ thực hiện.....................................................................................................20
III. DỰ TOÁN KINH PHÍ...........................................................................................................20
IV. KẾT LUẬN.............................................................................................................................22
....................................................................................................................................................22
2
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
I. ĐẶT VẤN ĐỀ
I.1 Xác thực danh tính trực tuyến
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân
hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của
mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích mà các dịch
vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất
và với chi phí hợp lý nhất mà vẫn bảo vệ được thông tin đăng kí của khách hàng khi họ tham gia
vào các dịch vụ trực tuyến. Đây được coi là quyền lợi chính đáng của khách hàng và cũng là
trách nhiệm không thể coi nhẹ của nhà cung cấp dịch vụ tài chính.
Một trong những

thông tin quan trọng nhất
của khách hàng để họ có
thể truy cập dịch vụ và
giao dịch tài chính là
Danh tính trực tuyến
(Online Identity). Thông
tin này được sử dụng để
chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có
thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.
Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của
Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể
ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy
cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên
đăng nhập/Mật khẩu, Số tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công
khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ
đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính
và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là
3
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực
tuyến.
Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán có các dịch vụ trực
tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác
thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không
còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu.
Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu
các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt
động tài chính ép buộc phải thực thi.
Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong
giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số

sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu
tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối
tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa
trên 3 yếu tố cơ bản sau:
1. Something a person knows: Thường được sử dụng là số PIN, mật khẩu
2. Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token…
3. Something a person is: Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt
Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố
để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi là Xác thực mạnh. Chi phí
của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống.
Mặc dù vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ mà
còn phụ thuộc và rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn
thực thi an toàn thông tin, khả năng quản lý và giám sát hệ thống. Và đặc biệt một hệ thống có
hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo
mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai.
I.2 Lựa chọn phương pháp xác thực phù hợp
Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các giao dịch
thương mại trực tuyến trên Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) được sự
hỗ trợ của một loạt các ngân hàng hàng đầu trên thế giới đã soạn thảo một ấn phẩm vào năm 2001
có tên “Xác thực trong môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực
tuyến”. Mục tiêu của ấn phẩm này là để hướng dẫn thực thi những chính sách xác thực mạnh cho
những tổ chức tài chính tham gia vào các dịch vụ và giao dịch điện tử. Nội dung của ấn phẩm đề
cập đến những hậu quả khi mất cắp danh tính và các chỉ dẫn lựa chọn công nghệ xác thực mạnh
phù hợp cho tổ chức tài chính:
“ Những kẻ lừa đảo đang khai thác điểm yểu bảo mật của khách hàng khi họ hoàn toàn
tin tưởng và việc xác thực 1 yếu tố khi truy cập vào các dịch vụ trực tuyến của ngân hàng, chứng
4
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
khoán, email và những website giao dịch điện tử. Các tổ chức tài chính nên cân nhắc từng yếu
tố sau đề nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy cơ đánh cắp danh

tính:”
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng…
3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác
thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công
nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất ở trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công
việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của
FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố
là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng,
chứng khoán và bảo hiểm.
I.3 Xác thực 2 yếu tố
Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố
phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên
những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có
(SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng
thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố
bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so
với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.
Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả
như sau:
“ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết
được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2
yếu tố có khả năng giúp bạn làm được điều đó”
• Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu
tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là
vô nghĩa.
• Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi

danh tính đó được bảo vệ bằng 2 yếu tố thay vì 1 yếu tố (mật khẩu/số PIN) như trước
đây.
5
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
• Trong giao dịch trực tuyến, tính chống từ chối và tính bí mật là một trong những yêu
cầu cần thiết của khách hàng. Rất nhiều tổ chức tài chính đã sử dụng Chữ kí số được
tạo ra từ hệ thống xác thực 2 yếu tố để đảm bảo cho các giao dịch.
• Xác thực 1 yếu tố trước đây mới chỉ đáp ứng được xác thực giữa nhà cung cấp dịch vụ
với khách hàng mà không có khả năng ngược lại. Hệ thống xác thực 2 yếu tố sẽ giúp
cho quá trình xác thực là tương tác 2 chiều, đảm bảo tối đa tính an toàn cho các giao
dịch trực tuyến.
• Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ rất nhiều mật
khẩu, phải nhớ thay đổi mật khẩu theo định kì và rất nhiều rắc rối khác khi chúng ta
quên chúng. Một số dạng của xác thực 2 yếu tố có khả năng giúp ta thực hiện điều đó.
Đứng trước nhu cầu đó, rất nhiều công ty bảo mật đã phối hợp cùng các ngân hàng, tổ
chức tài chính để phát triển những giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới các
hoạt động giao dịch trực tuyến. Công ty Entrust, công ty phần mềm chuyên trong lĩnh vực bảo
mật và mã hoá thông tin, đã là một trong các công ty hiếm hoi trên thế giới giúp cho các ngân
hàng đáp ứng được đầy đủ yêu cầu về bảo vệ danh tính và chống lại các hành vi lừa đảo trực
tuyến. Bên cạnh đó, giải pháp bảo mật của Entrust đã được đánh giá là có chi phí đầu tư thấp nhất
so với các giải pháp của một số hãng như RSA Security, Aladdin, ActiveCard, VASCO… và đặc
biệt rất phù hợp cho triển khai với số lượng người dùng lớn như trong lĩnh vực ngân hàng, chứng
khoán.
Dưới đây là đánh giá của Công ty Forrester Research (www.forrester.com), một công ty
toàn cầu chuyên nghiên cứu thị trường và đánh giá các sản phẩm công nghệ
Sản phẩm / Công nghệ
xác thực
Tính tiện
dùng
Tính sử

dụng
Tính
bảo
mật
Chi phí
đầu tư
Khả
năng
quản trị
Khả năng
tích hợp
One-Time-Password Tokens 5 3 4 2 2 5
Dịch vụ OTP của RSA Token 5 4 4 3 3 5
Smart Card (EMV) 5 3 5 3 3 5
Xác thực bằng số PIN/TAN 5 5 3 3 3 5
Entrust
IdentityGuard
5 5 5 4 4 5
Xác thực bằng Mobile 4 3 5 3 5 5
Nhập giá trị xác thực trên bàn
phím ảo
5 3 2 5 5 2
Xác thực bằng danh sách các
dãy số
5 2 2 4 5 2
Số điểm: 1 = kém 5 = rất tốt
Theo nguồn: Công ty nghiên cứu đánh giá các sản phẩm công nghệ Forrester Research
Điều gì đã làm nên sự thành công của Entrust, đó là Entrust đã nhanh chóng cung cấp các
giải pháp bảo mật đáp ứng kịp thời các yêu cầu cụ thể cho những tổ chức tài chính, ngân hàng,
6

Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
chứng khoán trong việc bảo vệ thông tin khi giao dịch trực tuyến. Đặc biệt, giải pháp của Entrust
có mức chi phí đầu tư tối ưu và dễ sử dụng nhất khi triển khai cho số lượng người dùng rất lớn là
những khách hàng đang sử dụng các dịch vụ ngân hàng, tài chính, chứng khoán, bảo hiểm, …
Công ty Entrust đưa ra 2 bộ sản phẩm phần mềm Strong Authentication Platform và
eFraud Detection để giải quyết 2 vấn đề:
• Xác thực mạnh 2 yếu tố để bảo vệ danh tính trực tuyến.
• Giám sát và ngăn chặn các hình thức lừa đảo trực tuyến để giảm thiểu rủi ro cho các giao
dịch.
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh 2 yếu tố trong bộ giải
pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong
lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp
xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp
sử dụng dịch vụ tài chính, chứng khoán trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh
theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không
làm gia tăng chi phí đầu tư triển khai.
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ
II.1 Xác thực mạnh kết hợp nhiều phương pháp
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh trong bộ giải pháp của
Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực
CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực
mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng
dịch vụ tài chính trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng
nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí
đầu tư triển khai.
7
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
Hình dưới đây mô tả được phần nào cái nhìn tổng quan về các tính năng và ích lợi của
phần mềm Entrust IdentityGuard.
Có thể coi Entrust IdentityGuard là giải pháp phần mềm duy nhất hiện nay trên thế giới có

khả năng kết hợp được nhiều phương pháp xác thực đồng thời trong cùng một phần mềm. Các
phương pháp xác thực của Entrust IdentityGuard không những cho phép nhà cung cấp dịch vụ
xác thực mạnh người dùng, mà còn giúp cho khách hàng có thể kiểm tra tính chân thật của các
Web site trước khi họ nhập các thông tin cá nhân. Chính vì các khả năng đó, Entrust
IdentityGuard đã nâng mức độ đảm bảo của giải pháp vượt xa các giải pháp xác thực hiện có trên
thị trường, trong khi chi phí đầu tư không phát sinh và đặc biệt là rất phù hợp khi triển khai với
số lượng người sử dụng lớn cho nhiều đối tượng khách hàng.
Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là:
• Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ.
• Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các
Web site dịch vụ trực tuyến.
Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh
người dùng khi truy cập dịch vụ. Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện
riêng lẻ hoặc kết hợp đồng thời, bao gồm:
• Xác thực người dùng bằng ma trận lưới ngẫu nhiên. Mỗi khách hàng sẽ được cấp một
thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu
nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ
độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau
mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không
bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá
8