Điều gì quyết định tính hiệu quả của quá trình xác thực người dùng

Quá trình xác thực giống như việc tra chìa khóa vào ổ khóa để mở một cánh cửa, và xác thực nhiều yếu tố theo đó tương tự như cánh cửa được bảo vệ bởi nhiều ổ khóa. Tuy nhiên, trước tình hình các cuộc tấn công mạng và đánh cắp dữ liệu ngày càng đáng báo động như hiện nay, vấn đề được đặt ra đã không còn là có nên sử dụng nhiều ổ khóa không mà là làm sao để các ổ khóa đó khi kết hợp với nhau có thể tạo thành hệ thống bảo vệ cánh cửa một tài sản bên trong tối ưu nhất.

Như đã đề cập ở các bài trước, xác thực là quá trình xác định người đang thực hiện thao tác đúng là người có quyền truy cập chứ không phải ai khác. Một hệ thống máy tính chỉ nên được sử dụng bởi những người được cấp quyền sử dụng và nó phải nỗ lực phát hiện và loại trừ những người dùng không được cấp quyền. Ngày nay, khi số lượng người sử dụng thiết bị công nghệ và dịch vụ số ngày càng gia tăng, để xác thực chính xác người dùng nhằm bảo vệ dữ liệu thông tin cá nhân của khách hàng, chi tiết giao dịch và các thông tin bí mật khác lại trở nên cấp thiết hơn bao giờ hết.

Vậy điều gì quyết định được quá trình xác thực diễn ra một cách nhanh chóng và chính xác?


Câu trả lời chính là nằm ở Máy chủ Xác thực (Authentication Server - AS) quản lý, điều khiển, xác thực thông tin đăng nhập. Mỗi Máy chủ Xác thực đều là sự kết hợp tương thích giữa phần front-end - những thứ mà người dùng nhìn thấy và thao tác, và back-end - server đằng sau đảm bảo hệ thống hoạt động mượt mà và chính xác. Hệ thống server back-end có vai trò như bộ não trung tâm phân tích các yếu tố xác thực được gửi về, tính toán và xác nhận người dùng đó có được truy cập hay không. Back-end server này là yếu tố quyết định Máy chủ xác thực có đảm bảo tính chính xác của quá trình xác thực hay không đồng thời đảm bảo người dùng có trải nghiệm tốt nhất, xác thực chính xác, hoạt động trơn tru, xử lý được số lượng lớn cùng đăng nhập một lúc nhưng vẫn nhanh chóng và hiệu quả.


Digibank CMS - a big picture

Một số tiêu chí tiêu biểu để đánh giá một server xác thực có thực sự hiệu quả:

Digibank CMS- Sample image floating


- Xác thực chính xác: Điều tất yếu mà Máy chủ xác thực phải đảm bảo được là có thể xác thực chính xác các yếu tố đăng nhập (bất kể một hay nhiều yếu tố) để nhận diện đúng người dùng. Ngày nay, cùng với sự phát triển của công nghệ, server không chỉ xác thực các yếu tố cơ bản như username, password mà còn phải phân tích xử lý các yếu tố xác thực mới như nhận dạng sinh trắc học của cá nhân, server cần được nâng cấp thường xuyên, đủ tiên tiến để quét, thu thập được dữ liệu (cơ bản như nhận dạng vân tay, mống mắt cho đến nhận dạng tĩnh mạch lòng bàn tay hay tướng đi) và xử lý được dữ liệu đó để phân biệt được người này với người khác, đảm bảo cả xác thực đúng và xác thực sai (đúng người phải báo đúng, sai người hoặc giả mạo phải báo sai), thuật toán phức tạp, không thể bị đánh lừa.


- Đáp ứng các tiêu chuẩn quốc tế: Đảm bảo đạt được các tiêu chuẩn quốc tế về xác thực người dùng như tạo ra OTP tuân theo chuẩn OATH OCRA Oath Challenge-Response Algorithms​ (RFC 6287), các tiêu chuẩn về độ dài và phức tạp của key mã hóa đường truyền; mã hóa dữ liệu; độ dài key của mã hóa OTP RSA,... Ngoài ra, ở Việt Nam, server xác thực còn phải cam kết tuân thủ Quyết định số 630/QĐ-NHNN và Thông tư 35/2016/TT-NHNN được sửa đổi bổ sung bởi Thông tư 35/2018/TT-NHNN quy định về tiêu chuẩn cơ bản về đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.


- Tốc độ xử lý nhanh: Xác thực thường là bước đăng nhập hoặc bước trước khi thực hiện các tác vụ tiếp theo, vậy nên tốc độ xử lý dữ liệu và phản hồi phải nhanh chóng, độ trễ thấp nhưng vẫn chính xác, tạo cho người dùng cuối có được những trải nghiệm sử dụng tốt nhất.

Digibank CMS- Sample image floating


- Độ sẵn sàng cao (HA - High availability):
Máy chủ xác thực luôn luôn sẵn sàng phục vụ, người dùng sẽ không gặp phải trường hợp thấy hệ thống bị lỗi, trục trặc hay gián đoạn. Tức hệ thống máy chủ phải dự liệu được hầu hết các khả năng lỗi hoặc trục trặc có thể xảy ra xử lý tối ưu, bộ nguồn dự phòng hay dữ liệu back-up luôn sẵn sàng, bất kể sự cố gì xảy ra cũng không để ảnh hưởng tới trải nghiệm người dùng.   


Đáp ứng được 4 yêu cầu trên, máy chủ xác thực cơ bản đã đủ sức làm tiền đề cho bước xác thực hiệu quả và an toàn đồng thời vẫn mang lại cho người dùng trải nghiệm tốt nhất. Lựa chọn hệ thống xác thực phù hợp không chỉ đảm bảo cho tổ chức của bạn đảm bảo an toàn cho hệ thống của tổ chức mà còn có để tận dụng điều này làm lợi thế, nâng cao giá trị và uy tín cho mình.


Một trong những máy chủ xác thực hàng đầu khu vực - Turnsteel (TAS) được thiết kế để đáp ứng các chính phủ và tổ chức tài chính, bảo mật nghiêm ngặt và các thông số kỹ thuật sẵn có cao để nhận dạng kỹ thuật số. Nó đã được triển khai và hiện đang cung cấp cả đăng nhập xác thực một yếu tố (1FA) và xác thực nhân tố thứ hai (2FA) cho các cổng web khác nhau, Mạng riêng ảo (VPN), hệ điều hành, đăng nhập, thiết bị mạng và email trong chính phủ, viện tài chính và dịch vụ chăm sóc sức khỏe trực tuyến.TAS có thể hỗ trợ cả hoạt động xác thực 1FA và 2FA bằng nhiều loại mã thông báo kỹ thuật số như: mã thông báo phần cứng, mã thông báo phần mềm, SMS OTP, chứng chỉ kỹ thuật số. TAS cũng có thể tích hợp với kho nhận dạng người dùng có sẵn (ví dụ: Windows Active Directory) để cho phép trải nghiệm đăng nhập liền mạch cho người dùng và nhà phát triển ứng dụng. TAS đơn giản hóa hoạt động CNTT với thiết kế chịu tải, hỗ trợ bảo trì hệ thống thường xuyên mà không cần dịch vụ xác thực theo thời gian. Dashboard quản lý thân thiện với người dùng, có thể tạo các báo cáo giao dịch xác thực khác nhau, cũng như cho phép người dùng tìm kiếm các hồ sơ giao dịch cụ thể.

Tìm hiểu thêm tại:  https://singalarity.com/services/turnsteel-as-troubleshooting-analytics-engine


Tham khảo:
1. 
https://tools.ietf.org/html/rfc62872.  
2. Quyết định số 630/QĐ-NHNNban hành Kế hoạch áp dụng giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng
3. Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet được sửa đổi, bổ sung bởi Thông tư 36/2018/TT-NHNN