Xác thực là gì?

Trong xác thực hiện đại, quy trình xác thực được ủy quyền cho một hệ thống danh tính riêng biệt, đáng tin cậy, trái ngược với xác thực truyền thống, trong đó mỗi hệ thống tự xác nhận danh tính trong chính hệ thống đó. Cũng có thay đổi về loại phương pháp xác thực được sử dụng. Hầu hết các ứng dụng đều yêu cầu tên người dùng và mật khẩu. Tuy nhiên, do kẻ xấu ngày càng thông thạo việc lấy cắp mật khẩu nên cộng đồng bảo mật đã phát triển một số phương pháp mới để giúp bảo vệ danh tính.

Xác thực dựa trên mật khẩu là hình thức xác thực phổ biến nhất. Nhiều ứng dụng và dịch vụ yêu cầu mọi người tạo mật khẩu sử dụng tổ hợp các số, chữ cái và ký hiệu để giảm nguy cơ kẻ xấu đoán được mật khẩu. Tuy nhiên, mật khẩu cũng tạo ra những thách thức về bảo mật và khả năng sử dụng. Mọi người khó nghĩ ra và ghi nhớ từng mật khẩu riêng cho mỗi tài khoản trực tuyến của họ. Đó là lý do họ thường sử dụng lại mật khẩu. Và những kẻ tấn công sử dụng nhiều chiến thuật để đoán hoặc lấy cắp mật khẩu, hoặc dụ dỗ mọi người miễn cưỡng chia sẻ mật khẩu. Vì lý do này, các tổ chức đang chuyển từ mật khẩu sang các hình thức xác thực khác an toàn hơn.

Xác thực dựa trên chứng chỉ là một phương pháp được mật mã hóa cho phép thiết bị và mọi người nhận dạng chính mình với các thiết bị và hệ thống khác. Hai ví dụ phổ biến là thẻ thông minh hoặc khi thiết bị của nhân viên gửi chứng chỉ kỹ thuật số đến một mạng hoặc máy chủ.

Trong xác thực sinh trắc, mọi người xác minh danh tính của mình bằng các đặc điểm sinh học. Ví dụ: Nhiều người sử dụng ngón tay hoặc ngón cái để đăng nhập vào điện thoại của họ và một số máy tính quét khuôn mặt hoặc võng mạc của người dùng để xác minh danh tính của họ. Dữ liệu sinh trắc cũng được liên kết với một thiết bị cụ thể, vì vậy kẻ tấn công không thể sử dụng dữ liệu này khi không có quyền truy nhập vào thiết bị đó. Loại xác thực này ngày càng phổ biến vì dễ dùng với mọi người – họ không phải ghi nhớ bất kỳ thông tin gì – và an toàn hơn mật khẩu bởi kẻ xấu rất khó lấy cắp thông tin.

Trong hoạt động xác thực dựa trên mã thông báo, cả thiết bị và hệ thống đều tạo ra một số mới, đơn nhất, gọi là mã PIN một lần dựa theo thời gian (TOTP) có hiệu lực trong 30 giây. Nếu các số khớp, hệ thống sẽ xác minh rằng người dùng có thiết bị.

Mật khẩu một lần (OTP) là các mã được tạo cho một sự kiện đăng nhập cụ thể, sẽ sớm hết hạn sau khi được cấp. Mật khẩu được gửi qua tin nhắn SMS, email hoặc thiết bị nhận mã thông báo.

Một số ứng dụng và dịch vụ sử dụng thông báo đẩy để xác thực người dùng. Trong những trường hợp này, mọi người nhận được thông báo trên điện thoại yêu cầu họ chấp thuận hoặc từ chối yêu cầu truy nhập. Vì đôi khi mọi người vô tình chấp thuận thông báo đẩy ngay cả khi họ đang cố gắng đăng nhập vào dịch vụ gửi thông báo nên đôi lúc phương pháp này được kết hợp với phương pháp OTP. Với phương pháp OTP, hệ thống sẽ tạo ra một số duy nhất mà người dùng phải nhập. Phương pháp này tăng cường khả năng chống lừa đảo qua mạng cho việc xác thực.

Trong phương pháp xác thực bằng giọng nói, người dùng đang cố gắng truy nhập một dịch vụ sẽ nhận được cuộc gọi điện thoại yêu cầu họ nhập mã hoặc nhận dạng chính mình bằng lời nói.

Một trong những cách tốt nhất để giảm bớt sự xâm phạm tài khoản là yêu cầu thực hiện hai hoặc nhiều phương pháp xác thực, có thể bao gồm bất kỳ phương pháp nào được liệt kê ở trên. Một biện pháp có hiệu quả tốt nhất là yêu cầu hai yếu tố bất kỳ trong các yếu tố sau:

• Thông tin mà người dùng biết, thường là mật khẩu.
• Vật dụng mà họ có, chẳng hạn như thiết bị đáng tin cậy không dễ tạo bản sao, như điện thoại hoặc thiết bị nhận mã thông báo.
• Thông tin sinh trắc của người dùng, như quét khuôn mặt hoặc dấu vân tay.

Ví dụ: Nhiều tổ chức yêu cầu mật khẩu (thông tin mà người dùng biết), đồng thời gửi OTP qua SMS tới một thiết bị đáng tin cậy (vật dụng mà người dùng có) trước khi cho phép truy nhập.

Xác thực 2 bước là một loại xác thực đa yếu tố yêu cầu hai hình thức xác thực.