Cho dù bạn đang đăng nhập kiểm tra số dư tài khoản trên trang web ngân hàng hay truy cập các nguồn cấp dữ liệu mạng xã hội yêu thích của bạn, Authentication sẽ giúp các trang web này xác định rằng bạn chính là người chính xác đang truy cập.
1. Authentication là gì?
Authentication là một thuật ngữ đề cập đến quá trình chứng minh rằng một số dữ kiện hoặc một số tài liệu là chính hãng. Trong khoa học máy tính, thuật ngữ này thường được kết hợp với việc chứng minh danh tính của người dùng bằng cách cung cấp thông tin Authentication của họ.
2. Tại sao Authentication lại quan trọng trong an ninh mạng?
Authentication cho phép các tổ chức giữ an toàn cho mạng của họ bằng cách chỉ cho phép những người dùng hoặc quy trình Authentication có quyền truy cập vào các tài nguyên được bảo vệ của họ. Sau khi được xác thực, người dùng quy trình thường phải trải qua quá trình cấp quyền để xác định xem thực thể được xác thực có được phép truy cập vào một tài nguyên hoặc hệ thống được bảo vệ cụ thể hay không. Người dùng có thể được xác thực nhưng không được cấp quyền truy cập vào một tài nguyên cụ thể nếu người dùng đó không được cấp quyền truy cập vào tài nguyên đó.
Authentication được sử dụng để làm gì?
Authentication người dùng và quy trình được sử dụng để đảm bảo rằng chỉ những cá nhân hoặc quy trình được ủy quyền mới được phép truy cập tài nguyên công nghệ thông tin của công ty. Tùy thuộc vào các trường hợp sử dụng mà Authentication có thể bao gồm SFA, 2FA hoặc MFA.
Việc triển khai Authentication phổ biến nhất là SFA, yêu cầu ID người dùng và mật khẩu để đăng nhập và truy cập. Tuy nhiên, vì các ngân hàng và nhiều công ty hiện sử dụng ngân hàng trực tuyến và thương mại điện tử để kinh doanh nên việc sử dụng 2FA và thậm chí cả MFA ngày càng tăng, điều này yêu cầu người dùng và khách hàng không chỉ nhập ID người dùng và mật khẩu mà còn cả thông tin Authentication bổ sung.
3. Authentication hoạt động như thế nào?
Trong quá trình xác thực, thông tin Authentication do người dùng cung cấp được so sánh với thông tin đăng nhập trong hồ sơ trong cơ sở dữ liệu thông tin người dùng được ủy quyền trên máy chủ hệ điều hành cục bộ hoặc thông qua máy chủ xác thực. Nếu thông tin Authentication đã nhập khớp với thông tin trên hồ sơ và thực thể được Authentication cho phép sử dụng tài nguyên, thì người dùng sẽ được cấp quyền truy cập. Quyền của người dùng xác định tài nguyên nào mà người dùng có được quyền truy cập và bất kỳ quyền truy cập nào khác được liên kết với người dùng, chẳng hạn như giờ người dùng có thể truy cập tài nguyên và lượng tài nguyên mà người dùng được phép sử dụng.
Các yếu tố Authentication là gì?
Authentication người sử dụng bằng ID người dùng và mật khẩu thường được coi là loại Authentication cơ bản nhất và nó phụ thuộc vào việc người dùng biết hai phần thông tin – ID người dùng hoặc tên người dùng và mật khẩu. Vì loại Authentication này chỉ dựa vào một yếu tố xác thực nên nó là một loại SFA.
Yếu tố Authentication đại diện cho một phần dữ liệu hoặc thuộc tính có thể được sử dụng để xác thực người dùng yêu cầu quyền truy cập vào hệ thống. Một câu ngạn ngữ bảo mật cũ nói rằng các yếu tố Authentication có thể là thứ bạn biết, thứ bạn có hoặc thứ bạn đang có.
Các yếu tố Authentication được sử dụng hiện nay bao gồm
Thứ nhất, yếu tố kiến thức. Yếu tố kiến thức hoặc thông tin bạn biết có thể là bất kỳ thông tin xác thực nào bao gồm thông tin mà người dùng sở hữu, bao gồm số nhận dạng cá nhân (PIN), tên người dùng, mật khẩu hoặc câu trả lời cho một câu hỏi bí mật.
Thứ hai, yếu tố sở hữu. Yếu tố sở hữu hoặc thứ gì đó bạn có có thể là bất kỳ thông tin Authentication nào dựa trên các mặt hàng mà người dùng có thể sở hữu và mang theo bên mình, bao gồm cả các thiết bị phần cứng, như mã thông báo bảo mật hoặc điện thoại di động được sử dụng để chấp nhận tin nhắn văn bản hoặc để chạy ứng dụng Authentication có thể tạo mật khẩu dùng một lần (OTP) hoặc mã PIN.
4. Các loại Authentication khác là gì?
Authentication truyền thống phụ thuộc vào việc sử dụng tệp mật khẩu, trong đó ID người dùng được lưu trữ cùng với các mã băm của mật khẩu được liên kết với mỗi người dùng. Khi đăng nhập, mật khẩu do người dùng gửi sẽ được băm và so sánh với giá trị trong tệp mật khẩu. Nếu hai hàm băm khớp nhau, người dùng được xác thực. Các điểm yếu của Authentication dựa trên mật khẩu có thể được giải quyết ở một mức độ nào đó bằng tên người dùng và mật khẩu thông minh. Tuy nhiên, Authentication dựa trên mật khẩu và Authentication dựa trên kiến thức dễ bị tấn công hơn so với các hệ thống yêu cầu nhiều phương pháp độc lập.
Các phương pháp Authentication khác bao gồm
2FA, loại Authentication này bổ sung thêm một lớp bảo vệ cho quy trình bằng cách yêu cầu người dùng cung cấp yếu tố Authentication thứ hai ngoài mật khẩu. Hệ thống 2FA thường yêu cầu người dùng nhập mã xác minh nhận được qua tin nhắn văn bản trên điện thoại di động.
MFA, loại Authentication này yêu cầu người dùng Authentication bằng nhiều hơn một yếu tố xác thực, bao gồm cả yếu tố sinh trắc học, chẳng hạn như nhận dạng vân tay hoặc khuôn mặt,…
OTP, OTP là một chuỗi ký tự số hoặc chữ và số được tạo tự động để Authentication người dùng. Mật khẩu này chỉ hợp lệ cho một phiên đăng nhập hoặc giao dịch và người dùng có thể được cấp OTP để đăng nhập và thay đổi mật khẩu mới.
Authentication người dùng so với Authentication máy
Máy cũng cần cho phép các hành động tự động của chúng trong một mạng. Các dịch vụ sao lưu trực tuyến cũng như hệ thống giám sát từ xa, chẳng hạn như các hệ thống được sử dụng trong y tế từ xa và công nghệ lưới điện thông minh, tất cả đều cần phải xác thực an toàn để xác minh rằng đó là hệ thống được ủy quyền tham gia vào một tương tác và không phải là một tin tặc. Authentication máy có thể được thực hiện với thông tin đăng nhập máy, tương tự như ID của người dùng và mật khẩu nhưng được gửi bởi thiết bị được đề cập. Authentication bằng máy cũng có thể sử dụng các chứng chỉ kỹ thuật số do cơ quan cấp chứng chỉ cấp và xác minh.
5. Authentication so với ủy quyền
So với Authentication thì ủy quyền bao gồm quá trình quản trị viên cấp quyền cho người dùng mà đã được xác thực, cũng như quá trình kiểm tra quyền tài khoản của người dùng để xác minh rằng người dùng đã được cấp quyền truy cập vào các tài nguyên đó. Các đặc quyền và tùy chọn được cấp cho tài khoản được ủy quyền phụ thuộc vào quyền của người dùng, được lưu trữ cục bộ hoặc trên máy chủ xác thực. Các cài đặt được xác định cho tất cả các biến môi trường này do quản trị viên thiết lập.
Kết luận:
Trong thời đại công nghệ hóa, hiện đại hóa thay đổi liên tục như hiện nay, việc cung cấp tính năng Authentication hiện đại mạnh mẽ là điều bắt buộc. Vì nó không chỉ tăng cường thế trận an ninh mạng tổng thể mà còn duy trì sự tuân thủ các quy định về quyền riêng tư và bảo mật thông tin cá nhân. Những tiến bộ trong công nghệ kiểm soát ra vào cung cấp cho các doanh nghiệp nhiều phương án để lựa chọn. Việc chọn khung Authentication của bạn phải là một quyết định dựa trên rủi ro để giải quyết các nhu cầu và yêu cầu bảo mật phù hợp với môi trường của bạn.
