Chuyển đến nội dung chính

FIDO U2F: Công nghệ xác minh hai bước chống phishing

U2F là chữ viết tắt của Universal 2nd Factor, hiểu nôm na đây là công nghệ xác minh hai bước có thể sử dụng ở mọi nơi. Công nghệ U2F do Google Security Team cùng với Yubico và NXP sáng chế và sau đó bàn giao lại cho FIDO AllianceSo với các công nghệ tương đương như SMS OTP hay RSA SecurID, U2F có những sáng tạo độc đáo làm cho nó an toàn và dễ sử dụng hơn.

Lợi thế
So sánh với các giải pháp phổ biến trên thị trường như SMS OTP, Smart OTP, Google Authenticator, hay RSA SecurID, FIDO U2F có nhiều lợi thế.
An toàn.
    1. FIDO U2F chống được tấn công phishing. Bất kỳ giải pháp nào yêu cầu người sử dụng chép mã OTP đều không thể chống lại tấn công phishing.
    2. FIDO U2F là một chuẩn mở, các doanh nghiệp cần độ bảo mật cao có thể tự đánh giá và triển khai giải pháp này mà không cần nhờ vào bên thứ ba. Các giải pháp như RSA SecurID hoàn toàn đóng, không ai biết bên trong chúng hoạt động như thế nào.
Dễ sử dụng.
Tiêu chuẩn mở.
    1. Người dùng mua một thiết bị FIDO U2F có thể sử dụng cho nhiều dịch vụ khác nhau, từ Internet Banking cho đến Gmail, YouTube, Dropbox, v.v. Người dùng chuyên nghiệp còn có thể sử dụng FIDO U2F để đăng nhập vào các máy chủ thông qua SSH hay VPN. Thiết bị RSA SecurID vừa đắt tiền vừa lại chỉ sử dụng được ở một nơi duy nhất.
    2. Các doanh nghiệp triển khai công nghệ FIDO U2F có thể tận dụng số lượng khách hàng đã có sẵn thiết bị FIDO U2F, mà không cần phải đầu tư hay yêu cầu khách hàng mua thêm thiết bị mới. Việc phải mua thiết bị đắt tiền như RSA SecurID thường khiến người sử dụng không muốn đăng ký xác minh hai bước, khiến cho tài khoản của họ kém an toàn.
    3. Vì các sản phẩm FIDO U2F có cách thức hoạt động như nhau, các doanh nghiệp triển khai công nghệ FIDO U2F tránh được tình trạng bị “locked in” vào một nhà sản xuất độc quyền. Đây là vấn đề thường gặp khi triển khai các giải pháp xác thực hai lớp như RSA SecurID, vì một khi đã triển khai rồi thì khó chuyển sang nhà cung cấp giải pháp khác được nữa.
Giá cả hợp lý.
    1. Tùy thuộc vào yêu cầu của người dùng mà thiết bị FIDO U2F có giá dao động từ 10 USD đến 40 USD. Trong tương lai giá cả của các thiết bị này sẽ đi xuống vì càng lúc sẽ có càng nhiều nhà sản xuất.

Góc kỹ thuật: U2F chống phishing như thế nào?

Tấn công phishing trên web lợi dụng điểm yếu là người sử dụng không biết trang web mà họ đang xem có phải là trang web mà họ muốn truy cập hay không. Các hướng dẫn phòng chống phishing thường yêu cầu người sử dụng kiểm tra địa chỉ trang web, nhưng trên thực tế đa số người sử dụng không hiểu “địa chỉ trang web” là gì, yêu cầu họ tự kiểm tra là một đòi hỏi duy ý chí.
Việc kiểm tra địa chỉ trang web cũng không có tác dụng là mấy, vì có rất nhiều mẹo ( dụ) mà kẻ tấn công có thể sử dụng để đánh lừa ngay cả những kỹ sư máy tính chuyên nghiệp. Ngoài kiểm tra địa chỉ trang web, một lời khuyên thường gặp nữa là kiểm tra chứng chỉ SSL. Đa số các ngân hàng sử dụng chứng chỉ EV, với loại chứng chỉ này tên ngân hàng sẽ hiển thị trên thanh địa chỉ. Tuy nhiên các nhà nghiên cứu ở đại học Stanford chỉ ra rằng kẻ tấn công dễ dàng lừa người dùng bằng cách tạo một thanh địa chỉ giả mạo (tấn công “hình trong hình”).
Thông thường có hai hướng khắc phục một rủi ro: bằng quy trình và bằng kỹ thuật. Yêu cầu người sử dụng kiểm tra địa chỉ trang web hay chứng chỉ SSL là một cách khắc phục rủi ro bị phishing bằng quy trình. Như đã nói ở trên, giải pháp quy trình không hiệu quả vì hay đặt kỳ vọng quá cao vào người sử dụng, vốn thường là mắt xích yếu nhất trong hệ thống. Một nguyên tắc quan trọng trong thiết kế an toàn thông tin là chỉ khi nào không thể sử dụng giải pháp kỹ thuật thì mới tính đến giải pháp quy trình. Công nghệ U2F giải quyết rủi ro phishing bằng một giải pháp kỹ thuật.
Giao thức U2F loại bỏ người dùng ra khỏi quá trình kiểm tra địa chỉ trang web. Chỉ với thay đổi nhỏ này, tấn công phishing bị vô hiệu hóa hoàn toàn. Cụ thể, trình duyệt web của người dùng sẽ trực tiếp gửi địa chỉ trang web đến cho thiết bị U2F và thiết bị U2F sẽ thay người dùng kiểm tra địa chỉ có đúng hay không. Có thể hiểu hôm na với mỗi địa chỉ khác nhau thiết bị U2F sẽ trả về một mã xác thực khác nhau, do đó nếu người dùng bị lừa vào http://phishing.com, trang web này không thể lấy cấp mã xác thực của https://banking.com vì địa chỉ https://banking.com khác với http://phishing.com. Nếu Vietcombank sử dụng công nghệ U2F, kẻ tấn công đã không thể nào lấy được mã xác thực của khách hàng, vì địa chỉ trang web giả mạo khác với địa chỉ trang web Vietcombank.

Giải pháp

Tổ chức phi lợi nhuận FIDO Alliance đã chuẩn hóa U2F thành một tiêu chuẩn Internet mở. Hiện tại FIDO Alliance có hơn 150 công ty thành viên. Bất kỳ công ty nào cũng có thể đăng ký trở thành thành viên của FIDO Alliance và được quyền chế tạo các sản phẩm tuân theo chuẩn U2F mà không sợ các thành viên khác kiện vi phạm quyền sáng chế. Các doanh nghiệp, tổ chức và người sử dụng cá nhân có thể thoải mái sử dụng các sản phẩm theo công nghệ U2F không cần phải tham gia vào FIDO Alliance.
Một giải pháp U2F bao gồm ba thành phần:
  • Thiết bị FIDO U2F cho người dùng cuối. Thiết bị FIDO U2F phổ biến nhất trên thị trường là Yubikey của hãng Yubico. Thiết bị rẻ nhất có giá khoảng 10 USD, hỗ trợ giao tiếp qua cổng USB, cần phải có máy tính cá nhân mới sử dụng được. Thiết bị hỗ trợ giao tiếp thông qua Bluetooth hoặc NFC, có thể sử dụng với điện thoại thông minh, được bán với giá 40 USD. Chuẩn FIDO 2.0 hứa hẹn sẽ cho phép người sử dụng dùng chính điện thoại của họ như là một thiết bị U2F.
  • Phần mềm FIDO U2F trên máy chủ. Nếu một ngân hàng muốn triển khai công nghệ U2F, máy chủ Internet Banking của họ phải hiện thực hóa giao thức U2F. Google có cung cấp một thư viện phần mềm nguồn mở mẫu ở địa chỉ https://github.com/google/u2f-ref-code.
  • Trình duyệt web của người dùng cuối. Hiện tại trong số các trình duyệt phổ biến chỉ có Google Chrome hỗ trợ U2F. Mozilla Firefox sẽ hỗ trợ công nghệ U2F trong thời gian sắp tới. Microsoft và Apple chưa có động thái gì cho thấy họ sẽ hỗ trợ U2F trên trình duyệt của họ.
Để triển khai giải pháp U2F, các doanh nghiệp cần phải có chuyên gia am hiểu về công nghệ này. Những người này sẽ giúp đánh giá các giải pháp trên thị trường, nhu cầu của doanh nghiệp và từ đó chọn ra một một chiến lược đầu tư hợp lý.
Đối với người sử dụng cá nhân, mỗi người nên sắm một thiết bị FIDO U2F (thiết bị rẻ nhất có giá chưa đầy 10 USD, hoặc tự làm ở nhà, dành cho những ai rành điện tử). Món đầu tư nhỏ này sẽ giúp bảo vệ tài khoản Google, Dropbox, v.v. tránh khỏi tấn công phishing và các hiểm họa khác.

Nhận xét

Bài đăng phổ biến từ blog này

HttpOnly Flag và Secure Flag của chiếc Cookie để làm gì?

Cookies rất hữu ích nhưng cũng tồn tại không ít rủi ro. Bài viết sau đây giúp tìm hiểu rõ thêm về 2 thuộc tính giúp bảo vệ Cookies là Httponly flag   và Secure flag.   Nếu anh em mò vào được bài này thì chắc cũng biết về Cookie rồi, nhưng còn hiểu lơ mơ    thì click vào đây trước nhé -  Cookie . Chuyện kể rằng, ngày xửa ngày xưa, có một "nghệ sĩ" nọ do không sao kê tiền từ thiện nên đã bị hacker tấn công chiếm rất nhiều tài khoản do bị mất cookie.  1. Tại sao lại mất?   Nguyên nhân "nghệ sĩ" bị mất thông tin cá nhân là do quá chủ quan khi click đọc email do rất nhiều "fan" gửi cho, trong những email đó có gắn đường link chứa mã độc đánh cắp cookie của 1 trang web nào đó.  Do cookies phản hồi từ server mà các đường link đó dẫn tới không được bảo vệ     nên đã bị đối tượng xấu lấy mất cookies chứa xác thực đăng nhập -> dẫn tới mất thông tin. Về mặt bản chất, cũng có thể hiểu đây như là một cuộc tấn công XSS , đối tượng gửi email sẽ execute một đoạn scri

Những câu hỏi phỏng vấn kỹ sư bảo mật thường gặp.

Dưới đây là một danh sách các câu hỏi thường được sử dụng trong việc phỏng vấn tuyển dụng chuyên gia bảo mật. Nhiều câu hỏi được thiết kế buộc người được phỏng vấn phải suy nghĩ, và không thể chuẩn bị trước cho dạng câu hỏi này. Ở đó, các phản ứng của ứng viên cũng quan trọng  như câu trả lời. Một số câu hỏi được pha trộn giữa kỹ thuật và lý thuyết, hoặc câu hỏi tìm hiểu quan điểm của ứng viên để tạo ra những câu hỏi khó khăn hơn. Các câu hỏi cũng thường được chia thành các thể loại khác nhau, một số câu hỏi mẹo sẽ được chèn vào giữa. Mục đích của những câu hỏi dạng đánh đố này là tìm kiếm những điểm yếu kỹ thuật thường chỉ xuất hiện khi ứng viên đi vào làm việc :| . Nhóm câu hỏi chung 1. Giữa các dự án mã mở và mã đóng, bên nào bảo mật hơn? Câu trả lời của ứng viên sẽ nói rất nhiều về họ. Nó cho thấy 1) họ biết những khái niệm gì trong phát triển phần mềm, 2) cho thấy mức độ chín chắn của ứng viên. Mục tiêu chính của câu hỏi là đưa ra được ưu/ nhược điểm của hệ mã đóng và mã m

10 nguyên tắc thiết kế bảo mật khi phát triển phần mềm theo OWASP

 TTổng quan về bảo mật phần mềm Bảo mật đóng vai trò vô cùng quan trọng trong việc phát triển cũng như khi vận hành ứng dụng. Nó như một lá chắn giúp bảo vệ hệ thống phần mềm của chúng ta tránh khỏi các cuộc tấn công của những kẻ xấu nhằm mục đích phá hoại hoặc đánh cắp thông tin. Bảo mật chính là một quá trình liên tục kiểm tra, xử lý các vấn đề bảo mật của hệ thống để duy trì 3 đặc tính trên của hệ thống (Tính toàn vẹn, tính bảo mật, tính sẵn sàng). Tính bí mật : Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện tính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được l