Cảnh báo của FBI về xác thực đa yếu tố và những bài học cho các ngân
hàng
Tháng 9 vừa qua, Cục điều tra liên bang Mỹ công bố một ghi chú cảnh
báo các công ty c ủa nước này về việc tội phạm mạng đang sử dụng
nhiều biện pháp để qua mặt các kỹ thuật xác thực đa yếu tố phổ biến
trên thị trường.
Cảnh báo của FBI
Cách đơn giản nhất và cũng phổ biến nhất là gian lận trao đổi SIM, trong
đó, kẻ tấn cơng thuyết phục một mạng di động (hoặc mua chuộc nhân viên)
để chuyển số điện thoại di động mục tiêu, cho phép chúng nh ận mã bảo mật
2FA được gửi qua tin nhắn SMS. Tội phạm đã sử dụng phương pháp này để
trộm tiền trong tài khoản ngân hàng, trộm tiền mã hóa từ các ví điện tử hay
sàn giao dịch, tấn công các dịch vụ kiểu PayPal. Ngay tại Việt Nam, chúng
ta cũng đã từng thấy một số trường hợp khách hàng bị “cướp SIM” để trộm
tiền từ tài khoản ngân hàng. Từ góc độ của người dùng thì đây là kiểu tấn
cơng rất khó chống đỡ.
Kiểu tấn công thứ hai là sử dụng kỹ thuật phishing để lừa người dùng nhập
tên đăng nhập/mật khẩu và mã xác thực dùng một lần (OTP) vào một trang
web giả. Tháng 9 vừa qua, một loạt các tài khoản YouTube đư ợc nhiều
người theo dõi đã b ị hack theo cách này.

Kiểu tấn công tinh vi hơn là cư ớp phiên làm việc (session hijack) khi ngư ời
dùng đăng nhập vào trang web chính th ức nhưng thơng tin đăng nh ập và mã
xác thực dùng một lần bị đánh cắp trong quá trình truy ền từ người dùng tới
website. Theo FBI, một số trường hợp trong năm 2019, lỗ hổng bảo mật
trên trang web của ngân hàng đã cho phép tin t ặc bỏ qua mã PIN và câu h ỏi
bảo mật sau khi lừa lấy được các thông tin cơ b ản của chủ tài khoản.
Những thông tin trên đây không ph ải là mới và đã được nhiều người đã biết
tới. Vậy cảnh báo của FBI có thực sự cần thiết với các cơng ty? Vì dù sao
thì các kỹ thuật xác thực đa yếu tố như OTP gửi qua SMS vẫn hoạt động tốt
và đáp ứng yêu cầu của phần lớn người dùng (cả người dùng nội bộ lẫn

khách hàng). Hơn n ữa, dù có thể bị qua mặt nhưng các kỹ thuật xác thực đa
yếu tố phổ biến vẫn tốt hơn là chỉ xác thực người dùng bằng mật khẩu. Vấn


đề là một số người dùng quan trọng (cán bộ quản trị các hệ thống trọng
yếu, khách hàng có số dư và hạn mức giao dịch cao...) - những mục tiêu
“giá trị” của tin tặc cần được bảo vệ bằng những biện pháp kỹ thuật cao
cấp, an toàn hơn. H ọ có thể sử dụng các kỹ thuật xác thực đa yếu tố an toàn
hơn như token FIDO2 để tránh bị tấn cơng phishing. Về lâu dài, giải pháp
có thể là một tiêu chuẩn như WebAuthn. Sau đây chúng ta s ẽ tìm hiểu về
những cơng nghệ xác thực tiên tiến đó và khả năng ứng dụng của chúng.
U2F giúp bảo vệ người dùng khỏi các hình thức phishing
Dù sử dụng OTP gửi qua SMS hay OTP do ứng dụng di động sinh ra, giao
dịch ngân hàng trực tuyến đều có thể bị tấn cơng phishing do ngư ời sử
dụng không biết trang web mà h ọ đang truy cập có đúng là trang web c ủa
ngân hàng hay khơng. Các hư ớng dẫn phòng chống phishing thư ờng yêu
cầu người sử dụng kiểm tra địa chỉ trang web nhưng trong th ực tế, đa số
người sử dụng không biết hay không nhớ được cách kiểm tra (và tin tặc thì
liên tục sáng tạo ra những cách lừa đảo mới). Theo một chuyên gia bảo
mật, yêu cầu khách hàng tự kiểm tra địa chỉ trang web là một đòi hỏi duy ý
chí.
Việc kiểm tra địa chỉ trang web cũng khơng có tác d ụng là mấy vì có rất
nhiều mẹo mà kẻ tấn cơng có thể sử dụng để đánh lừa cả những người
chuyên nghiệp. Ngoài việc hướng dẫn khách hàng kiểm tra địa chỉ trang
web, các ngân hàng có thể sử dụng chứng chỉ EV, với loại chứng chỉ này,
tên ngân hàng sẽ hiển thị trên thanh địa chỉ. Tuy nhiên, các nhà nghiên c ứu
ở Đại học Stanford chỉ ra rằng kẻ tấn công dễ dàng lừa người dùng bằng
cách tạo một thanh địa chỉ giả mạo (tấn cơng “hình trong hình”). Liên minh
Xác thực FIDO đã đưa ra chu ẩn U2F và các token tuân theo chu ẩn này giúp
người dùng khỏi phải kiểm tra địa chỉ trang web mà vẫn có thể giao dịch an

tồn. Trình duyệt web của người dùng sẽ trực tiếp gửi địa chỉ trang web
đến cho thiết bị U2F và thiết bị U2F sẽ thay người dùng kiểm tra địa chỉ có
đúng hay khơng. Nói một cách đơn giản, với mỗi địa chỉ khác nhau thiết bị
U2F sẽ trả về một mã xác thực khác nhau, do đó, nếu người dùng bị lừa
truy cập địa chỉ , trang web này không thể lấy cấp mã
xác thực của vì đ ịa chỉ khác v ới
. Đây là m ột ưu điểm nổi bật của U2F so với các kiểu
xác thực bằng OTP truyền thống. Hơn thế, U2F có thể được cắm vào một
máy tính nhiễm mã độc mà mã đăng nhập vẫn được đảm bảo an toàn (tuy


nhiên, mã độc có thể gây ra nhiều vấn đề khác ngồi q trình xác th ực).
Do U2F sử dụng kết nối qua cổng USB, sóng NFC ho ặc Bluetooth nên nhà
cung cấp dịch vụ trực tuyến có thể tin tưởng rằng người dùng thực đang ở
ngay gần địa điểm đăng nhập chứ không như trường hợp tin tặc lừa người
dùng để lấy OTP và đăng nhập ở một địa điểm khác.
Khả năng chống phishing của U2F đã được chứng minh tại Google. Sau khi
triển khai thiết bị token bảo mật theo tiêu chuẩn U2F cho hơn 85 nghìn
nhân viên, Google không ghi nh ận bất kỳ trường hợp nào bị chiếm tài
khoản trong gần 2 năm. Kết quả nghiên cứu cho thấy thời gian đăng nhập
giảm được 2/3 vì người dùng chỉ cần nhấn vào nút bấm trên token thay cho
việc nhập một đoạn mã, số lỗi đăng nhập giảm xuống là 0, thời gian hỗ trợ
các vướng mắc của người dùng trong quá trình đăng nh ập giảm hàng ngàn
giờ, giúp Google tiết kiệm đáng kể chi phí.
Tuy giá của token U2F không r ẻ nhưng một token có thể dùng chung cho
nhiều dịch vụ khác nhau và các nhà cung c ấp dịch vụ trên mạng sẽ khơng
phải tốn tiền cho những khách hàng đã có token U2F. Dù có th ể dùng một
token U2F để xác thực cho nhiều dịch vụ khác nhau nhưng việc đánh mất
token U2F không làm l ộ bất kỳ tài khoản nào. Chủ tài khoản chỉ cần xóa nó
khỏi danh sách thiết bị xác thực đăng ký với dịch vụ trực tuyến. Người

nhặt được token U2F khơng thể biết nó được liên kết với các tài khoản nào
và thậm chí có thể dùng ngay token đó để bảo vệ các tài khoản của mình.
Hơn thế, vì U2F là chuẩn mở nên khi các công ty s ản xuất token U2F ngày
càng nhiều thêm thì giá cả sẽ giảm thêm. Ngay tại Việt Nam, cũng đã có
đơn vị sản xuất token U2F. Tháng 8/2018, Liên minh Xác th ực FIDO
(FIDO Alliance) có tr ụ sở tại bang California, Hoa K ỳ, đã cấp chứng nhận
cho sản phẩm KeyPass U2F Token c ủa Cơng ty Cổ phần Tập đồn MK (MK
Group) đạt tiêu chuẩn U2F.
WebAuthn và xác thực không dùng mật khẩu
Ngày 20/11/2018, Microsoft thông báo r ằng 800 triệu chủ tài khoản
Microsoft có thể đăng nhập vào các dịch vụ như Outlook, Office, Skype và
Xbox Live mà không c ần mật khẩu. Thơng báo này là một phần của q
trình tăng tốc để tiến tới một thế giới mạng không dùng mật khẩu, trong
một năm mà Mozilla Firefox, Google Chrome và Microsoft Edge đ ều triển


khai hỗ trợ công nghệ xác thực chủ chốt WebAuthn.
Một trong những lý do khiến mật khẩu tồn tại trong một thời gian rất dài là
nó cực kỳ dễ hiểu. Trong khi đó, xác thực khơng mật khẩu hoạt động theo
một cách khác, khơng dễ để hình dung và đi kèm v ới một loạt các thuật ngữ
và tiêu chuẩn mới như FIDO2, WebAuthn và CTAP. Hơn th ế, nó rất dễ bị
hiểu nhầm, nhất là với những người đã quen với việc sử dụng mật khẩu. Họ
nghĩ rằng nếu sử dụng vân tay để đăng nhập vào một trang web nghĩa là
chia sẻ dữ liệu vân tay với trang web đó (trong khi đi ều này hồn tồn
khơng xảy ra). Vì thế, họ nghĩ rằng, tuy mật khẩu dễ bị lộ, nhưng ít nhất
vẫn có thể thay đổi được (trong khi không thể thay đổi vân tay).
Để giải mã câu chuyện hoang đường này, hãy cùng xem xét v ấn đề một
cách cụ thể. Khi bạn đăng ký với một website, bạn phải báo cho nó biết bạn
dùng tên đăng nhập nào và chọn mật khẩu là gì. Và một khi bạn đã chia sẻ
mật khẩu với website, bạn buộc phải tin rằng nó sẽ lưu trữ mật khẩu của

mình theo cách an tồn. Ngư ời dùng khơng có cách nào ki ểm soát được
cách quản lý mật khẩu của nhà cung cấp dịch vụ. Và thực tế họ thực hiện
điều đó thế nào thì những ai chịu khó theo dõi tin tức đều đã biết rằng, các
vụ để lộ mật khẩu của người dùng liên tiếp xảy ra, kể cả với những cơng ty
lớn và có danh tiếng. Trong khi đó, v ới xác thực khơng dùng mật khẩu,
người dùng không phải chia sẻ mật khẩu hay bất kỳ thơng tin bí m ật nào
với các website. Vì kỹ thuật này sử dụng mã hóa khóa cơng khai v ới một
cặp khóa thì khóa bí m ật do người dùng giữ và các website cung cấp dịch
vụ chỉ nhận được khóa cơng khai. Vì khóa cơng khai khơng c ần giữ bí mật
nên người dùng sẽ khơng phải lo ngại việc website có giữ nó an tồn
khơng, khơng lo b ị lộ do các sự cố an toàn thơng tin và th ậm chí có thể
thoải mái mang theo nó đi b ất cứ đâu. Người dùng xác thực bản thân bằng
cách dùng khóa bí mật để mã hóa một số ngẫu nhiên có giá trị rất lớn do
website gửi tới. Website giải mã kết quả nhận được bằng khóa cơng khai và
nếu kết quả của q trình giải mã trùng với giá trị nó gửi tới người dùng
thì nhà cung cấp dịch vụ có thể tin rằng người dùng đăng nhập chính là chủ
sở hữu của khóa bí mật.
Tất nhiên, đó mới là lý thuyết. Cịn trên thực tế, chúng ta sẽ cần tới một
Authenticator để tạo và lưu trữ các khóa, cùng với một tập các quy tắc cho
phép máy tính, trình duy ệt và các website trao đổi thơng tin và thực hiện
q trình xác thực. WebAuthn chính là tập các quy tắc đó, là giao diện lập


trình ứng dụng mà các website và các trình duy ệt sử dụng để xác thực với
mã hóa khóa cơng khai thay cho m ật khẩu. Tất cả các trình duyệt chính
trên thị trường đã biết cách làm việc với WebAuthn, việc còn lại là những
người chủ các website thay đổi mã lệnh của họ. Thay vì đưa ra bi ểu mẫu
đăng nhập với tên người dùng và mật khẩu, các website có th ể xác thực
người dùng bằng mã lệnh JavaScript nhúng trong các trang web. Đo ạn mã
đó dùng WebAuthn API đ ể yêu cầu trình duyệt tạo thông tin đăng nh ập khi

người dùng muốn đăng ký dịch vụ hay nhận thông tin đăng nh ập khi người
dùng cần truy cập dịch vụ. Tuy mã lệnh JavaScript được tải xuống cùng với
trang web và chạy trên trình duyệt của người dùng nhưng nó vẫn được coi
là một phần của website nên nó khơng đư ợc tin cậy (cho phép truy xuất
khóa bí mật hay bất kỳ thơng tin bí mật nào khác của người dùng). Thay
vào đó, mã lệnh JavaScript sẽ đóng vai trị đứng giữa, u cầu trình duyệt
thực hiện các thao tác bí m ật và sau đó, chuyển thơng tin qua l ại giữa trình
duyệt và máy chủ web. Bản thân trình duyệt cũng chỉ nhận các yêu cầu chứ
không thực sự xử lý các thao tác đó. Authenticator m ới chính là nơi thực
hiện các thao tác bí mật.
Theo thiết kế, website mà bạn đăng nhập/đăng ký sử dụng dịch vụ không
cần biết và khơng quan tâm việc người dùng lưu giữ khóa bí mật của họ
như thế nào. Người dùng có thể sử dụng bất cứ thứ gì phù hợp với mình, đó
có thể là cơng cụ được dựng sẵn trong hệ điều hành, chẳng hạn như tính
năng nhận diện khn mặt Microsoft Windows Hello, hay m ột
authenticator từ xa như điện thoại di động hay một thiết bị bảo mật.
Để hỗ trợ nhiều loại hình authenticator từ xa khác nhau, những nhà cung
cấp chính cần thống nhất về một tập luật cách các trình duyệt và các
authenticator nói chuyện với nhau. Tập luật đó sẽ giúp các trình duyệt
khơng phải biết hay quan tâm đ ến các kiểu authenticator khác nhau, các
nhà sản xuất hay các phiên b ản khác nhau, do đó, cho phép các cơng ty
cung cấp các giải pháp xác thực mới tham gia vào thị trường. Tập luật đó
có tên là CTAP (Client to Aut henticator Protocol), định nghĩa cách một
clien như trình duy ệt nói chuyện với một authenticator từ xa qua cổng
USB, Bluetooth hay NFC (Near -field Communication).


Authenticator cung cấp dịch vụ mật mã học cho toàn bộ giao dịch, sinh và
lưu trữ khóa của người sử dụng, mã hóa dữ liệu kiểm tra mà website gửi tới
cho trình duyệt. Và điều tối quan trọng là authenticator ph ải xin phép

người dùng trước khi thực hiện các thao tác đó. Chẳng hạn như khi người
dùng đăng nhập vào một website bằng dấu vân tay. Khi bạn truy cập
website, trình duy ệt sẽ yêu cầu trang đăng nhập. Mã lệnh của trang đăng


nhập sử dụng API của WebAuthn API để yêu cầu trình duyệt ký một thơng
tin kiểm tra bằng khóa bí mật của người dùng. Trình duyệt chuyển thơng
tin đó tới authenticator và nó s ẽ đề nghị người dùng cấp quyền ký, người
dùng chấp thuận bằng việc đặt ngón tay vào thi ết bị đọc vân tay.
Authenticator kiểm tra thấy vân tay đúng là c ủa bạn và ký thông tin kiểm
tra rồi gửi lại dữ liệu mã hóa cho trình duyệt để chuyển tiếp cho mã lệnh
JavaScript, từ đó, dữ liệu mã hóa lại được gửi đến máy chủ của website.
Máy chủ giải mã bằng khóa cơng khai mà ngư ời dùng đã cung c ấp khi đăng
ký dịch vụ và xác nhận người dùng là hợp lệ.
Tuy các cơng việc hậu trường của q trình này phức tạp hơn rất nhiều so
với việc gửi mật khẩu tới cho website nhưng ngư ời dùng khơng c ần làm gì.
Họ khơng phải gõ hay nhớ một thứ gì. Họ chứng minh tư cách sử dụng dịch
vụ của mình mà khơng phải lộ bất cứ thơng tin bí mật nào và có thể thoải
mái chuyển sang sử dụng một loại authenticator m ới, an tồn hơn và thậm
chí khơng dùng đến vân tay nữa.
Xác thực người dùng dịch vụ ngân hàng điện tử tại Việt Nam
Ngay từ ngày 31/3/2017, Ngân hàng Nhà nước đã ban hành quy ết định số
630/QĐ-NHNN về kế hoạch áp dụng giải pháp về an toàn bảo mật trong
thanh toán trực tuyến và thanh toán th ẻ ngân hàng. Theo đó, các giao d ịch
được phân loại và phải áp dụng giải pháp xác thực tối thiểu căn cứ theo
phân loại; OTP gửi qua SMS chỉ có thể dùng cho các giao dịch loại B còn
các giao dịch cao cấp hơn (loại C và loại D) sẽ phải xác thực bằng Soft
OTP/Token OTP ho ặc thiết bị U2F/UAF,...
Để tuân thủ các quy định của Ngân hàng Nhà nư ớc, ngày 01/7 vừa qua,
nhiều ngân hàng như BIDV, Vietcombank, VPBank đã chuy ển đổi bắt buộc

phương thức xác thực chuyển khoản trực tuyến đối với khách hàng cá nhân
có hạn mức lớn và với khách hàng doanh nghi ệp. Soft OTP (hay Smart OTP
- theo cách đặt tên của một số ngân hàng) giúp ngân hàng đảm bảo an tồn
giao dịch mà khơng phải phụ thuộc vào khả năng kiểm soát SIM của các
nhà mạng nhưng mức độ an tồn của nó có lẽ vẫn cịn là một dấu hỏi. Thuật
tốn sinh số ngẫu nhiên của họ có tốt không, ứng dụng di động của họ đã
được chống dịch ngược chưa, đã kiểm tra tính tồn v ẹn của hệ điều hành di
động chưa (chống root/jail break), h ọ lưu các thông tin quan tr ọng phục vụ
việc sinh OTP ở đâu,... Nếu không làm tốt các khâu đó và để mã xác thực


bị tin tặc đọc được một cách tự động/tìm ra cách sinh OTP, So ft OTP hồn
tồn có thể bị biến thành “No OTP” và khi ến cho độ an toàn của các giao
dịch ngân hàng trực tuyến giảm đi.

Để tránh việc phải tự đảm bảo/kiểm tra mức độ an tồn của Soft OTP, các
ngân hàng có thể tìm hiểu và áp dụng các kỹ thuật xác thực mới như U2F
hay WebAuthn từ các nhà cung cấp tin cậy. Trước đây, chủ các website cịn
phải đắn đo về chi phí mua token U2F cho khách hàng và lo ng ại việc các
nhà cung ứng dịch vụ khác có thể sử dụng token đó miễn phí. Nhưng đ ến
nay, với việc những chiếc điện thoại Android chạy phiên bản 7.0 trở lên có
thể được dùng như một token U2F độc lập thì khả năng ứng dụng U2F đã
tăng lên rất nhiều, với chi phí gần như bằng khơng (vì hầu hết khách hàng
sử dụng dịch vụ internet banking đều đã sử dụng điện thoại thông minh đời
mới). Khách hàng s ử dụng Windows 10 có thể dùng Windows Hello để xác
thực bằng tính năng nh ận diện khn mặt, mống mắt hoặc vân tay một cách
an toàn, tiện lợi và việc cung cấp tính năng xác thực cao cấp cho khách
hàng VIP sẽ giúp họ giao dịch một cách tự tin hơn đồng thời nâng cao hình
ảnh của ngân hàng trong m ắt những khách hàng “giá tr ị cao” này.


Tài liệu tham khảo:
-
-
-
-
-


- .