Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật khẩu sử dụng một lần (OTP) và ứng dụng trong giao dịch trực tuyến



Hiện nay, khi mạng Internet đã được mở rộng thì nhu cầu sử dụng các dịch vụ, trao đổi thông tin, dữ liệu của người dùng qua mạng cũng tăng lên, và trở thành vấn đề cần được quan tâm và đáp ứng. Tuy nhiên, bên cạnh những lợi ích mà Internetmang lại cũng tiềm ẩn những hiểm họa và nguy cơ mất an toàn như tài khoản ngân hàng của cá nhân, tài khoản thanh toán giao dịch trực tuyến,...có thể bị đánh cắp và sử dụng vào mục đích bất hợp pháp. Chính vì vậy, có rất nhiều giải pháp nhằm đảm bảo an toàn cho thông tin của người sử dụng được triển khai và thiết lập, như quản lý tài khoản người dùng thông qua Username và Password, xác thực khi truy cập sử dụng dịch vụ, một số giải pháp bảo vệ hệ thống Web như sử dụng hệ thống phát hiện xâm nhập, tường lửa để ngăn chặn và cảnh báo truy cập trái phép vào hệ thống, các công cụ quét và phát hiện mã độc hại tiềm ẩn trên các Website,... trong đó thì phương pháp xác thực người dùng khi sử dụng một dịch vụ trên mạng là một điều quan trọng, nó giúp đảm bảo an toàn cho hệ thống cũng như đảm bảo thông tin riêng cho người dùng.

Đối với phương pháp xác thực phổ biến là sử dụng tài khoản đăng nhập của người dùng gồm Usernamevà Password đã bộc lộ những điểm yếu khi có thể bị đánh cắp trong trường hợp máy tính của người dùng bị cài đặt các phần mềm, chương trình có khả năng ăn cắp dữ liệu, hay trong quá trình trao đổi thông tin qua mạng bị nghe lén trên đường truyền, bị chuyển hướng đến trang Web chứa mã độc hại và bị lừa đảo chiếm mất tài khoản. Để đảm bảo an toàn hơn cho người dùng, tránh được các nguy cơ mất an toàn thông tin đó, các nhà cung cấp dịch vụ đã áp dụng những phương pháp xác thực mạnh hơn khi kết hợp các yếu tố có được từ người dùng như Username, Password, mã PIN, đặc điểm sinh trắc học,...Trong đó, phương pháp xác thực hai nhân tố với mật khẩu sử dụng một lần (OTP) kết hợp thông tin về Username, Password của người dùng hiện đang được áp dụng phổ biến trong các giao dịch ngân hàng trực tuyến, mua sắm, thanh toán giao dịch trực tuyến trên các Website thương mại điện tử.

Mật khẩu OTP được áp dụng giúp nâng cao an toàn cho người dùng và cho hệ thống trong quá trình xác thực trước khi sử dụng và cung cấp các dịch vụ.

Mật khẩu OTP rất linh hoạt, thuận tiện cho người dùng khi nó có thể được gửi thông qua tin nhắn SMS tới số điện thoại di động, Email của người dùng, hay thông qua các thiết bị phần cứng như Token sinh OTP trong quá trình xác thực các giao dịch quan trọng như ngân hàng, thanh toán trực tuyến.

Trong quá trình thực hiện làm luận văn tốt nghiệp tôi thực hiện nghiên cứu đề tài "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật khẩu sử dụng một lần (OTP) và ứng dụng trong giao dịch trực tuyến", đây là đề tài có ý nghĩa thiết thực khi nghiên cứu về các cơ chế sinh mật khẩu OTP, các phương pháp phân phối, ứng dụng của mật khẩu OTP trong thực tế hiện nay. Thông qua đó có thể hiểu rõ hơn lý do vì sao mật khẩu OTP được áp dụng là giải pháp nhằm nâng cao độ an toàn, tin cậy trong quá trình xác thực người dùng khi truy cập, sử dụng các dịch vụ, tài nguyên và các giao dịch trực tuyến.


NỘI DUNG:

CHƯƠNG 1. TỔNG QUAN VỀ XÁC THỰC ................................................ 4
1.1. Khái niệm xác thực.................................................................................... 4
1.2. Các yếu tố xác thực.................................................................................... 4
1.3. Một số phương pháp xác thực .................................................................. 5
1.3.1 Xác thực dựa trên định danh người sử dụng (Username) và mật
khẩu (Password) ................................................................................................. 5
1.3.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake
Authentication Protocol – CHAP) ...................................................................... 6
1.3.3 Xác thực Kerberos ............................................................................ 6
1.3.4 Xác thực sử dụng token ..................................................................... 7
1.3.5 Xác thực áp dụng các phương pháp nhận dạng sinh trắc học
(Biometrics) ....................................................................................................... 7
1.3.6 Phương thức xác thực lẫn nhau (Mutual Authentication) ................... 8
1.3.7 Xác thực đa yếu tố ............................................................................. 8
CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU
MỘT LẦN (OTP) ........................................................................................... 10
2.1 Giới thiệu về mật khẩu OTP .................................................................... 10
2.1.1 Khái niệm mật khẩu OTP ................................................................ 10
2.1.2 Mục đích và ý nghĩa của mật khẩu OTP .......................................... 10
2.1.3 Yêu cầu đối với mật khẩu OTP ........................................................ 12
2.1.4 Phân loại cơ chế sử dụng mật khẩu OTP.......................................... 12
2.2 Xác thực với otp được sinh ở phía claimant ........................................... 13
2.3 Xác thực với OTP được sinh ở cả hai phía.............................................. 16
2.3.1 Sinh OTP dựa trên việc đồng bộ bộ đếm.......................................... 16
2.3.2 Sinh OTP dựa trên việc đồng bộ thời gian ....................................... 20
2.4 Xác thực với OTP được sinh ở phía verifier ........................................... 24
2.4.1 Sơ đồ tổng thể của xác thực với OTP được sinh ở phía verifier ....... 24
2.4.2 Sinh số ngẫu nhiên theo NIST SP 800-90A ..................................... 25
2.4.3 Phương pháp phân phối OTP ........................................................... 29
2.5 Một số ứng dụng OTP trong thực tế hiện nay ........................................ 32
2.5.1 Ứng dụng OTP trong giao dịch ngân hàng ....................................... 32
2.5.2. Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến........................ 35
CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC
TẬP TRỰC TUYẾN ...................................................................................... 42
3.1.Đặt vấn đề ................................................................................................. 42
3.2. Ứng dụng mật khẩu OTP cho hệ thống học tập trực tuyến. ................. 43
3.2.1 Thuật toán TOTP: ............................................................................ 43
3.2.2. Ứng dụng OTP cho việc xác thực tài khoản trong học tập trực
tuyến ................................................................................................................ 44
3.3. Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập
trực tuyến........................................................................................................ 46
3.3.1. Mô tả hoạt động của hệ thống học tập trực tuyến sử dụng
mật khẩu OTP ................................................................................................ 46
3.3.2. Cài đặt chương trình ....................................................................... 47
3.3.3. Kết quả thử nghiệm ........................................................................ 47
3.3.4. Đánh giá ......................................................................................... 49
KẾT LUẬN VÀ KIẾN NGHỊ ........................................................................ 51
1. Kết luận................................................................................................ 51
2. Kiến nghị .............................................................................................. 51
3. Hướng phát triển của đề tài ................................................................ 51
TÀI LIỆU THAM KHẢO.............................................................................. 52


LINK DOWNLOAD



Hiện nay, khi mạng Internet đã được mở rộng thì nhu cầu sử dụng các dịch vụ, trao đổi thông tin, dữ liệu của người dùng qua mạng cũng tăng lên, và trở thành vấn đề cần được quan tâm và đáp ứng. Tuy nhiên, bên cạnh những lợi ích mà Internetmang lại cũng tiềm ẩn những hiểm họa và nguy cơ mất an toàn như tài khoản ngân hàng của cá nhân, tài khoản thanh toán giao dịch trực tuyến,...có thể bị đánh cắp và sử dụng vào mục đích bất hợp pháp. Chính vì vậy, có rất nhiều giải pháp nhằm đảm bảo an toàn cho thông tin của người sử dụng được triển khai và thiết lập, như quản lý tài khoản người dùng thông qua Username và Password, xác thực khi truy cập sử dụng dịch vụ, một số giải pháp bảo vệ hệ thống Web như sử dụng hệ thống phát hiện xâm nhập, tường lửa để ngăn chặn và cảnh báo truy cập trái phép vào hệ thống, các công cụ quét và phát hiện mã độc hại tiềm ẩn trên các Website,... trong đó thì phương pháp xác thực người dùng khi sử dụng một dịch vụ trên mạng là một điều quan trọng, nó giúp đảm bảo an toàn cho hệ thống cũng như đảm bảo thông tin riêng cho người dùng.

Đối với phương pháp xác thực phổ biến là sử dụng tài khoản đăng nhập của người dùng gồm Usernamevà Password đã bộc lộ những điểm yếu khi có thể bị đánh cắp trong trường hợp máy tính của người dùng bị cài đặt các phần mềm, chương trình có khả năng ăn cắp dữ liệu, hay trong quá trình trao đổi thông tin qua mạng bị nghe lén trên đường truyền, bị chuyển hướng đến trang Web chứa mã độc hại và bị lừa đảo chiếm mất tài khoản. Để đảm bảo an toàn hơn cho người dùng, tránh được các nguy cơ mất an toàn thông tin đó, các nhà cung cấp dịch vụ đã áp dụng những phương pháp xác thực mạnh hơn khi kết hợp các yếu tố có được từ người dùng như Username, Password, mã PIN, đặc điểm sinh trắc học,...Trong đó, phương pháp xác thực hai nhân tố với mật khẩu sử dụng một lần (OTP) kết hợp thông tin về Username, Password của người dùng hiện đang được áp dụng phổ biến trong các giao dịch ngân hàng trực tuyến, mua sắm, thanh toán giao dịch trực tuyến trên các Website thương mại điện tử.

Mật khẩu OTP được áp dụng giúp nâng cao an toàn cho người dùng và cho hệ thống trong quá trình xác thực trước khi sử dụng và cung cấp các dịch vụ.

Mật khẩu OTP rất linh hoạt, thuận tiện cho người dùng khi nó có thể được gửi thông qua tin nhắn SMS tới số điện thoại di động, Email của người dùng, hay thông qua các thiết bị phần cứng như Token sinh OTP trong quá trình xác thực các giao dịch quan trọng như ngân hàng, thanh toán trực tuyến.

Trong quá trình thực hiện làm luận văn tốt nghiệp tôi thực hiện nghiên cứu đề tài "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật khẩu sử dụng một lần (OTP) và ứng dụng trong giao dịch trực tuyến", đây là đề tài có ý nghĩa thiết thực khi nghiên cứu về các cơ chế sinh mật khẩu OTP, các phương pháp phân phối, ứng dụng của mật khẩu OTP trong thực tế hiện nay. Thông qua đó có thể hiểu rõ hơn lý do vì sao mật khẩu OTP được áp dụng là giải pháp nhằm nâng cao độ an toàn, tin cậy trong quá trình xác thực người dùng khi truy cập, sử dụng các dịch vụ, tài nguyên và các giao dịch trực tuyến.


NỘI DUNG:

CHƯƠNG 1. TỔNG QUAN VỀ XÁC THỰC ................................................ 4
1.1. Khái niệm xác thực.................................................................................... 4
1.2. Các yếu tố xác thực.................................................................................... 4
1.3. Một số phương pháp xác thực .................................................................. 5
1.3.1 Xác thực dựa trên định danh người sử dụng (Username) và mật
khẩu (Password) ................................................................................................. 5
1.3.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake
Authentication Protocol – CHAP) ...................................................................... 6
1.3.3 Xác thực Kerberos ............................................................................ 6
1.3.4 Xác thực sử dụng token ..................................................................... 7
1.3.5 Xác thực áp dụng các phương pháp nhận dạng sinh trắc học
(Biometrics) ....................................................................................................... 7
1.3.6 Phương thức xác thực lẫn nhau (Mutual Authentication) ................... 8
1.3.7 Xác thực đa yếu tố ............................................................................. 8
CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU
MỘT LẦN (OTP) ........................................................................................... 10
2.1 Giới thiệu về mật khẩu OTP .................................................................... 10
2.1.1 Khái niệm mật khẩu OTP ................................................................ 10
2.1.2 Mục đích và ý nghĩa của mật khẩu OTP .......................................... 10
2.1.3 Yêu cầu đối với mật khẩu OTP ........................................................ 12
2.1.4 Phân loại cơ chế sử dụng mật khẩu OTP.......................................... 12
2.2 Xác thực với otp được sinh ở phía claimant ........................................... 13
2.3 Xác thực với OTP được sinh ở cả hai phía.............................................. 16
2.3.1 Sinh OTP dựa trên việc đồng bộ bộ đếm.......................................... 16
2.3.2 Sinh OTP dựa trên việc đồng bộ thời gian ....................................... 20
2.4 Xác thực với OTP được sinh ở phía verifier ........................................... 24
2.4.1 Sơ đồ tổng thể của xác thực với OTP được sinh ở phía verifier ....... 24
2.4.2 Sinh số ngẫu nhiên theo NIST SP 800-90A ..................................... 25
2.4.3 Phương pháp phân phối OTP ........................................................... 29
2.5 Một số ứng dụng OTP trong thực tế hiện nay ........................................ 32
2.5.1 Ứng dụng OTP trong giao dịch ngân hàng ....................................... 32
2.5.2. Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến........................ 35
CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC
TẬP TRỰC TUYẾN ...................................................................................... 42
3.1.Đặt vấn đề ................................................................................................. 42
3.2. Ứng dụng mật khẩu OTP cho hệ thống học tập trực tuyến. ................. 43
3.2.1 Thuật toán TOTP: ............................................................................ 43
3.2.2. Ứng dụng OTP cho việc xác thực tài khoản trong học tập trực
tuyến ................................................................................................................ 44
3.3. Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập
trực tuyến........................................................................................................ 46
3.3.1. Mô tả hoạt động của hệ thống học tập trực tuyến sử dụng
mật khẩu OTP ................................................................................................ 46
3.3.2. Cài đặt chương trình ....................................................................... 47
3.3.3. Kết quả thử nghiệm ........................................................................ 47
3.3.4. Đánh giá ......................................................................................... 49
KẾT LUẬN VÀ KIẾN NGHỊ ........................................................................ 51
1. Kết luận................................................................................................ 51
2. Kiến nghị .............................................................................................. 51
3. Hướng phát triển của đề tài ................................................................ 51
TÀI LIỆU THAM KHẢO.............................................................................. 52


LINK DOWNLOAD

M_tả
M_tả

Không có nhận xét nào: