Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Secure Internet Banking Authentication?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • #16
    Originally posted by thanhdanh7604 View Post
    Các anh Bình luận khá hay, nhưng mình thấy khi học microsoft thì các hệ thống rất đề cao việc " certificate Authority" , nhưng trong thực tế kể cả hệ thống mạng nội bộ của Ngân Hàng và các cty chứng khoán cũng không dùng đến. Học xong rồi để đó và nghiên cứu thêm, các anh IT làm hệ thống lớn hình như rất sợ trách nhiệm và phiền hà, có lẽ cái này phài tùy thuộc vào Sếp quản lý. 1 Chút ý kiến
    Có lẽ bạn nói đúng, vì việc triển khai cái CA này tương đối phức tạp và đòi hỏi người quản trị Hệ Thống phải hiểu sâu về CA. Nhưng thực sự mà nói, Khi đi học ở các trung tâm đào tạo CNTT hiện này hầu như ít nói đến cái CA này, Nếu có nói cũng sơ sài ko sâu và thực hành thì cũng chỉ setup cái CA của MS lên rồi cấp chứng nhận gì đó rồi xong mà ít ai sử dụng Smart Card or Token v..v và sử dụng chứng nhận của 1 hãng khác . Chẳng có cái trung tâm nào dạy kỹ về cái này . Còn về các Ngân hàng thì có 1 số sử dụng CA nhưng toàn là CA có sẵn trên Windows server .
    Lúc trước tôi cũng từng triển khai cái CA này cho 1 Ngân Hàng sử dụng Smart Card sử dụng CA có sẵn của MS , nhưng khi nó die hoặc error thì cũng mệt mỏi....
    Tốt nhất sử dụng One time Password cái này cũng rất good !!!!

    Comment


    • #17
      Originally posted by welcome View Post
      Có lẽ bạn nói đúng, vì việc triển khai cái CA này tương đối phức tạp và đòi hỏi người quản trị Hệ Thống phải hiểu sâu về CA. Nhưng thực sự mà nói, Khi đi học ở các trung tâm đào tạo CNTT hiện này hầu như ít nói đến cái CA này, Nếu có nói cũng sơ sài ko sâu và thực hành thì cũng chỉ setup cái CA của MS lên rồi cấp chứng nhận gì đó rồi xong mà ít ai sử dụng Smart Card or Token v..v và sử dụng chứng nhận của 1 hãng khác . Chẳng có cái trung tâm nào dạy kỹ về cái này . Còn về các Ngân hàng thì có 1 số sử dụng CA nhưng toàn là CA có sẵn trên Windows server .
      Lúc trước tôi cũng từng triển khai cái CA này cho 1 Ngân Hàng sử dụng Smart Card sử dụng CA có sẵn của MS , nhưng khi nó die hoặc error thì cũng mệt mỏi....
      Tốt nhất sử dụng One time Password cái này cũng rất good !!!!
      PKI (mà CA là thành phần chính) trên lý thuyết là 1 hệ thống rất tốt phục vụ hoàn hảo cho các mục đích:
      - Xác thực người sử dụng
      - Xác thực giao dịch
      - Đảm bảo toàn vẹn thông tin dữ liệu
      - Chống từ chối.

      Vì thế các nước có xu hướng sử dụng CA cho e-gov, trading online, internet banking, etc.

      Tuy vậy, điểm yếu của CA cũng ko phải ít:
      - Quy trình triển khai phức tạp, đặc biệt là trên diện rộng do liên quan đến vđề cấp phát, báo hỏng, mất, thu hồi, quản lý vòng đời, khiếu nại, v.v.
      - Các ứng dụng sẵn sàng cho PKI ko nhiều (gọi là PKI enable).
      - Ko phải là giải pháp zero foot-print (như 2FA), gây bất tiện cho người sử dụng. Nếu lưu tại máy tính của người sử dụng thì độ an ninh rất thấp, lại mất đi tính di động. Nếu lưu vào các thiết bị bảo mật như smartcard/usb token thì cần phải có đầu đọc hay cài driver mới có thể sử dụng đc.
      - Cuối cùng là nhận thức và tính sẵn sàng của người triển khai cũng như người sử dụng. Ở đây có bác nào có thể giải thích 1 cách rõ ràng và dễ hiểu cách thức "ký" vào form hay giao dịch cho người dùng cuối ko? khó lắm bác ợ.

      Comment


      • #18
        Originally posted by one2two View Post

        Còn sử dụng vân tay hay mống mắt cho One factor authen thì ok.

        Tuy nhiên với tội phạm công nghệ cao (xem trên phim ảnh) cả vân tay và mống mắt đều làm giả được.

        :)
        Cái này là mấu chốt đó bác ơi. Yếu tố sinh trắc học mà bị làm giả thì hệ thống bị break/compromise luôn. Vì người sử dụng đâu có thể thay thế bằng vân tay hay mống mắt khác? :)

        Vì thế các hệ thống xác thực hiện tại vẫn chỉ là 2 yếu tố (2FA). Mà yếu tố thứ 2 (something you have) cần phải đáp ứng các y/c sau:
        - Không sao chép, nhân bản được (1 cách tương đối).
        - Có thể thay thế đc.

        Comment


        • #19
          theo mình nghĩ thì đế secure thì nên kết hợp cả 3, some thing you know, some thing you have, some thing you are. vài dòng chia sẻ, nếu có gì sai sót xin bỏ quá cho. :106:

          Comment


          • #20
            các pro làm ơn có thể giới thiệu cho em về phương pháp bảo mật one time password được không ạ?em đang nghiên cứu về Internet Banking, định bảo mật bằng phương pháp OTP nhưng ít tài liệu quá!
            Thanks các bác nhiều!!!!!!!!!!!

            Comment


            • #21
              Dùng pass + token đi bạn.

              Comment


              • #22
                Originally posted by security_plus View Post
                Các bác cứ coi như đây là một câu hỏi trong đề thi. Mà đề thi thì bắt buộc phải chọn phương án rồi :)

                Nhận dạng bằng vân tay thì ok rồi. Nhưng em có một ý muốn hỏi là dùng vân tay có gì bất lợi ạ? :)
                Theo mình thì nếu xác thực bằng vân tay - nếu chẳng may trong quá trình làm việc và lao động nếu bị tổn thương bị trầy ... phần ngón tay dùng xác thực thì coi như xong ko thể access vào đc ! Ko biết đúng ko ? Bác Secu cho ý kiến !

                Comment


                • #23
                  Originally posted by anonymous View Post
                  Theo mình thì nếu xác thực bằng vân tay - nếu chẳng may trong quá trình làm việc và lao động nếu bị tổn thương bị trầy ... phần ngón tay dùng xác thực thì coi như xong ko thể access vào đc ! Ko biết đúng ko ? Bác Secu cho ý kiến !
                  À, lâu rồi quên mất cái topic này :)

                  Lúc trước có dùng nhưng thấy mấy anh kỹ thuật mồ hôi (tay) nhiều nên đưa vào máy quét nó thường báo lỗi, bẩn/dơ chỗ quét. Đây không hẳn là một bất lợi, có lẽ mình đã dùng từ sai :)
                  Update in progress, Please wait ...

                  Comment

                  Working...
                  X