Authentication (chứng thực) là quá trình xác minh một thực thể có đúng là nó như nó tự nhận hay không. Trong môi trường wireless network, chứng thực dùng để đảm bảo rằng người dùng hoặc thiết bị muốn truy cập thật sự là đối tượng hợp lệ.

---

Các yếu tố chứng thực (Factors of Authentication)


Xác minh danh tính thường dựa trên một hoặc nhiều yếu tố sau:

1. Something you know – Điều bạn biết
   Ví dụ: mật khẩu, PIN, câu hỏi bảo mật.
   Đây là phương thức phổ biến nhất, nhưng dễ gặp rủi ro: người dùng quên mật khẩu, ghi ra giấy hoặc bị lộ qua tấn công phishing/brute-force.
2. Something you have – Điều bạn sở hữu
   Ví dụ: smartcard, token, thiết bị OTP, điện thoại có app xác thực (Google Authenticator, Duo…).
   Ưu điểm: không bị quên. Nhược điểm: dễ bị mất, đánh cắp, hoặc sao chép.
3. Something you are – Điều bạn là (yếu tố sinh trắc học)
   Ví dụ: vân tay, mống mắt, khuôn mặt, giọng nói.
   Đây là yếu tố duy nhất và khó giả mạo, nhưng yêu cầu cảm biến vật lý và có thể gây bất tiện trong môi trường Wi-Fi (dù lại rất hữu ích khi xác thực máy móc hoặc thiết bị chuyên dụng).
4. Something you do – Hành vi hoặc đặc điểm hành động
   Ví dụ: cách gõ bàn phím, cách di chuyển chuột.
   Đây là yếu tố mới, thường dùng kết hợp trong behavioral authentication.

Trong thực tế, nhiều hệ thống hiện đại sử dụng multi-factor authentication (MFA) – kết hợp từ 2 yếu tố trở lên (ví dụ: mật khẩu + token OTP, hoặc smartcard + vân tay) để tăng cường bảo mật.

---

User Authentication vs. Device Authentication


Trong môi trường bảo mật, không chỉ người dùng mà cả thiết bị truy cập cũng cần được xác thực:

• User Authentication:
  Chứng thực dựa trên danh tính người dùng (username/password, certificate, MFA).
  Đây là cách phổ biến để đảm bảo đúng cá nhân được phép truy cập tài nguyên.
• Device Authentication:
  Chứng thực dựa trên đặc điểm phần cứng hoặc định danh thiết bị (ví dụ: MAC address, certificate gắn với TPM chip).
  Thiết bị có thể thực hiện trao đổi thuật toán để chứng minh sự hiện diện của một giá trị bí mật.

⚠️ Hạn chế: Device authentication không xác minh được ai đang sử dụng thiết bị. Nếu laptop bị đánh cắp, kẻ tấn công có thể truy cập bằng chính thiết bị đó. Vì vậy, lưu trữ mật khẩu cá nhân trên máy tính/laptop là cực kỳ nguy hiểm.

---

Authentication trong kiến trúc mạng


Chứng thực có thể diễn ra tại nhiều lớp trong hệ thống:

• Layer 2 Authentication:
  Xảy ra tại switch hoặc Access Point (ví dụ: 802.1X với EAP).
  Người dùng/thiết bị phải xác thực trước khi có thể tham gia mạng.
• Layer 3 Authentication:
  Diễn ra khi thiết bị đã có kết nối IP, dùng cơ chế như web portal, VPN authentication.
  Phù hợp cho các môi trường yêu cầu xác thực ứng dụng hoặc truy cập từ xa.

Tóm tắt


Authentication là nền tảng của mọi hệ thống bảo mật mạng. Trong Wi-Fi, nó không chỉ ngăn chặn truy cập trái phép mà còn đảm bảo tính toàn vẹn của hệ thống.
Các kỹ sư mạng cần lưu ý:

• Tránh phụ thuộc duy nhất vào password-based authentication.
• Ưu tiên triển khai MFA.
• Kết hợp cả user authentication và device authentication để đảm bảo vừa xác minh được “thiết bị nào” vừa xác minh được “ai đang dùng thiết bị đó”.
• Luôn xác định lớp (L2 hay L3) phù hợp để triển khai authentication theo yêu cầu bảo mật của tổ chức.

​