Khi triển khai kết nối VPN từ client đến server (ví dụ: truy cập từ xa vào hệ thống công ty), một trong những thành phần then chốt đảm bảo an toàn chính là giao thức xác thực (authentication protocol).

Vậy có những loại xác thực nào? Đâu là lựa chọn nên tránh, và đâu là phương pháp nên áp dụng trong môi trường doanh nghiệp hiện đại? Cùng xem qua 4 phương pháp xác thực phổ biến nhất dưới đây.

---

1. PAP (Password Authentication Protocol)

• Cách hoạt động: Gửi mật khẩu dưới dạng plaintext (không mã hóa).
• Khi nào dùng: Khi client và server không thể thỏa thuận phương thức xác thực tốt hơn.
• Mức độ bảo mật: Thấp nhất. Không bảo vệ chống lại tấn công lặp (replay attack), giả mạo client hay giả mạo server.

Lưu ý: Hầu hết các chuyên gia bảo mật đều không khuyến khích sử dụng PAP trong bất kỳ môi trường nào có yêu cầu bảo mật.

---

2. CHAP (Challenge Handshake Authentication Protocol)

• Cách hoạt động: Sử dụng cơ chế thử thách – phản hồi (challenge-response), mã hóa bằng MD5 hash.
• Ưu điểm: Mật khẩu không gửi trực tiếp qua đường truyền (tốt hơn PAP).
• Nhược điểm: Vẫn cần lưu mật khẩu dạng plaintext trên server để kiểm tra kết quả phản hồi. Không ngăn chặn được giả mạo server.

Ví dụ: Khi client gửi phản hồi, server cần hash mật khẩu đã lưu sẵn để kiểm tra, vì vậy nếu hacker truy cập được vào server thì vẫn có thể lấy được mật khẩu gốc.

---

3. MS-CHAPv2 (Microsoft CHAP version 2)

• Cách hoạt động: Xác thực hai chiều (mutual authentication). Cả client và server đều xác minh danh tính của nhau.
• Mức độ bảo mật: Tốt hơn CHAP. Không cần lưu mật khẩu dưới dạng rõ ràng.
• Ứng dụng: Rất phổ biến trong các hệ thống Windows cũ, VPN dùng giao thức PPTP hoặc L2TP/IPSec.

Lưu ý: Dù bảo mật hơn CHAP, nhưng MS-CHAPv2 vẫn có lỗ hổng nếu không đi kèm thêm lớp bảo mật như IPSec.

---

4. EAP (Extensible Authentication Protocol)

• Cách hoạt động: Hỗ trợ nhiều phương thức xác thực tùy biến (EAP-TLS, EAP-TTLS, PEAP...). Cho phép tích hợp với smart card, certificate, token...
• Ưu điểm: Bảo mật cao nhất trong các giao thức xác thực VPN.
• Ứng dụng: Phổ biến trong môi trường doanh nghiệp, Wi-Fi 802.1X, và VPN dùng IPSec/IKEv2 hoặc SSL VPN.

Ví dụ: EAP-TLS dùng chứng chỉ số (certificate) để xác thực, không cần mật khẩu.

---

Kết luận cho anh em hệ thống và bảo mật:

• Tránh PAP nếu có thể.
• CHAP có thể tạm chấp nhận nếu không yêu cầu cao.
• MS-CHAPv2 là bước cải tiến, nhưng cũng cần bảo vệ thêm bằng IPSec.
• EAP là lựa chọn tốt nhất, đặc biệt trong môi trường yêu cầu xác thực mạnh như ngân hàng, y tế, doanh nghiệp lớn.

---

Hỏi nhanh: Bạn đang dùng loại xác thực nào cho VPN của mình? Đã bao giờ test mức độ an toàn chưa?
Hãy chia sẻ để mọi người cùng kiểm tra lại hệ thống của mình nhé!

---

Nếu bạn thấy bài viết hữu ích, đừng ngại chia sẻ về nhóm để anh em cùng học!
Đây là phần căn bản nhưng rất dễ bị lãng quên trong triển khai VPN.

---

​