Buzz
Tiếp tục series về Vsmart, dòng Aris Pro tích hợp chuẩn bảo mật FIDO2 - Tính năng và ảnh hưởngFIDO2 giúp đăng nhập an toàn, không cần password, hỗ trợ nhiều website và dịch vụ online - Tóm tắtTại sao cần một phương pháp bảo mật mới?
Đăng nhập vào các dịch vụ online bằng tên người dùng và mật khẩu đã trở nên quá thông dụng. Tuy nhiên, phương pháp này gặp vấn đề khi mật khẩu không đủ phức tạp (hoặc quá phức tạp đến mức người dùng không nhớ được), dẫn đến khả năng bị đoán. Hacker có thể thử mọi cách để đoán các tổ hợp kí tự mà họ nghĩ bạn có thể sử dụng làm mật khẩu. Khi tài khoản bị xâm nhập, rất nhiều rủi ro có thể xảy ra mà người dùng không hề hay biết.
Ví dụ: Nếu mật khẩu tài khoản email của bạn bị hacker đoán được hoặc bị rò rỉ bằng cách nào đó, theo cách thông thường, chỉ cần mật khẩu là hacker đã có thể truy cập vào tài khoản của bạn. Tuy nhiên, với chuẩn FIDO, sau khi bạn nhập mật khẩu, bạn còn phải sử dụng một loại chìa khóa USB này. Nếu hacker không có chiếc chìa khóa của bạn và không thể cắm vào máy tính, họ cũng không thể làm gì thêm.Trình bày cách chuẩn FIDO hoạt động thông qua mô tả hình ảnh.
Lý do FIDO vẫn cần username/email và mật khẩu là để ngăn chặn việc hack tài khoản bằng cách lấy chiếc chìa khóa USB FIDO.Yubico, một nhà sản xuất USB nổi tiếng, đã tạo ra các USB tương thích với chuẩn FIDO. Chrome, Dropbox, Gmail, Outlook và nhiều dịch vụ khác cũng đã hỗ trợ tính năng này.FIDO2 khác biệt ra sao so với FIDO1 và hoạt động như thế nào?
FIDO2, một bước tiến từ FIDO U2F, mở rộng tính năng và đặc biệt nhấn mạnh vào việc không sử dụng mật khẩu để đăng nhập, tăng cường an ninh.FIDO2 có phiên bản sử dụng username + password kết hợp với FIDO2 key. Việc cung cấp key này đòi hỏi một phần cứng riêng biệt (FIDO2 token), là một bước tiến an toàn. Dưới đây là giao diện trang web cho phép đăng nhập bằng FIDO2 token, chính là chiếc USB bạn thấy trong hình ảnh.
Cho phép đăng nhập mà không cần sử dụng mật khẩu (passwordless).
Cả hai biến thể của FIDO2 đều nhằm giải quyết vấn đề bảo mật trong bối cảnh ngày càng nhiều phương thức tấn công xuất hiện. FIDO2 giải quyết vấn đề này bằng cách phụ thuộc vào một phần cứng đặc biệt, làm cho việc đánh cắp username + password trở nên vô ích đối với hacker.Ngoài ra, FIDO2 còn khác biệt với FIDO1 ở điểm là nó là một chuẩn mở, giúp các nhà sản xuất phần cứng, phần mềm dễ dàng triển khai vào sản phẩm của mình. Ví dụ như việc tích hợp FIDO2 vào Vsmart Aris / Aris Pro để sử dụng làm chìa khóa đăng nhập cho các dịch vụ web. Nhiều ý tưởng khác cũng được đề xuất như tích hợp FIDO2 vào smartwatch, smartband, và các thiết bị di động khác.Xem video minh họa của một smartband hỗ trợ mở khóa bằng FIDO2.Quy trình của FIDO2:
- Đăng kí sử dụng dịch vụ online hoặc kích hoạt tính năng FIDO2 trên tài khoản đã có. Một cặp chìa khóa bao gồm private key và public key sẽ được tạo ra trên thiết bị của bạn.
- Private key sẽ lưu trữ trên thiết bị và chỉ có ứng dụng hoặc trình duyệt trên thiết bị mới có thể truy cập. Public key sẽ được gửi đến máy chủ FIDO2 của dịch vụ online và lưu trữ trong cơ sở dữ liệu.
- Xác thực tài khoản dựa trên private key sẽ diễn ra sau này. Private key chỉ được kích hoạt khi có thao tác từ người dùng như nhập PIN, quét vân tay, nhấn nút, đọc giọng nói hoặc sử dụng phần cứng FIDO2 (ví dụ: USB bảo mật FIDO2). Một số hệ điều hành như Windows 10 và Android đã có thể tự biến thành phần cứng FIDO2.
FIDO2 được thiết kế để bảo vệ sự riêng tư của người dùng, không có dữ liệu nào được gửi đến máy chủ để xác định danh tính của bạn. Thậm chí, dữ liệu sinh trắc học như vân tay cũng chỉ lưu trên thiết bị và không được chuyển đi.Hai yếu tố quan trọng của FIDO2
Thành phần đầu tiên là chuẩn WebAuthn do Hiệp hội W3C (tổ chức tạo ra các chuẩn web toàn cầu) phát triển. Trước đó, đã có nhiều cố gắng triển khai đăng nhập không mật khẩu nhưng không có chuẩn chung, giờ đây có một chuẩn để mọi trang web tuân thủ, tăng bảo mật, tương thích và tiết kiệm chi phí, thời gian.WebAuthn cho phép đăng nhập bằng khóa USB, các phương pháp sinh trắc học (vân tay, mắt, gương mặt), hoặc thiết bị di động để tạo mã đăng nhập.WebAuthn đã được hỗ trợ trên Windows, Android từ tháng 3/2019, trên iOS (từ iOS 13 trở lên), và trên một loạt trình duyệt như Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari (phiên bản ≥ 13).
Thành phần thứ hai của FIDO2 là giao thức CTAP (Client to Authenticator Protocol). Giao thức này cho phép phần cứng token FIDO2 giao tiếp với trình duyệt. CTAP cần được hỗ trợ từ cả trình duyệt và phần cứng FIDO2, như Vsmart Aris, Yubikey của Yubico, hoặc thậm chí là một dòng smartwatch nào đó. Hiện nay, CTAP đang ở phiên bản 2, còn phiên bản 1 dành cho các chìa khóa U2F.Dưới đây là một đoạn video giải thích chi tiết về cách FIDO2 hoạt động, mã hóa, nếu bạn muốn tìm hiểu thêm.Một thách thức lớn của FIDO2 hiện nay là số lượng website hỗ trợ đầy đủ FIDO2 còn rất ít, chủ yếu là các trang lớn như Facebook, Google, Microsoft, Amazon. Các trang nhỏ, trang đơn lẻ chưa có động lực tích hợp FIDO2 do số lượng người dùng FIDO vẫn còn ít. Do đó, các website chưa có lý do để đầu tư cho phần này.Với Vsmart Aris / Aris Pro, bạn có thể sử dụng FIDO2 như thế nào?
Vinsmart và VinCSS đã hợp tác để cung cấp miễn phí 3 năm sử dụng công nghệ FIDO2 tích hợp trong hệ điều hành VOS. Dưới đây là hình ảnh VinCSS nhận giấy chứng nhận từ FIDO khi sản xuất chìa khóa USB tương thích chuẩn FIDO2.
Trên Vsmart Aris, điện thoại này sẽ biến thành một chìa khóa chứa private key, bạn có thể sử dụng Aris như một thiết bị phần cứng để đăng nhập vào các dịch vụ như Outlook, Gmail, Facebook, Dropbox, Salesforce và nhiều dịch vụ khác hỗ trợ FIDO2 mà không cần mật khẩu. Việc này có thể áp dụng khi bạn cần đăng nhập trên bất kỳ hệ điều hành nào như Windows, macOS và Linux.Ngoài ra, Vsmart Aris cũng có thể được sử dụng như một phương tiện xác thực bổ sung cho các trang web sử dụng FIDO, tùy thuộc vào nhu cầu của bạn. Điều này giúp bạn tiết kiệm chi phí và không cần phải mua thêm khóa USB FIDO, chỉ cần sử dụng Vsmart là đã có chức năng này.FIDO2 hỗ trợ một tài khoản có thể sử dụng nhiều token, nhiều key, vì vậy nếu bạn mất USB bảo mật hoặc mất Vsmart Aris, bạn vẫn có thể sử dụng key khác để truy cập vào tài khoản của mình.Trong lần ra mắt dòng Aris này, VinSmart rất chú trọng vào phần bảo mật, không chỉ để phục vụ người dùng mà còn làm tài liệu cho việc quảng cáo sản phẩm. Điều này cho thấy sự quan tâm của VinSmart đối với bảo mật và sự an toàn của người dùng, đặc biệt trong bối cảnh quyền riêng tư và an toàn thông tin đang trở thành vấn đề nổi bật.Trước đó, chúng ta đã thảo luận về một số điều, bạn có thể tìm hiểu thêm để có thêm kiến thức thú vị.Aris và Aris Pro đóng vai trò quan trọng trong chiến lược kinh doanh và xây dựng thương hiệu của Vin. Đây là cơ hội tốt để Vin giới thiệu những tính năng và sáng tạo đã được phát triển từ Vinsmart, VinAI và VinCSS. Aris Pro là minh chứng rõ ràng cho sự phát triển công nghệ và khả năng của Vin, mở ra triển vọng cho tương lai.
