Về "Xác thực hai yếu tố: 5 điều cần biết" trên PCWorldVN

BBZ10

BBZ10

W-------
31/01/2015
41
53 bài viết
Về "Xác thực hai yếu tố: 5 điều cần biết" trên PCWorldVN
BBZ10
Mình xin trích lại một số nội dung. Bài viết đầy đủ tại http://www.pcworld.com.vn/articles/...age&utm_medium=referral&utm_campaign=hometop1

(PCWorldVN) Những điều căn bản về xác thực và các vấn đè liên quan đến bảo mật giúp bạn trực tuyến an toàn hơn

Xác thực hai yếu tố hay xác nhận hai bước?


Rất nhiều người nghĩ hai chuyện trên là một nhưng đó là cách nghĩ không thật đúng đắn.

Có ba loại yếu tố dùng để xác thực: thứ mà bạn biết như mật khẩu hay mã định danh cá nhân (personal identity number – PIN); thứ mà bạn có như số điện thoại di động hay mã số USB đặc biệt (special USB key); thứ chứng tỏ là bạn như vân tay hay các đặc điểm sinh trắc khác của bạn.

Trong khi xác thực hai yếu tố (two-factor authentication) kết hợp 2 yếu tố khác nhau thì xác thực hai bước (two-step verification) dùng cùng 1 yếu tố 2 lần, ví dụ đó là mật khẩu và mã số dùng 1 lần được gửi qua tin nhắn (SMS).

Có thể bạn nghĩ rằng mã số gửi đến điện thoại cũng có chất lượng như một nhân tố thứ hai vì điện thoại là vật bạn có, nhưng SMS lại không an toàn và mã số này có thể bị lấy trộm. Nhìn từ quan điểm nguy cơ bảo mật thì nó cũng tương tự như một mật mã mà thôi.

Vì thế, nếu có thể dùng cách nào trong hai cách trên thì bạn cũng nên tận dụng ưu điểm của nó.
...

Trong hầu hết trường hợp thì điện thoại sẽ là thứ chính yếu cho trải nghiệm xác thực hai yếu tố của bạn. Bạn dùng nó để nhận mã số qua SMS hay để tạo các mã số bằng những ứng dụng chuyên biệt như Google Authenticator. Những điện thoại có thể thất lạc, bị đánh cắp hay hỏng.
Nhấn để mở rộng...

Nếu mình hiểu đúng thì mình thấy tác giả cũng hơi nhầm chút vì tuy là điện thoại là "something you have" nhưng thực tế trong sử dụng thì có vẻ nó vẫn là "something you know" vì key dùng để authentication là code trên điện thoại hay nói cách khác là thông tin trên thiết bị chứ không phải chính cái điện thoại/thiết bị đó. Mình hiểu vậy có đúng không, các bạn cho ý kiến thêm nhé. Cảm ơn :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
whf
Vấn đề của bạn có thể tham khảo thêm tại:

http://security.stackexchange.com/q...o-factor-authentication-is-there-a-difference
2016-08-15_160637.jpg

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
BBZ10
Cảm ơn whf :), mình thấy hình dưới đây cũng trực quan

understandingAuth_revised.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Sự thật về lỗ hổng telegram
  • Tản mạn về kỹ thuật ẩn mình khi truy cập mạng - Phần 2: Nguy cơ
  • Triển khai PoC Validating Jenkins cho lỗ hổng CVE-2024-23897
  • Tản mạn về kỹ thuật ẩn mình khi truy cập mạng - Phần 1: Ẩn mình
  • Bảo vệ mạng OT khỏi các mối đe dọa: Nên bắt đầu từ đâu?
  • Phân tích lỗ hổng CVE-2023-6063 WP Fastest Cache - UNAUTHENTICATED SQLI
    • Bên trên