Xác thực ngoài băng tần

Xác thực ngoài băng tần giúp tăng cường bảo mật bằng cách sử dụng một kênh truyền thông riêng biệt, hay còn gọi là “băng tần”, để thực hiện xác thực ngoài kênh chính hoặc thiết bị đang được sử dụng. Điều này trái ngược với “xác thực trong băng tần”: thay vì gửi thông tin đăng nhập qua cùng một kênh trong băng tần, một kênh “ngoài băng tần” độc lập sẽ được sử dụng để thực hiện bước xác thực bổ sung.

Nói một cách đơn giản, “ngoài băng tần” có nghĩa là quá trình xác thực diễn ra độc lập với thiết bị – do đó, ngay cả khi thiết bị bị xâm nhập, quá trình xác thực vẫn không bị ảnh hưởng.

Giải pháp nhận dạng khuôn mặt của iProov sử dụng cơ chế xác thực ngoài băng tần thực sự. Quá trình xác thực diễn ra trên đám mây thay vì trực tiếp trên thiết bị của người dùng. Điều này giúp tách biệt lớp xác thực khỏi lớp thiết bị.

Các ưu điểm của kiến trúc này bao gồm:

• Bảo vệ chống lại các thiết bị bị xâm nhập: Nếu kẻ tấn công giành được quyền truy cập toàn bộ vào thiết bị của người dùng, quy trình xác thực ngoài băng tần vẫn được đảm bảo an toàn vì quá trình xác thực được xử lý độc lập với thiết bị; nó được cách ly khỏi thiết bị bị xâm nhập đó.

• Tránh các lỗ hổng trong kênh truyền thông: Xác thực trong kênh truyền thông không an toàn như người ta vẫn nghĩ. Ví dụ, nếu một tổ chức gửi mật khẩu dùng một lần (OTP) qua kênh đó thiết bị di động để xác thực một cá nhân, mã OTP thực tế không mang lại bất kỳ mức độ bảo mật bổ sung nào. Kẻ xấu có thể sao chép các mã OTP qua email, ứng dụng xác thực hoặc tin nhắn SMS được tạo ra trên thiết bị đó vì chúng được gửi đến thiết bị mà kẻ lừa đảo đã có quyền truy cập. Việc truy cập vào thiết bị đồng nghĩa với việc có quyền truy cập vào mã OTP. Đây là một lỗ hổng nghiêm trọng.

• Sự tiện lợi cho người dùng cuối: Xác thực sinh trắc học dựa trên đám mây cho phép bạn triển khai phương thức xác thực ngoài kênh (out-of-band) thực sự mà không cần sử dụng nhiều thiết bị. Điều này mang lại sự tiện lợi tối đa cho người dùng so với các quy trình khác; hãy tưởng tượng một người dùng nhập mật khẩu trên máy tính để bàn nhưng lại không mang theo điện thoại (hoặc thậm chí đã làm mất điện thoại) – lúc này họ sẽ hoàn toàn bị loại khỏi quy trình xác thực, dẫn đến việc tỷ lệ thành công sẽ giảm sút.

Các lỗ hổng bảo mật nghiêm trọng vẫn tồn tại nếu tất cả các yếu tố xác thực vẫn được tập trung trên cùng một thiết bị. Ví dụ, nếu người dùng đang mua hàng qua một ứng dụng di động và nhà cung cấp ứng dụng gửi mã SMS đến thiết bị di động đó để xác minh giao dịch, thì mã SMS này thực tế không mang lại bất kỳ lớp bảo mật bổ sung nào — mã này được gửi đến chính thiết bị đó và do đó thuộc loại “in-band”. Nếu thiết bị đã bị xâm nhập, mã OTP sẽ trở nên vô giá trị.

iProov giả định rằng thiết bị không đáng tin cậy và thực hiện quá trình xác thực một cách an toàn và bảo mật trên đám mây, do đó quá trình này không phụ thuộc vào thiết bị đang được sử dụng. Ngay cả khi một kẻ xấu có toàn quyền truy cập vào thiết bị của người khác, quá trình xác thực vẫn được đảm bảo an toàn.

Các tổ chức nên áp dụng một phương pháp tiếp cận toàn diện và đa tầng đối với vấn đề an ninh. Kịch bản lý tưởng là phân tán các tín hiệu xác thực danh tính trên nhiều nguồn đáng tin cậy – kết hợp xác thực ngoài kênh (out-of-band) với sinh trắc học và các tín hiệu khác được thu thập độc lập từ các kênh khác nhau dưới sự giám sát của Trung tâm Điều hành An ninh (SOC).