Thông báo

Ưu đãi

Tin tức

Kỹ thuật

Authentication là gì?

Tin tức

27/05/2021, 04:38 pm

4,304

Authentication là gì? Có lẽ trong quá trình lập trình bạn đã từng được nghe rất nhiều về khái niệm này. Tuy nhiên cũng có nhiều người không biết về khái niệm này. Để hiểu rõ hơn về Authentication, bài viết dưới đây của Nhân Hòa sẽ giúp bạn tìm hiểu kỹ hơn về vấn đề này.

1. Authentication là gì?

Theo Wikipedia, Authentication là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do người đó đưa ra hoặc về vật đó là sự thật.

Authentication là gì?

Có nhiều người dùng thắc mắc rằng liệu có nhất thiết phải xác thực không vì đôi khi việc này gây tốn thời gian và gây phiền phức. Thực tế cho thấy, việc xác thực thông tin người dùng là cần thiết thậm chí nó là điều bắt buộc. Xác thực người dùng là một phương pháp ngăn người dùng trái phép truy cập thông tin nhạy cảm. Có thể lấy ví dụ như người dùng A chỉ có quyền truy cập thông tin liên quan và không thể xem thông tin nhạy cảm của người dùng B

2. Đặc điểm của Authentication

Rất nhiều người đang nhầm lẫn giữa Authentication (xác nhận) - Authorization (ủy quyền) - Encryption (mã hóa). Tuy nhiên, xác nhân khác với 2 loại trên nhờ nó có những đặc điểm cụ thể được thể hiện như sau:

- Authentication được sử dụng bởi máy chủ (server) khi máy chủ cần biết chính xác ai đang truy cập thông tin hoặc trang web của họ

- Authentication được máy khách (client) sử dụng khi máy khách cần biết rằng máy chủ chính là hệ thống chính

- Trong Authentication, người dùng hoặc máy tính phải chứng minh danh tính của mình với máy chủ hoặc máy khách

Đặc điểm của Authentication

- Thông thường xác thực bởi máy chủ đòi hỏi việc sử dụng tên người dùng và mật khẩu. Các cách khác để xác thực có thể là thông qua thẻ, quét võng mạc, nhận dạng giọng nói và dấu vân tay

- Việc xác thực bởi máy khách thường liên quan đến việc máy chủ cung cấp chứng chỉ cho máy khách trong đó bên thứ 3 đáng tin cậy như Verisign hoặc Thawte tuyên bố rằng máy chủ thuộc về thực thể mà khách hàng mong đợi

- Xác thực không xác định những nhiệm vụ mà cá nhân có thể làm hoặc những tệp mà cá nhân có thể xem. Xác thực chỉ xác định và xác minh người dùng hoặc hệ thống là ai

>>> Xem thêm: Hướng dẫn sử dụng Putty SSH Client

3. Phân loại Authentication

- HTTP Basic Authentication

HTTP Basic Authentication được xem là một kỹ thuật xác thực giúp bảo mật cho các ứng dụng Web dựa trên giao thức HTTP. Từ đó, nó yêu cầu người sử dụng cung cấp tên truy cập và mật khẩu khi sử dụng hệ thống ứng dụng sau này. Từ đó, Web Server sẽ thu thập thông tin và danh tính của người sử dụng thông qua một hộp thoại có trên Browser

Khi muốn bảo mật cho một tài nguyên thì bạn có thể dùng rất nhiều cách, tuy nhiên sẽ có cách khác đơn giản hơn để bảo vệ nó chính là sử dụng HTTP Authentication

- Multi - factor Authentication (MFA)

Thực hiện xác thực đa nhân tố chính là một hệ thống bảo mật giúp bạn yêu cầu mọi phương thức xác thực đến từ những danh mục đăng nhập thông tin. Từ đó, xác minh danh tính cho người sử dụng cho thông tin đăng nhập thông qua giao dịch khác. Thực hiện xác thực Multifactor sẽ kết hợp 2 hoặc nhiều thông tin độc lập là:

+ Password (mật khẩu)

+ Security token (các mã thông báo bảo mật)

+ Biometric verification (xác minh sinh trắc học)

Từ đó tạo ra một lớp bảo vệ cũng như tường thành vững chắc giúp gây khó khăn cho những người không được phép truy cập vào một mục tiêu cụ thể là: vị trí thực tế, các thiết bị máy tính, mạng hoặc cơ sở dữ liệu chính là mục tiêu mà MFA hướng đến. Nếu như một yếu tố xác thực đã bị xâm phạm thì kẻ tấn công cần phải vượt qua ít nhất là 1 rào cản nữa, khi đó họ mới có thể xâm nhập trái phép thành công vào mục tiêu đó

Nhìn chung, 2 phương thức trên đây được sử dụng rất phổ biến trong xác thực. Tuy nhiên, bạn nên căn cứ vào tính chất cũng như nhu cầu sử dụng để lựa chọn phương thức phù hợp với mình nhất

Phân loại Authentication

- Password - based Authentication

Đây là hình thức xác thực dựa trên mật khẩu. Mật khẩu chính là phương pháp xác thực phổ biến nhất hiện nay. Mật khẩu có thể ở dạng chuỗi chữ cái, số hoặc ký tự đặc biệt. Để tự bảo vệ mình, bạn cần tạo mật khẩu mạnh bao gồm sự kết hợp của tất cả các tùy chọn có thể. Tuy nhiên, mật khẩu rất đơn giản, lặp lại dễ bị tấn công, giảm hiệu quả bảo mật. Một người bình thường có khoảng 25 tài khoản trực tuyến khác nhau. Tuy nhiên chỉ 54% người dùng sử dụng các mật khẩu khác nhau trên các tài khoản của họ

Sự thật là có rất nhiều mật khẩu cần nhớ. Do đó, nhiều người chọn sự tiện lợi hơn tính bảo mật. Hầu hết mọi người sử dụng mật khẩu đơn giản hoặc lặp lại mật khẩu cho nhiều tài khoản khác nhau vì chúng dễ nhớ hơn thay vì tạo mật khẩu khó với độ đáng tin cậy cao

>>> Xem thêm: [Hướng Dẫn] Bảo mật tên miền an toàn đúng cách hiệu quả nhất

4. Tại sao nên sử dụng Authentication?

Nếu như bạn không thực hiện bước xác nhận này thì hệ thống hoàn toàn không thể biết được người đang truy cập vào hệ thống là ai. Hệ thống dựa vào bước xác thực này để có các phản hồi phù hợp nhất cho người dùng. Quá trình này được xem là rất thông dụng trong hầu hết CMS có liên quan đến quản lý, các tương tác người dùng thông qua form đăng ký và nó còn được xác thực dựa trên tên của người dùng cũng như mật khẩu.

5. Authentication cần có những yếu tố xác thực nào?

Với bước xác thực này rất quen thuộc và thông dụng, thường sẽ biểu hiện ở hình thức đơn giản nhất chính là form đăng nhập vào hệ thống

- Mật khẩu (Password & PIN)

Mật khẩu chính là một trong những phương pháp đơn giản và dễ triển khai nhất. Khi mà người dùng truy cập vào mỗi hệ thống sẽ lưu lại mật khẩu ở dạng được mã hóa một chiều. Tính năng này sẽ đảm bảo mật khẩu có bị hack cũng không thể khôi phục thành một chuỗi gốc. Phương pháp này sẽ có nhiều biến thể như thiết kế dạng Swipe Pattern PIN hoặc mật khẩu dùng một lần

- Khóa (Public-key Cryptography)

Phương pháp Authentication này được dựa trên thuật toán mã hóa khóa công cộng và khóa cá nhân. Để đăng nhập được vào hệ thống, bạn chỉ cần có khóa cá nhân trên máy và đăng nhập vào hệ thống mà không cần phải nhớ thông tin đăng nhập cũng như mật khẩu

Authentication cần có những yếu tố xác thực nào?

- Sinh học (Biometrics)

Dấu vân tay, tròng mắt hoặc khuôn mặt là phương pháp dựa trên những yếu tố đặc trưng của con người để xác thực. Ưu điểm của phương pháp này là ID và Password luôn đi cùng nhau nên bạn không cần phải lo lắng hay bị quên hay lạc mất. Mỗi khi đăng nhập vào hệ thống bạn đều chủ động sử dụng dễ dàng mà không gặp bất cứ khó khăn gì. Mặc dù có nhiều phương pháp để có thể xác thực được một tài khoản, nhưng nó cũng không tránh được những rủi ro khi triển khai như mất password, mất khóa cá nhân, hoặc bị đánh cắp vân tay,…

Nếu áp dụng trên website, phương thức mật khẩu có vẻ là dễ triển khai và có nhiều lợi thế hơn vì thường thao tác trên màn hình và có độ chính xác cao. Chúng ta cũng có thể cải tiến hệ thống bảo mật hơn như theo dõi thói quen đăng nhập, địa điểm, IP, trình duyệt, password,…

>>> Xem thêm: Key avast 2021 bản quyền active thành công 100%

6. Sự khác biệt giữa Authentication và Authorization

- Authentication

Authentication là xác thực, chỉ quá trình định danh (hay xác định) một tài khoản đang vào hệ thống chính là người đó chứ không phải ai khác. Đây là bước ban đầu của mọi hệ thống có yếu tố người dùng. Nếu không có bước xác thực này, hệ thống của bạn sẽ không biết được người đang truy cập vào hệ thống là ai để có các phản hồi phù hợp

Bước xác thực này rất quen thuộc và thông dụng, thường biểu hiện ở hình thức đơn giản nhất chính là form đăng nhập vào hệ thống. Đây là mô hình xác thực dựa trên yếu tố “mật khẩu”. Mật khẩu là một trong những phương pháp được triển khai cho hệ thống xác thực (authentication). Một số phương thức xác thực thông dụng khác là khóa (public & private), sinh học (vân tay, tròng mắt, khuôn mặt)…

Sự khác biệt giữa Authentication và Authorization

- Authorization

Sau khi xác định được “danh tính” của tài khoản thì hệ thống mới chỉ trả lời được câu hỏi “Đó là ai?”, chúng ta sẽ tiến hành một bước quan trọng không kém đó là trả lời câu hỏi “Người đó có thể làm được gì?”, hay xác định quyền (phân quyền) của tài khoản hiện tại vừa mới được xác thực

Hệ thống của bạn có thể sẽ rất phức tạp bởi nhiều tính năng quan trọng và mạng lưới phòng ban dày đặc và cần phân chia quyền sử dụng rõ ràng nên việc thiết kế một hệ thống phân quyền cho từng thành viên là một việc làm cực kỳ quan trọng và cần thiết.

Để hệ thống “phân quyền” vận hành hoàn chỉnh, theo kinh nghiệm của mình thì bạn cần thiết kế hai thành phần riêng là phân quyền theo nhóm (Role-based) và phân quyền theo đối tượng (tài khoản…) cụ thể (Object-based)

7. Kết luận

Trên đây là những khái niệm cũng như kiến thức cơ bản nhất về Authentication mà Nhân Hòa đã tổng hợp được. Hy vọng với những kiến thức trên không những bạn biết được Authentication là gì mà còn nắm rõ được quy trình của các bước xác thực cơ bản nhất.