I. Giải pháp xác thực người dùng 2 yếu tố RSA SecurID

Với việc sử dụng giải pháp xác thực truyền thống là không an toàn, người ta cần những giải pháp xác thực tốt hơn trong môi trường kinh doanh hiện nay. Một giải pháp xác thực chỉ được gọi là tốt khi mà nó đáp ứng được những yêu cầu chủ yếu sau:

• Chi phí thấp.
• Dễ dàng, thuận tiện cho người sử dụng và sử dụng được trong nhiều hệ thống.
• Khả năng mở rộng và tương thích với các hệ thống khác tốt.

Để đáp ứng được những yêu cầu mới về an ninh mạng hiện nay, RSA đã đưa ra một giải pháp xác thực người dùng được gọi là giải pháp xác thực dựa trên hai yếu tố SecurID.
Giải pháp xác thực hai yếu tố SecurID của RSA hoạt động theo nguyên tắc: để đăng nhập vào hệ thống, người dùng phải có đủ hai yếu tố: cái mà họ biết và cái mà họ có. Tương tự nguyên tắc khi ta rút tiền ở máy ATM, ta cần có thẻ ATM (cái mà ta có) và mã PIN (cái mà chỉ ta biết). Thiếu một trong hai yếu tố này (ATM hoặc PIN) thì ta không thể rút tiền được.
Giải pháp RSA SecurID® gồm có ba thành phần:

1. RSA SecurID® Authenticators:

Là thiết bị được gắn với người sử dụng. Chúng có thể là phần cứng hoặc phần mềm và được gọi là các Token. Khách hàng có thể lựa chọn thiết bị phù hợp với nhu cầu của mình.
Nếu là thiết bị phần cứng, giải pháp của RSA cho phép người sử dụng dùng ở mọi lúc, mọi nơi, trên mọi máy tính mà không cần phải cài đặt thêm bất cứ một phần mềm nào (giải pháp zero footprint).
Nếu là phần mềm, chúng có thể được cài đặt lên máy tính xách tay, tích hợp với trình duyệt hoặc các thiết bị cầm thay khác như PDA, Wireless Phone,…. Các thiết bị này tạo ra các con số khác nhau trong một khoảng thời gian nhất định.
Đối với những nhà cung cấp dịch vụ cho khách hàng của mình, như các giao dịch trực tuyến qua Internet, RSA còn cung cấp tính năng cấp mã xác thực theo yêu cầu. Giải pháp này cho phép mã xác thực gửi trực tiếp đến máy di động hay địa chỉ e-mail của người dùng trong quá trình giao dịch trực tuyến.
Đối với những nhà cung cấp dịch vụ cho khách hàng của mình, như các giao dịch trực tuyến qua Internet, RSA còn cung cấp tính năng cấp mã xác thực theo yêu cầu. Giải pháp này cho phép mã xác thực gửi trực tiếp đến máy di động hay địa chỉ e-mail của người dùng trong quá trình giao dịch trực tuyến.

Mô hình xác thực 2 yếu tố

2. RSA Authentication Agent

Là phần mềm được cài lên trên các điểm truy cập vào mạng (Ví dụ: gateway, VPN, Remote Access Server,…), các máy chủ (server) và các tài nguyên thông tin cần được bảo vệ của doanh nghiệp. Nó hoạt động giống như là một người gác cửa. Khi có yêu cầu đăng nhập của người sử dụng gửi đến, nó sẽ tiếp nhận và chuyển những thông tin đăng nhập tới máy chủ có thành phần RSA Authentication Manager để thực hiện xác thực. Hầu hết các sản phẩm router, remote access server, firewall, VPN, wireless access,… của các hãng sản xuất hàng đầu trên thế giới đều đã tích hợp sẵn thành phần này trong các sản phẩm của mình. Vì thế việc triển khai giải pháp của RSA rất đơn giản và dễ dàng. Đây là một lợi ích vô cùng quan trọng của giải pháp RSA SecurID.
Hardware Token
Software Token

3. RSA Authentication Manager:

Là thành phần quản trị của giải pháp RSA SecurID được sử dụng để kiểm tra các yêu cầu xác thực và quản trị tập trung chính sách xác thực của trên toàn mạng doanh nghiệp. RSA Authentication Manager có thể được mở rộng theo bất cứ nhu cầu nào của doanh nghiệp. RSA Authentication Manager có khả năng xác thực được hàng triệu người sử dụng, xác thực người dùng trong mạng cục bộ, người dùng truy cập từ xa, người dùng qua VPN,…RSA Authentication Manager tương thích hoàn toàn với các thiết bị mạng, RAS, VPN, Access Point,… của tất cả các hãng sản xuất lớn trên thế giới. Do vậy, với giải pháp SecurID của RSA, người dùng hoàn toàn không phải lo lắng tới vấn đề tương thích.
RSA Authentication Manager còn cho khả năng tích hợp chặt chẽ với các hệ thống dịch vụ tiêu chuẩn như RADIUS, LDAP, … Việc quản trị thành phần RSA Authentication Manager rất dễ dàng thông qua giao diện Web với việc phân cấp quyền hạn cho nhiều mức quản trị viên khác nhau.
Một tính năng nổi bật khác của RSA mà chưa có hãng cung cấp nào có được là khả năng tạo nhiều vùng làm việc độc lập (realm) và khả năng cho phép tới 15 server RSA Authentication Manager hoạt động trên 1 hệ thống. Do đó tính sẵn sàng của hệ thống cũng như khả năng chia sẻ tải được nâng cao rất nhiều.
RSA Authentication Manager còn cung cấp work-flow cho phép người sử dụng tự đăng ký yêu cầu hay tự giải quyết các vấn đề liên quan đến việc sử dụng token, đến việc thất lạc, để quên token để lấy mật khẩu truy cập tức thời. Giúp giảm thiểu rất nhiều công việc của quản trị viên.
Giải pháp xác thực RSA SecurID hoạt động như thế nào?
Như đã đề cập ở trên, SecurID bao gồm ba thành phần. Thành phần RSA SecurID Authenticators hay còn được gọi là Token sẽ được trao cho người sử dụng. Thành phần này có nhiều loại khác nhau (là hardware token hoặc software token) nhưng đều có một chức năng là tạo ra những con số khác nhau sau một khoảng thời gian nhất định (Thông thường là một phút).
Giả sử một người sử dụng trong hệ thống được cấp phát một Token, khi đăng nhập vào hệ thống, người sử dụng này sẽ được yêu cầu nhập tên đăng nhập (VD: JSMITH) và một dẫy số được gọi là Passcode. Dẫy số này gồm có hai thành phần là số PIN và dẫy số xuất hiện trên token (Token code) của người đó vào thời điểm đăng nhập. Tất cả các thông tin (Tên đăng nhập và Passcode) này được thành phần RSA Authentication Agent tiếp nhận và thành phần này sẽ lại gửi những thông tin này đến RSA Authentication Manager. Server này sẽ có số PIN của người sử dụng trong cơ sở dữ liệu của nó. Ngoài ra, nó cũng có một cơ chế cho phép nó tính toán ra một dẫy số của nó. Authentication Manager sẽ ghép số PIN trong cơ sở dữ liệu và dẫy số của nó với nhau sau đó so sánh với Passcode của người sử dụng cung cấp. Nếu hai dẫy số này giống nhau, người dùng được xác thực là hợp lệ và được quyền đăng nhập vào mạng. Trong trường hợp ngược lại, quyền truy cập sẽ bị từ chối. Hoặc được chấp nhận truy cập hoặc không, những thông tin này sẽ được RSA Authentication Manager gửi đến người sử dụng thông qua thành phần RSA Authentication Agent.
.Như được mô tả ở trên, token của người sử dụng có rất nhiều loại khác nhau. Căn cứ vào nhu cầu thực tế, một tổ chức khi triển khai giải pháp xác thực RSA SecurID có thể lựa chon thiết bị phù hợp nhất với yêu cầu của mình. Thành phần RSA Authentication Agent có thể được cài lên rất nhiều điểm khác nhau trong hệ thống. Nó có thể được cài lên các điểm truy cập vào mạng như gateway, RAS, VPN,… cũng như cài lên các server Windows, Novell,…và được tích hợp sẵn trong tất cả các sản phẩm của các hãng sản xuất lớn như Microsoft, Nokia, CheckPoint, Cisco, Nortel…
Nguyên lý hoạt động của hệ thống
Ưu điểm của RSA SecurID
Độ an toàn cao: được xác thực dựa trên hai yếu tố (PIN + Token code) và luôn thay đổi, khi một ai đó có chặn bắt được passcode của người sử dụng thì cũng thể sử dụng nó để đăng nhập vào hệ thống. Do vậy, nó khắc phục được một nhược điểm rất lớn của xác thực bằng password là chỉ cần chặn bắt được password là có thể sử dụng để đăng nhập.
Quản lý password: đây là một nhược điểm cố hữu của password. Nhưng đối với SercurID, do được xác thực tập trung trên RSA Authentication Manager và Authentication Agent có thể được cài đặt tại rất nhiều điểm, chí cần sử dụng một token là người sử dụng có thể xác thực được tại bất cứ đâu trong mạng, tránh được việc phải sử dụng nhiều password.
Thuận tiện: với nhiều lựa chọn cho thành phần RSA SecurID Authenticators, người sử dụng có thể lựa chọn được thành phần thích hợp nhất cho mình.
Khả năng mở rộng: với việc được cài đặt RSA Authentication Manager lên nhiều máy chủ, một tổ chức có nhiều chi nhánh có thể cung cấp khả năng xác thực thông qua một máy chủ bản sao được đặt ngay tại chi nhánh thay vì phải sử dụng những kết nối đắt tiền về trung tâm để xác thực.
Hoạt động liên tục: khi một máy chủ chính không thể hoạt động được, một máy chủ bản sao sẽ được nâng cấp lên thành máy chủ chính. Điều này đảm bảo hệ thống hoạt động được liên tục và ổn định.
Chi phí thấp: với việc không phải sử dụng và quản lý quá nhiều password, người sử dụng sẽ không phải yêu cầu hỗ trợ từ bộ phận kỹ thuật, do vậy, chi phí cho hỗ trợ kỹ thuật giảm và năng suất lao động tăng lên.
Với các ưu điểm trên, chúng ta thấy rằng giải pháp xác thực người sử dụng RSA SecurID thực sự là một giải pháp rất tối ưu. Trong một hệ thống, với những cá nhân có quyền truy cập vào các thông tin quan trọng và nhậy cảm như lãnh đạo tổ chức, phòng kế toán, các quản trị hệ thống,… thì sử dụng giải pháp xác thực này sẽ giảm thiểu đến mức thấp nhất các nguy cơ như bị đánh cắp thông tin hay phá hoại xuống đến mức thấp nhất.