Ngày càng nhiều tổ chức tài chính, ngân hàng, chứng khoán  cung cấp dịch vụ  trực tuyến  nhằm đem lại sự tiện lợi cho khách hàng. Chỉ cần máy tính  kết nối Internet  là người dùng  có thể thực hiện các giao dịch  như chuyển khoản hay thanh toán ở bất kỳ đâu một cách nhanh chóng.

Nhanh và tiện lợi, nhưng không ít người vẫn ngại giao dịch  qua mạng. Thật khó an tâm khi giao dịch  số tiền lớn qua mạng với "phương thức bảo đảm" đơn sơ chỉ có tài khoản  đăng nhập (tên hay mã số) và mật khẩu  (password) – phương thức truyền thống  được nhiều dịch vụ  trực tuyến  áp dụng – khi những thông tin  về các vụ đánh cắp tài khoản, tấn công  "bẻ khoá” hay giả mạo (phishing) không ngớt xuất hiện trên các phương tiện truyền thông.

Mật khẩu giờ không còn đủ tin cậy, để tăng cường "hàng rào an ninh" và đem lại niềm tin  cho khách hàng, một số ngân hàng  và công ty  chứng khoán  đã bắt đầu sử dụng phương thức "khóa hai" (xem bài Khóa thêm password đã đăng trên TGVT A tháng 10/2007, ID: A0710_124).

Khóa USB

Thiết bị USB  (phần cứng) đi cùng phần mềm  xác thực có lẽ là giải pháp "khóa hai" được ưa chuộng nhất hiện nay. Thiết bị lưu trữ  (bút nhớ) USB  hiện rất phổ biến và gần như "không thể thiếu" với người dùng  máy tính, nhúng thêm "chip" bảo mật, thiết bị này trở thành "khóa hai" tiện lợi cho dịch vụ  web. Đây chính là hướng đi của SmartWeb.

Giải pháp SmartWeb của Silemi bao gồm phần cứng  (thiết bị USB) và phần mềm. Thiết bị USB  được thiết kế  đặc biệt, mỗi khóa có một số serial riêng được sinh bởi chip  nhúng bên trong (không bị mất đi khi format). Ngoài vùng lưu trữ  như bút nhớ USB  thông thường, thiết bị này còn có 1 vùng dành riêng cho dữ liệu  và ứng dụng  "nhạy cảm", để truy cập  phân vùng này người dùng  cần có mật mã.

Phần mềm của SmartWeb gồm 3 module:

• Module  kích hoạt USB: Chạy trên máy tính  của người quản lý, dùng để ghi số serial của USB  vào CSDL trên máy chủ  xác thực và kích hoạt tính năng "khóa" cho USB.

• Module  người dùng: được nạp trên thiết bị USB, dùng để truy cập  dịch vụ  web.

• Module  quản lý: đây là thành phần quan trọng  nhất, chạy trên server, quản lý việc truy cập  của các khóa USB  và xác thực người dùng.

Trừ module  quản lý cài đặt trên máy chủ  web  (server), hai module  còn lại được thiết kế  dạng "copy và chạy", có thể chạy trên bất kỳ máy tính  nào có kết nối Internet  mà không yêu cầu cài đặt bất kỳ trình điều khiển hay phần mềm  nào - điều rất có ý nghĩa với người dùng  cuối.

Khỏi nhớ, đỡ lo

Giao dịch trực tuyến  tiện lợi, nhưng nếu sử dụng máy tính  công cộng  ở đâu đó chứ không phải chiếc máy tính  thường dùng của mình chắc không ít người dùng  cảm thấy "đôi chút bất tiện": phải nhớ địa chỉ trang đăng nhập của dịch vụ  web  (đôi khi khá dài và không dễ nhớ), và quan trọng  hơn, phải nhớ xoá dấu vết truy cập  web  mà trình duyệt  web  lưu lại để "phòng ngừa hậu họa".

SmartWeb giải quyết được nỗi lo này. Người dùng  chỉ việc đơn giản cắm khóa USB  vào máy tính, chạy chương trình  SmartWeb (module người dùng) và nhập mã Pin, chương trình  sẽ truy cập  server  để lấy địa chỉ dịch vụ  web  đã được khai báo và hiển thị trong cửa sổ giao diện  tương tự trình duyệt  (nhưng thanh địa chỉ được giấu đi) - tính năng này cũng có thể giúp người dùng  tránh được việc giả mạo website  (phishing). Chương trình  SmartWeb có thể được cất trong vùng riêng trên USB, mọi "dấu vết" duyệt web  cũng được lưu trong vùng này chứ không phải trên máy tính  nhờ vậy tránh được các cặp mắt tò mò.

SmartWeb thiết kế  nhiều lớp bảo vệ. Việc truy cập  vùng riêng cần có mật mã (Pin code  và Password), module  người dùng  khi chạy cũng yêu cầu mật mã. Do đó nếu người dùng  lỡ để lạc USB  thì cũng khó có khả năng bị lộ thông tin  nhạy cảm. Và trong tình huống bị lạc USB, SmartWeb có cách thức "gửi" thông báo  đến người cầm nhầm USB  thông tin  liên hệ của người chủ sở hữu.

SmartWeb thực sự là "người bạn tin cậy" cho cả người dùng  và nhà cung cấp dịch vụ  trực tuyến. Không chỉ cho các tổ chức tài chính, giải pháp SmartWeb còn có thể áp dụng cho các tổ chức có mở "mạng riêng", cho phép nhân viên  truy cập  qua Internet  hay các tòa soạn báo điện tử  có thực hiện cập nhật qua Internet.

Với chi phí triển khai (bao gồm USB  và phần mềm) khoảng 3.000 USD  cho 100 người dùng  hay 20.000 USD  cho 1.000 người dùng  (USB có các mức dung lượng từ 1GB đến 8GB), giải pháp SmartWeb khá phù hợp cho các tổ chức tài chính  cũng như doanh nghiệp  nhỏ và vừa tại Việt Nam. Sản phẩm  do công ty  Kim Hoàn Bội phân phối.

AN TOÀN HƠN VỚI WebOTP

Một giải pháp của Eutronsec, WebOTP sử dụng khóa USB  sinh tự động mật khẩu  "luôn mới" nhờ công nghệ  One Time Password (OTP), đảm bảo tính bảo mật  và an toàn rất cao.

Qui trình xác thực khởi đầu  với việc hiển thị trang web  yêu cầu người dùng  cắm vào máy tính  thiết bị WebOTP (khóa USB), người dùng  cắm thiết bị vào cổng USB  và thiết bị tự động gửi mã xác thực đến server. Nếu xác thực thành công, trình duyệt  sẽ chuyển đến trang web  được bảo vệ. Tiến trình xác thực không hề yêu cầu người dùng  gõ vào bất kỳ thông tin  gì từ bàn phím  – nhờ vậy tránh được việc bị lộ password hay bị ghi trộm password từ bàn phím. Chuỗi xác thực chứa ID nhận diện người dùng  sử dụng thuật toán mã hóa AES 256 bit.

Giải pháp WebOTP chỉ yêu cầu cài đặt phía server  để tích hợp với dịch vụ  web, không yêu cầu cài đặt bất kỳ phần mềm  hay trình điều khiển nào phía client. Khác với khóa USB  của SmartWeb, khóa USB  của WebOTP không có chức năng lưu trữ  và máy tính  cũng không nhận diện như bút nhớ USB  thông thường.

Bạn có ý kiến gì về bài viết Chìa khóa cho giao dịch trực tuyến này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Chìa khóa cho giao dịch trực tuyến bạn tại đây.