Với việc lựa chọn đề tài “Hệ thống xác thực 2 bước tích hợp phần cứng” để bảo vệ tốt nghiệp, nhóm sinh viên ngành An toàn thông tin (ATTT) Đại học FPT mong muốn có đủ nguồn lực để phát triển dự án góp phần giúp người dùng bảo vệ được thông tin trong cuộc sống số.
Việc phát triển mạnh mẽ của internet, công nghệ 4.0 như hiện nay kéo sự gia tăng nhanh chóng các cuộc tấn công an ninh mạng. Điều đáng nói, cách thức tấn công người dùng ngày càng tinh vi. Mặc dù việc nhận dạng bằng dấu vân tay hay xác minh khuôn mặt đang rất được phổ biến tuy nhiên mật khẩu vẫn là cách chính để truy cập vào các tài khoản cá nhân. Nhận thấy việc bảo vệ thông tin cho người dùng cuối là vô cùng quan trọng, nhóm sinh viên ngành ATTT Đại học FPT đã lựa chọn đề tài hệ thống xác thực 2 bước tích hợp phần cứng để bảo vệ tốt nghiệp đồng thời mong muốn phát triển dự án góp phần giúp người dùng bảo vệ được thông tin.
Áp dụng công nghệ mới U2F trong công tác bảo mật
Nguyễn Minh Hoàng – Khoá 10C ngành ATTT – thành viên nhóm bảo vệ đề tài tốt nghiệp chia sẻ: “Mọi người đều thấy rõ việc đăng nhập bằng Username và Password thông thường tiềm ẩn nhiều rủi ro có thể lộ passwork, khó quản lý passwork do đó nhóm mình muốn tích hợp thêm các phương thức khác để người dùng dễ dàng quản lý thông tin của mình hơn.
Từ ý tưởng ban đầu, nhóm sinh viên Đại học FPT đã nghiên cứu, phát triển đề tài với 3 phần chính: Hệ thống trang web quản lý User, quản lý các ứng dựng tích hợp; Các giao thức để tăng cao độ bảo mật: TOTP, SMS TOTP và giao thức nổi bật nhất là U2F; Xây dựng các ứng dụng để tích hợp vào các ứng dụng online ở trên internet hỗ trợ cho xác thực.
Sinh viên Quốc Anh cho biết: Công nghệ mới được nhóm nghiên cứu và đưa vào đồ án là U2F. Hiện tại 2 phương thức TOTP, SMS TOTP đã rất quen thuộc với người dùng, nhất là trong ngành ngân hàng, còn với U2F đây là phương thức mới của Google và Yubico hợp tác phát triển. Hiện tại U2F đã được triển khai trên hàng trăm triệu thiết bị với ước tính khoảng 1,5 tỷ tài khoản người dùng đang sử dụng và trên nhiều dịch vụ có quy mô lớn như Gmail, Dropbox, GitHub, Salesforce.com, Chính phủ Anh… Hiện tại, U2F đã được tích hợp mặc định trên hầu hết các trình duyệt, bao gồm Chrome/Chromium, Opera và Mozilla Firefox. Dù vậy, U2F chưa phổ biến tại Việt Nam.
Với việc sử dụng phương thức xác thực bằng phần cứng đã mang tới ưu điểm trong đồ án của nhóm, bởi việc xác thực này chống phishing như các vụ phishing lấy mã OTP của khách hàng xảy ra gần đây.
Theo đó, để xác thực qua thiết bị U2F, người dùng cần đăng nhập vào tài khoản sử dụng tên đăng nhập (username) và mật khẩu (password). Sau khi hệ thống dịch vụ kiểm tra mật khẩu là chính xác, hệ thống sẽ gửi challenge tới thiết bị U2F. Tại đây, người dùng nhấn nút trên thiết bị để thiết bị U2F tiến hành quá trình tạo và gửi response. Hệ thống dịch vụ sẽ kiểm tra response bằng việc sử dụng khóa công khai của thiết bị. Nếu kiểm tra thành công, người dùng có thể đăng nhập vào tài khoản.
Để thực hiện đề tài, nhóm đã phải đặt thêm thiết bị của Google từ Mỹ về và mất nửa tháng để thiết bị mới tới tay. Thiết bị này có thể giao tiếp qua MSC hoăc Bluetooth sẽ dễ dàng giao tiếp với máy tính hơn mà không phải cắm trực tiếp nhưng giá thành sẽ cao hơn nên để thực hiện đồ án này nhóm chỉ mua giao tiếp bằng USB. Chính bởi vậy, nhóm bạn trẻ mong muốn phát triển thêm phần cứng của riêng mình không phải đi mua phần cứng của nước ngoài.
Ăn ngủ cùng đề tài
Nhóm tác giả đã có 4 tháng ăn ngủ cùng đề tài, đặc biệt trong 1 tháng cuối họ đã phải thức đêm triền miên. Đây cũng là thời gian khó khăn nhất của cả nhóm để chuẩn bị tốt nhất cho buổi bảo vệ đồ án tốt nghiệp.
Tại buổi bảo vệ, các bạn có 90 phút thuyết trình về đề tài của mình, mô tả đồng thời demo sản phẩm và trả lời những câu hỏi, lắng nghe những ý kiến đánh giá, góp ý từ Hội đồng chấm đồ án.
“Trong suốt 4 năm học, những kiến thức, kinh nghiệm, kỹ năng được tích luỹ không những được áp dụng vào trong việc thực hiện đồ án mà còn nhiều công việc khác. Nhất là tính tự lập trong mỗi công việc. Việc tập hợp thành viên trong nhóm là một vấn đề khó khăn do đó đòi hỏi các công việc độc lập phải được hoàn thành để những buổi gặp mặt giải quyết vấn đề hiệu quả hơn. Kiến thức về mã hoá được học ở trường đã giúp nhóm nghiên cứu giao thức dễ hơn nhiều” – Thành viên Lê Minh Tú chia sẻ.
Nhiều kĩ năng kinh nghiệp trong kì OJT, hay những năm tháng làm việc tại công ty bên ngoài cũng đã được các bạn trẻ áp dụng triệt để. Nguyễn Minh Hoàng chia sẻ: “Trước đó, em đã có 2 năm làm việc tại FPT software. Em phải cảm ơn FPT software đã tạo điều kiện cho sinh viên trường F cũng như việc làm remote không phải tới công ty trực tiếp nên em có thể vừa học vừa làm. Tại đây em được làm rất nhiều dự án, chủ yếu là phát triển web cho các khách hàng Mỹ, Singapore, … Quá trình đó đã giúp em tiếp thu được nhiều kinh nghiệm phục vụ cho dự án này. Ví dụ như những kinh nghiệm về phát triển website bởi trong đồ án của nhóm em sử dụng website là chủ yếu.”
Trong khi đó Thành viên Minh Tú cũng khẳng định: “Kỳ OJT – học trong môi trường doanh nghiệp cho chúng em được tiếp xúc với những dự án, những Frame work thật; hiểu được một Frame work người ta sẽ phải làm những gì, trải qua bao nhiêu bước… Nó giúp chúng em tích luỹ một phần kinh nghiệm để phát triển dự án đi đúng hướng, chuyên nghiệp hơn. Đối với những gì đã chuẩn bị, buổi bảo vệ hôm nay xứng đáng với những gì công sức của mình và các thành viên trong nhóm đã bỏ ra trong suốt quãng thời gian vừa rồi.”
Tại buổi bảo vệ, nhóm tác giả nhận được phản hồi tốt từ Hội đồng chấm tốt nghiệp. Các thầy cô cũng đưa ra nhiều góp ý bổ ích để nhóm hoàn thiện thêm đồ án. Nhóm hi vọng trong tương lai sẽ đủ nguồn lực để phát triển đồ án thành dự án thực, phục vụ đắc lực cho các doanh nghiệp trong lĩnh vực ngân hàng hoặc tổ chức chính phủ, đặc biệt là trong chính phủ điện tử trong thời kì 4.0.
Nâu Đá