Nội dung dưới đây trình bày về một hệ thống xác thực mật khẩu 3 lớp, gồm: thứ tự hình ảnh, các điểm ảnh màu và mật khẩu một lần (OTP). Lớp đầu tiên là thứ tự hình ảnh, ở lớp này người dùng chọn các hình ảnh giống hệt nhau và theo đúng thứ tự như đã chọn trong giai đoạn đăng ký. Lớp thứ hai là lựa chọn pixel màu, ở lớp này người dùng chọn một điểm ảnh màu duy nhất. Lớp thứ ba, tạo mật khẩu một lần, đây là lớp an toàn nhất. Với hệ thống này, người dùng cần vượt qua cả 3 lớp xác thực, mới được quyền truy cập.
Thứ tự Hình ảnh
Tại lớp này, người dùng lựa chọn chính xác các hình ảnh được đặt trước đó theo cùng một thứ tự. Từ một chuỗi các hình ảnh, người dùng có thể lựa chọn một số hình ảnh một cách ngẫu nhiên. Các hình ảnh được cung cấp thường được sử dụng phổ biến, thân thiện với người dùng và dễ nhớ. Ví dụ: Khi chúng ta thiết lập một bộ đếm là 3 thì giới hạn tối đa của hình ảnh lựa chọn sẽ được thiết lập là ba hình ảnh.
Trong suốt giai đoạn xác thực, chuỗi các hình ảnh sẽ được đưa ra theo một thứ tự được xáo trộn, từ đó người dùng chọn cùng một tập hình ảnh được chọn trong giai đoạn đăng ký theo cùng một thứ tự. Trong trường hợp bất kỳ lựa chọn không hợp lệ của hình ảnh, hệ thống sẽ bị khóa tự động sau số lần thử được phép.
Hình 1: Thứ tự hình ảnh
Các điểm ảnh màu
Sau khi xác thực thành công ở lớp thứ tự hình ảnh, hệ thống chuyển đến lớp lựa chọn các điểm ảnh màu (Pixel màu). Người dùng sẽ chọn một pixel màu đơn từ các khối màu khác nhau được cung cấp. Các pixel màu được chọn phải trùng với pixel đã chọn trong giai đoạn đăng ký. Trong trường hợp lựa chọn hình ảnh hoặc pixel màu không hợp lệ, hệ thống sẽ được khóa tự động sau số lần thử tối đa được phép. Ví dụ, khi thiết lập một bộ đếm là 1, thì giới hạn của lựa chọn điểm ảnh màu sẽ được thiết lập là 1.
Hình 2: Pixel màu
Mỗi Pixel màu ở đây sử dụng mô hình màu RGB, là kết quả của việc tổ hợp 3 thành phần màu Red, Green và Blue. Mỗi thành phần màu có thể nhận giá trị từ 0 - 255. Vì vậy, số lượng Pixel màu tối đa sẽ là: 2563 = 26.777.216. Không gian mật khẩu dựa trên Pixel màu là: 26.777.216N, trong đó N là số lượng Pixel màu của mật khẩu.
Mật khẩu một lần
Ở lớp thứ ba, hệ thống sử dụng mật khẩu một lần (One Time Password - OTP) là mật khẩu có giá trị trong một phiên, được tạo ra và xác minh bằng các hàm băm và thuật toán mật mã an toàn như SHA-1. Trong hệ thống xác thực mật khẩu 3 lớp thì OTP sẽ được gửi đến điện thoại dưới dạng tin nhắn SMS, hoặc được tạo ra thông qua ứng dụng trên điện thoại thông minh. Giải pháp này sẽ giúp người dùng tạo và quản lý mật khẩu của mình thuận tiện và chi phí hợp lý hơn.
Với khả năng tiếp cận tất cả khách hàng với chi phí thấp, OTP được gửi qua tin nhắn là hình thức phổ biến. Ngoài ra, điện thoại thông minh cũng có thể được sử dụng như là thẻ bài hoặc nền tảng để tạo OTP. Như vậy có thể gọi nó là SMS OTP hoặc OTP được tạo ra thông qua điện thoại thông minh.
Kết luận
Hiện nay có rất nhiều sơ đồ xác thực, một số trong đó dựa trên các thuộc tính vật lý và hành vi của người dùng, một số khác dựa trên kiến thức của người dùng (mật khẩu văn bản và mật khẩu đồ họa). Ngoài ra, còn có các sơ đồ xác thực phức tạp hơn dựa trên các thẻ bài, chẳng hạn như thẻ thông minh (dựa trên những gì người dùng có). Các sơ đồ xác thực được sử dụng phổ biến nhất là mật khẩu văn bản và các sơ đồ dựa trên thẻ bài, hoặc sự kết hợp của hai loại này. Tuy nhiên, cả hai lược đồ xác thực này đều dễ bị tấn công nhất định.
Hệ thống xác thực mật khẩu 3 lớp được xây dựng bằng phương pháp kết hợp các tính năng của các sơ đồ xác thực khác nhau. Do vậy, sẽ nâng cao độ an toàn bảo mật hệ thống xác thực.