Giải pháp yếu tố con người

Một phần của tài liệu Xây dựng chương trình RSA mã hóa trên thẻ ATM (Trang 45 - 50)

CHƯƠNG 2 TÌM HIỂU VỀ THANH TOÁN GIAO DỊCH TRÊN THẺ

2.2 Các giải pháp bảo mật

2.2.6 Giải pháp yếu tố con người

Hầu hết các yếu tố các giải pháp trên đều đề cập đến những vấn đề về hệ thống, thiết bị. Tuy nhiên, chính những nhận thức đơn giản của khách hàng lại là cơ sở cho kẻ xấu lợi dụng để thực hiện hành vi phạm pháp. Chúng ta cần phải trang bị những kiến thức hết sức cơ bản về bảo mật, có như thế mới hạn chế tối đa được kẽ hở cho hacker mũ đen lợi dụng. Bạn cần chú ý những điểm sau đây để phòng tránh, hạn chế mắc lừa bọn tội phạm thẻ ATM:

Rất nhiều ngân hàng yêu cầu khách hàng chọn mã số riêng của mình (số PIN). Visa đưa ra một số lời khuyên đối với việc sử dụng số PIN như sau:

 Đừng viết ra số PIN của bạn. Nếu bạn phải viết ra số PIN, không nên cất nó ở trong ví.

 Tạo số PIN bằng một dãy chữ hoặc số mà bạn có thể dễ dàng nhớ, nhưng số PIN này không được liên quan đến bạn một cách quá dễ dàng.

39

 Tránh sử dụng ngày sinh, chữ đầu tiên của tên, số nhà hoặc số điện thoại.

Visa cũng khuyến cáo những điều cần lưu ý để sử dụng máy ATM an toàn:

 Cất thẻ ATM của bạn trong ví nơi mà thẻ sẽ không bị cào xước hoặc bị cong.

 Hãy lấy thẻ của bạn ra trước khi bạn đến gần máy ATM. Bạn dễ có khả năng bị tấn công hơn nếu bạn đang đứng trước máy ATM và lóng ngóng lục tìm thẻ trong ví.

 Đứng trực diện với bàn phím của máy ATM khi gõ mã số của bạn. Điều này hạn chế được việc có ai đó đang đứng đợi sử dụng máy ATM nhìn thấy những thông tin cá nhân của bạn.

 Sau khi kết thúc giao dich, hãy cầm theo hóa đơn, thẻ và tiền của bạn.

Không nên đứng trước máy ATM để đếm tiền.

 Nếu bạn đang sử dụng một máy ATM dành cho người lái xe ô tô, hãy đưa xe ô tô của bạn vào càng gần máy ATM càng tốt để tránh việc có ai đó sẽ tiến đến gần cửa sổ xe của bạn. Cũng nên chắc chắn rằng các cửa xe đã được khóa trước khi bạn lái xe đến gần máy ATM.

 Không nên để xe ô tô của bạn nổ máy khi bạn đang sử dụng máy ATM dành cho người đi bộ. Hãy mang theo chìa và khóa cửa xe trước khi thực hiện giao dịch.

 Nếu có ai đó hoặc có điều gì khiến bạn thấy bất ổn, hãy hủy bỏ giao dịch và rời khỏi máy ngay. Hãy liên hệ với ngân hàng để chắc chắn rằng giao dịch đã được hủy bỏ và cảnh báo cho họ biết về bất kỳ kẻ tình nghi nào.

b) Những lỗi bảo mật cơ bản trong việc quản lý thông tin

Ta hiểu nôm na bảo mật thông tin cũng giống như bảo vệ một ngôi nhà.

Ngoài biện pháp thủ công là hàng ngày ngôi trông ngôi nhà đó để kẻ xấu không thẻ lẻn vào nhà được, thì ta có thể dùng các loại khóa đa năng để bảo ngôi nhà

40

đó. Với các loại khóa tốt như hiện nay thì ta có thể an tâm là kẻ trộm không thể dễ dàng phá khóa để vào nhà bất hợp pháp. Tuy nhiên, nêu chẳng may bạn lơ đãng đánh rơi chìa khóa mà kẻ xấu nhặt được thì sẽ thật tai hại.

Hình 5. Mô tả bảo vệ nhà bằng khóa

Từ ví dụ minh họa trên ta thấy, để bảo mật những thông tin quan trọng, ta cũng có thể dùng các công cụ hỗ trợ. Đơn giản nhất như kiểu quản lý bằng Password, nhưng cũng giống như việc lơ đãng đánh rơi chìa khóa, việc để lỗ Password sẽ mang lại những hậu quả khôn lường.

Các lỗi mà doanh nghiệp mắc phải khi bảo mật thông tin

 Không có chính sách

 Không cập nhật

 Không theo dõi .

41

 Chính sách “thuần túy kỹ thuật”

Giả sử bạn tránh được ba “cạm bẫy” đã nêu trên thì vẫn có thể mắc một sai lầm khác liên quan đến trọng tâm của chính sách bảo mật.

Một chính sách chỉ bao gồm bảo mật kỹ thuật (như độ phức tạp của mật khẩu, các quy luật về bức tường lửa, cảnh báo ngăn chặn xâm nhập, cập nhật phần mềm chống virus...) mà bỏ qua việc thảo luận của mọi người và các hoạt động của họ sẽ làm cho doanh nghiệp dễ bị tổn thất bởi những mối đe dọa như : lạm dụng thẩm quyền nội bộ, sử dụng cá nhân các nguồn thông tin,... Quan trọng là xác định sự an toàn về kỹ thuật và bảo đảm chúng phải được thực thi theo chính sách bảo mật. Chính sách phải bao gồm bộ ba “con người, quy trình và kỹ thuật”.

Xin nhắc lại, dữ liệu thu thập được rất quan trọng cho việc giữ sự cân bằng, vì hoạt động của hệ thống (như tái khởi động hệ thống, cập nhật tự động, ngăn chặn xâm nhập) và hoạt động của người sử dụng đều được lưu trữ và có thể được dùng để đối chiếu với chính sách cũng như được trưng ra làm bằng chứng cho việc vi phạm hay tuân thủ chính sách.

 Chính sách to lớn và cồng kềnh

 Xác định nguy cơ đối với hệ thống

Các nguy cơ đối với hệ thống chính là các lỗ hổng bảo mật của các dịch vụ, hệ thống đó cung cấp. Việc xác định đúng đắn các nguy cơ này giúp người quản trị có thể tránh được những cuộc tấn công mạng, hoặc có biện pháp bảo vệ đúng đắn. Thông thường, một số nguy cơ này nằm ở các thành phần sau trên hệ thống:

 Các điểm truy nhập:

Thông thường các điểm truy nhập thường phục vụ hầu hết người dùng trên mạng, không phụ thuộc vào quyền hạn cũng như dịch vụ mà người sử dụng dùng.

Do đó, các điểm truy nhập thường là thành phần có tính bảo mật lỏng lẻo. Mặt

42

khác, đối với nhiều hệ thống còn cho phép người sử dụng dùng các dịch vụ như Telnet, rlogin để truy nhập vào hệ thống, đây là những dịch vụ có nhiều lỗ hổng bảo mật.

 Không kiểm soát được cấu hình hệ thống

 Những bug phần mềm sử dụng

Những bug phần mềm tạo nên những lỗ hổng của dịch vụ là cơ hội cho các hình thức tấn công khác nhau xâm nhập vào mạng; Các chương trình trojans và virus là những ví dụ cụ thể. Do đó, người quản trị phải thường xuyên cập nhật tin tức trên các nhóm tin về bảo mật và từ nhà cung cấp phần mềm để phát hiện những lỗi của phần mềm sử dụng. Khi phát hiện có bug cần thay thế hoặc ngừng sử dụng phần mềm đó chờ nâng cấp lên phiên bản tiếp theo.

 Những nguy cơ trong nội bộ mạng

Một hệ thống không những chịu tấn công từ ngoài mạng, mà có thể bị tấn công ngay từ bên trong. Có thể là vô tình hoặc cố ý, các hình thức tấn công bên trong mạng vẫn thường xảy ra trên một số hệ thống lớn. Chủ yếu với hình thức tấn công ở bên trong mạng là người tấn công có thể tiếp cận về mặt vật lý đối với các thiết bị trên hệ thống, đạt được quyền truy nhập không hợp lệ tại ngay hệ thống đó.

Các qui tắc về lựa chọn mật khẩu an toàn

 Lựa chọn mật khẩu:

- Không sử dụng tên người truy nhập làm mật khẩu

- Không sử dụng bất cứ thông tin nào liên quan đến gia đình, cá nhân người sử dụng như ngày sinh, số điện thoại ... làm mật khẩu - Không sử dụng mật khẩu chỉ gồm toàn bộ các chữ hoặc các số - Không sử dụng những từ trong từ điển, những danh sách tuần tự

làm mật khẩu

- Không sử dụng mật khẩu ít hơn 6 ký tự

43

- Tạo mật khẩu gồm cả chữ hoa và chữ thường

- Tạo mật khẩu kết hợp cả chữ, số và các ký tự đặc biệt

- Tạo mật khẩu có thể gõ nhanh mà không cần nhìn vào bàn phím Sau khi đã tạo xong mật khẩu, cần có chính sách buộc người sử dụng thay đổi mật khẩu trong một thời gian nhất định. Hầu hết các hệ thống hiện nay đều hỗ trợ cơ chế này; nếu không thay đổi mật khẩu, tài khoản đó không còn giá trị trên hệ thống

Nhƣợc điểm của giải pháp:

 Việc xây dựng tài liệu liên quan đến bảo mật cho khách hàng không thể là chuyện một sớm một chiều, chúng ta cần phải có sự đầu tư kỹ lưỡng về thời gian cũng như của cải vật chất. Đó là chưa kể đến kiến thức về bảo mật đòi hỏi chúng ta phải có những kiến thức cơ bản nhất định về tin học.

Một phần của tài liệu Xây dựng chương trình RSA mã hóa trên thẻ ATM (Trang 45 - 50)

Tải bản đầy đủ (PDF)

(63 trang)