đại điện hoặc đại lự thương mại, tỹ thác hoa hồng, cho thuê đài hạn, xây đựng các công trình, r vẫn, kỹ thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc
CÁC KHÁI NIỆM VỀ TMĐT VÀ CÁC ĐẶC TRƯNG CỦA TMĐT
Lợi ích của TMĐT
Dựa trên những kinh nghiệm thực tế trong quá trình vận hành thương mại điện tử, TMĐT đã mang lại cho con người và xã hội nhiều lợi ích thiết thực, từ sự tiện lợi trong mua sắm và thanh toán đến cơ hội tiếp cận hàng hóa và dịch vụ rộng hơn, tối ưu chi phí vận hành và thúc đẩy đổi mới công nghệ.
2.1 Thu thập được nhiều thông tin
Thương mại điện tử giúp mỗi cá nhân tham gia tiếp cận nguồn tin phong phú về thị trường và đối tác, đồng thời giảm thiểu chi phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất và củng cố quan hệ với các bạn hàng Đối với doanh nghiệp, TMĐT mang lại thông tin thị trường đa chiều để họ xây dựng chiến lược sản xuất và kinh doanh phù hợp với xu thế phát triển của thị trường trong nước, khu vực và quốc tế Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa và nhỏ, vốn đang được nhiều nước coi là động lực phát triển kinh tế.
2.2 Giảm chỉ phí sản xuất
TMĐT giúp giảm chi phí sản xuất, trước hết là chi phí văn phòng Văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều và đồng thời làm giảm đáng kể chi phí tìm kiếm, chuyển giao tài liệu, khiến khâu in ấn gần như bị loại bỏ Nhờ số hóa quy trình và quản lý tài liệu điện tử, doanh nghiệp có thể tối ưu hóa hoạt động, tiết kiệm thời gian và chi phí, đồng thời tăng tính linh hoạt và khả năng cạnh tranh trên thị trường.
Tiết kiệm lên tới 30% trong lĩnh vực này mang lại lợi ích kinh tế ngay từ ngắn hạn Ở góc độ chiến lược, việc giải phóng nhân viên có năng lực khỏi nhiều công đoạn sự vụ cho phép họ tập trung vào nghiên cứu và phát triển (R&D), từ đó mang lại lợi ích to lớn và giá trị lâu dài cho doanh nghiệp.
2.3 Giảm chỉ phí bán hàng, tiếp thị và giao dịch
TMĐT giúp giảm chi phí bán hàng và chi phí tiếp thị Nhờ Internet/Web, một nhân viên bán hàng có thể giao dịch với số lượng lớn khách hàng; catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn có khuôn khổ cố định và dễ bị lỗi thời, trong khi catalogue điện tử trên web được cập nhật thường xuyên.
TMĐT qua Internet giúp người tiêu dùng và doanh nghiệp giảm đáng kể thời gian và chi phí giao dịch Thời gian thực hiện giao dịch qua Internet chỉ bằng khoảng 7% thời gian so với giao dịch qua FAX, và bằng khoảng 0,5 phần nghìn thời gian so với bưu điện chuyển phát nhanh Phí thanh toán điện tử qua Internet chỉ bằng khoảng 10% đến 20% so với chi phí thanh toán theo lối thông thường.
2.4 Xây dựng quan hệ đối tác
Thương mại điện tử tạo điều kiện thiết lập và củng cố mối quan hệ giữa các thành viên tham gia quá trình thương mại thông qua mạng Internet Các thành viên có thể giao tiếp trực tiếp và liên tục với nhau qua các kênh liên lạc trực tuyến, giúp xóa nhòa rào cản về địa lý và thời gian Nhờ vậy, sự hợp tác và quản lý được thực hiện nhanh chóng và liên tục, các đối tác mới và cơ hội kinh doanh trên phạm vi toàn cầu được phát hiện nhanh chóng, mang lại nhiều lựa chọn hơn cho doanh nghiệp.
2.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức.
Thương mại điện tử (TMĐT) sẽ kích thích sự phát triển của ngành CNTT và tạo cơ sở cho kinh tế tri thức, thúc đẩy tăng trưởng kinh tế bền vững Lợi ích từ TMĐT mang tính chiến lược đối với các nước đang phát triển: nếu sớm tiếp cận nền kinh tế tri thức và hệ sinh thái số, họ có cơ hội tham gia đầy đủ vào chu trình giá trị công nghệ; ngược lại, sau khoảng một thập kỷ, nhiều nước có nguy cơ bị bỏ lại phía sau Vì vậy, khía cạnh lợi ích này đòi hỏi các nước công nghiệp hóa chú trọng vào công nghệ và xây dựng chính sách phát triển phù hợp để khai thác tối đa tiềm năng của chuyển đổi số, nâng cao hạ tầng số và thu hẹp khoảng cách phát triển trên trường thế giới.
Các đặc trưng cơ bản của TMĐT
So với các hoạt động thương mại truyền thống, TMĐT có 1 số được trưng cơ bản sau:
3.1 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước.
Trong thương mại truyền thống, các bên thường gặp trực tiếp để tiến hành giao dịch, và các giao dịch này chủ yếu được thực hiện dựa trên các phương thức vật lý như chuyển tiền, séc, hoá đơn, vận đơn và báo cáo Các phương tiện viễn thông như fax và telex chỉ dùng để trao đổi dữ liệu kinh doanh, trong khi việc ứng dụng công nghệ điện tử trong thương mại truyền thống chỉ nhằm chuyển tải thông tin giữa hai đối tác của cùng một giao dịch.
Thương mại điện tử mở cửa cho mọi người tham gia từ vùng xa xôi hẻo lánh đến các khu đô thị rộng lớn, đồng thời tạo cơ hội bình đẳng để tiếp cận thị trường giao dịch toàn cầu mà không cần thiết phải có mối quen biết trước đó Nhờ các nền tảng trực tuyến, người bán và người mua ở mọi khu vực có thể kết nối, quảng bá sản phẩm và tham gia chu trình mua bán một cách tiện lợi và an toàn, bất kể khoảng cách địa lý Thương mại điện tử thu hẹp rào cản về địa lý, giúp nông thôn và thành thị đều có cơ hội kinh doanh, mở rộng thị trường và tiếp cận các kênh phân phối hiệu quả hơn Nhờ đó, thị trường toàn cầu trở nên dễ tiếp cận với mọi người, thúc đẩy sự phát triển kinh tế và sự hòa nhập của người tiêu dùng và nhà bán lẻ trên khắp mọi vùng miền.
3.2 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thông nhất toàn cầu) Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu.
Thương mại điện tử ngày càng phát triển và máy tính cá nhân trở thành cửa ngõ giúp doanh nghiệp tiếp cận thị trường toàn cầu Với TMĐT, một doanh nghiệp nhỏ mới thành lập có thể kinh doanh trên các thị trường như Nhật Bản, Đức và nhiều quốc gia khác mà không cần rời khỏi nhà, thay đổi cách vận hành và rút ngắn thời gian thâm nhập thị trường Mô hình kinh doanh online này giảm chi phí, mở rộng phạm vi khách hàng và tăng khả năng cạnh tranh cho các doanh nghiệp Việt Nam khi tham gia thị trường quốc tế.
3.3 Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thể, trong đó có một bên không thể thiểu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực.
Trong thương mại điện tử (TMĐT), bên cạnh các chủ thể tham gia giao dịch như trong thương mại truyền thống, còn xuất hiện một bên thứ ba gồm nhà cung cấp dịch vụ mạng và cơ quan chứng thực Những tổ chức này tạo ra môi trường an toàn cho các giao dịch TMĐT bằng cách cung cấp hạ tầng kỹ thuật và dịch vụ xác thực Họ đóng vai trò trung gian, truyền đi và lưu giữ các thông tin giữa các bên tham gia giao dịch TMĐT, đồng thời xác nhận độ tin cậy của giao dịch thông qua các cơ chế xác thực và quản lý dữ liệu.
3.4 Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với TMĐT thì mạng lưới thông tin chính là thị trường.
Thông qua TMĐT, nhiều mô hình kinh doanh mới được hình thành trên nền tảng mạng máy tính Các dịch vụ gia tăng giá trị trên mạng tạo ra các nhà trung gian ảo và dịch vụ môi giới cho cộng đồng doanh nghiệp và người tiêu dùng, trong khi các siêu thị ảo được hình thành để cung cấp hàng hóa và dịch vụ trực tuyến Các chủ cửa hàng truyền thống đang tích cực đăng tải thông tin lên Web nhằm khai thác thị trường rộng lớn trên Internet bằng cách mở cửa hàng ảo.
Các loại thị trường điện tử
Tuỳ thuộc vào đối tác kinh doanh mà người ta gọi đó là thị trường B2B,
B2C, C2B và C2C là các mô hình thị trường điện tử phổ biến Thị trường mở cho phép mọi người đăng ký và tham gia một cách dễ dàng, còn thị trường đóng chỉ cho phép một số thành viên được mời hoặc cấp phép tham gia Thị trường ngang tập trung vào một quy trình kinh doanh riêng lẻ, cho phép nhiều doanh nghiệp từ các ngành khác nhau tham gia làm người mua và liên hệ với một nhóm nhà cung cấp Ngược lại, thị trường dọc mô phỏng nhiều quy trình kinh doanh khác nhau của một ngành duy nhất hoặc của một nhóm người dùng duy nhất.
Sau làn sóng lạc quan về TMĐT vào những năm 1990 qua đi và sự xuất hiện của nhiều thị trường điện tử, quan điểm phổ biến cho rằng quá trình tập trung sẽ khiến chỉ một vài thị trường lớn tồn tại, trong khi các thị trường nhỏ hơn có thể thu hẹp hoặc biến mất Tuy nhiên, đồng thời ngày càng xuất hiện nhiều thị trường chuyên môn nhỏ, phục vụ các ngách thị trường và nhu cầu đặc thù của người tiêu dùng.
Hiện nay tình hình thị trường đã có nhiều biến chuyển: công nghệ khiến thị trường thương mại điện tử rẻ hơn và dễ tiếp cận hơn Xu hướng kết nối thông tin giữa các nguồn khác nhau thông qua API (giao diện lập trình ứng dụng) giúp hình thành một thị trường chung có mật độ hiển thị sản phẩm và giao dịch cao Bên cạnh đó, các thị trường độc lập trước đây nay được tích hợp và mở rộng bằng các giải pháp phần mềm cho một cổng web thương mại điện tử toàn diện.
Thương mại điện tử được phân loại theo tư cách của người tham gia giao dịch như sau:
C2C (Consumer — To — Consumer): Người tiêu đùng với người tiêu dùng
C2B (Consummer — To — Business): Người tiêu đùng với doanh nghiệp
C2G (Consumer — To — Government): Người tiêu dùng với chính phủ
B2C (Bussiness — To — Consumer): Doanh nghiệp với ngưt dũng
BB (Bussines — To — Busines): Doanh nghiệp với doanh nghiệp.
B2G (Bussiness — To — Government): Doanh nghiệp với chỉnh phủ
B2E (Bussiness — To — Employee): Doanh nghiệp với nhân viên
G2C (Government — To — Consumer): Chính phủ với người
G2B (Government — To — Business): Chính phủ với doanh nghiệp.
G2G (Government — To — Govermment): Chính phủ với chính phủ
Các hệ thống thanh toán trong TMĐT
Thanh toán điện tử là yếu tố cốt lõi của TMĐT, diễn ra khi tiền được chuyển giữa người mua và người bán trong quá trình mua bán trực tuyến Vấn đề then chốt ở đây là việc áp dụng các công nghệ thanh toán hiện đại—như mã hoá số thẻ tín dụng, séc điện tử và tiền điện tử—giữa ngân hàng, nhà trung gian và các bên tham gia hoạt động thương mại Các ngân hàng và tổ chức tín dụng hiện nay sử dụng các phương thức này để nâng cao hiệu quả hoạt động trong bối cảnh nền kinh tế số, nhờ đó chi phí xử lý và chi phí công nghệ được giảm thiểu và thương mại trực tuyến được thúc đẩy mạnh mẽ hơn.
Thanh toán điện tử là hình thức trả tiền thông qua các kênh điện tử thay vì trao tay tiền mặt Việc trả lương bằng cách chuyển tiền qua tài khoản ngân hàng và các hình thức thanh toán mua sắm bằng thẻ tín dụng hoặc thẻ mua hàng là những ví dụ tiêu biểu của thanh toán điện tử Ngoài ra, các phương thức như ví điện tử và thanh toán di động đang mở rộng khả năng thanh toán nhanh, an toàn và tiện lợi cho người dùng ở bất cứ địa điểm nào Nhờ tối ưu hóa quy trình thanh toán và tích hợp với hệ thống quản lý chi tiêu, thanh toán điện tử giúp doanh nghiệp tiết kiệm thời gian và chi phí, đồng thời mang lại trải nghiệm mua sắm liền mạch cho khách hàng.
1à những ví dụ đơn giản của thanh toán điện tử.
Hình thức thanh toán điện tử có một số hệ thống thanh toán cơ bản sau:
Thanh toán bằng thẻ tín dụng trên website bán hàng là hình thức thanh toán trực tuyến phổ biến, giúp khách hàng thanh toán mà không cần tiền mặt hay séc Để triển khai, website cần tích hợp các hình thức thanh toán online và liên kết với một dịch vụ thanh toán thẻ tín dụng như CyberCard hoặc PaymentXet Các thẻ tín dụng phổ biến hiện nay gồm Visa, MasterCard, American Express và IBC Quá trình giao dịch thẻ tín dụng từ website sẽ được chuyển tới hệ thống thanh toán trên máy chủ an toàn, nơi phần mềm xử lý giao dịch và xác nhận qua thẻ tín dụng để hoàn tất thanh toán và chuyển kết quả cho bộ phận xác nhận Dịch vụ thanh toán thẻ tín dụng đảm bảo tiền được ghi có vào tài khoản ngân hàng của người bán Để sử dụng dịch vụ này, website cần đăng ký một tài khoản giao dịch Internet với ngân hàng (acquirer) Hiện nay không phải ngân hàng nào cũng cung cấp tài khoản giao dịch trên Internet; tài khoản này cho phép doanh nghiệp thực hiện thanh toán bằng thẻ tín dụng online.
Internet thông qua dịch vụ thẻ tín đụng trên mạng
Thanh toán vì điện tử (Eleetronie Cash MieroPaymen): Được sử dụng cho những giao dịch quá nhỏ đối với yêu cầu thanh toán qua thẻ tín dụng (dưới 10
USD) Mieropayment vĩ thanh toán được duy trì qua biên nhận điện tử, khách hàng mở tải khoản với máy cung cắp biên nhận điện tử tự động Máy cung cấp biên nhận điện tử tự động Máy cung cắp biên nhận điện tử tự động sẽ cấp cho khách hàng tiền kỹ thuật số (digital money), do đỏ khách hàng có thể mua trực. tiếp từ Website Trước khí khách hàng thanh toản tiền kỹ thuật số đến ngư bán, nó xác nhận cả người mua và máy bán hảng tự động để đầm bảo rằng tiền đi đến đúng nơi cung cấp tiền điện tử Cyberrcash.
Chỉ phiếu điện tử (Electronic Check): Đây là một dịch vụ cho phép khách hàng, trực tiếp chuyển tiên điện tử từ ngân hàng đến người bán hàng Chí phiếu điện tử được sử dụng thanh toán hoá đơn định kỳ Các công ty như điện, nước, ga, điện thoại đưa ra hình thức thanh toán nảy đẻ cải thiện tỉ lệ thu, giảm chỉ phí và dễ dàng hơn cho khách hàng trong việc quản lý hoá đơn Từ triên vọng của khách hàng khi một khách hàng đăng kí với nhà cung cấp thì khách hàng sẽ nhận đư thông tin thanh toán (số tải khoản, ngân hảng ) Khách hàng với tên đăng kí sử dụng và mật khẩu họ có thể truy nhập vào Website của công ty phát hảnh c thể nhận những hoá đơn điện tử và gửi thư điện tử thông báo đã nhận được hoá đơn điện tử từ công ty cung cấp gửi đến Khi khách hàng truy cập hoá đơn của mình trên Internet sau khi xem xét tắt cả các hoá đơn khách hàng có thể chọn đẻ thanh toán từ tiền của mình trong tài khoản tại ngân hàng Quá trình thanh toán được thực hiện thông qua dịch vụ như địch vụ thanh toán chỉ phiều điện tử trên Cybercash's Paynow(thanh toán nhanh) của Cybercash.
Thư điện tử (Email) là kênh liên lạc quản trị thanh toán quan trọng trong doanh nghiệp, giúp tối ưu hóa quy trình xử lý giao dịch và xác nhận thanh toán Nó có thể được dùng để cho phép đối tác kinh doanh nhận thanh toán từ tài khoản khách hàng một cách nhanh chóng và an toàn, đồng thời dùng để lập tài khoản với nhà cung cấp nhằm quản lý các giao dịch thanh toán hiệu quả Việc sử dụng email cho các hoạt động thanh toán và cấp quyền tài khoản giúp tăng tính minh bạch, đẩy nhanh quá trình thanh toán và cải thiện kết nối giữa các bên liên quan.
Với những lợi ích nêu trên, tăng cường thanh toán điện tử sẽ giúp giảm đáng kể chi phí vận hành cho doanh nghiệp Theo tính toán của các ngân hàng, giao dịch bằng tiền mặt và séc rất tốn kém, nên các ngân hàng và nhà quản lý đang tìm kiếm các giải pháp chi phí thấp hơn thông qua thanh toán điện tử Tại Mỹ, tiền mặt chiếm khoảng 54% tổng số giao dịch, séc chiếm 29%, và giao dịch điện tử chỉ khoảng 17%; dự báo tỷ lệ thanh toán điện tử sẽ tăng lên trong thời gian tới nhờ sự phát triển của công nghệ và phát triển hệ sinh thái thanh toán số.
Công nghệ thanh toán điện tử
Các công nghệ thanh toán điện tử bắt đầu phát triển từ các dịch vụ chuyển tiền điện tử; điển hình là dịch vụ của Western Union, cho phép người dùng gửi tiền từ quầy giao dịch và người nhận có thể nhận tiền sau khi đáp ứng đầy đủ các điều kiện nhận tiền.
Trong trường hợp này, không có sự tham gia của bất kỳ ngân hàng nào thuộc Western; đây chỉ là một công ty điện tín Sự an toàn phụ thuộc vào khả năng tài chính của hãng, và an toàn của dịch vụ được kiểm soát qua các thông điệp gửi đi trong từng giao dịch riêng lẻ Thông tin này không được công khai rộng rãi mà chỉ đến với khách hàng và người nhận tiền Chữ ký được sử dụng như một công cụ xác nhận nhằm cho biết quá trình chuyển tiền đã hoàn tất khi khách hàng nhận được tiền.
Các sáng kiến thanh toán điện tử hiện nay nhằm tạo ra một phương thức thanh toán đơn giản và thuận tiện cho khách hàng, đồng thời đảm bảo giao dịch được thực hiện tức thời Trong mỗi giao dịch điện tử, quy trình kiểm tra, xác thực và thanh toán được kích hoạt ngay khi khách hàng gửi lệnh chuyển tiền để thanh toán cho một giao dịch mua bán trên mạng Nhờ tối ưu hóa quy trình, thời gian xử lý được rút ngắn, giúp khách hàng hoàn tất thanh toán nhanh chóng và an toàn mà không cần chờ đợi lâu Những yếu tố này góp phần làm cho thanh toán điện tử trở nên linh hoạt, tin cậy và phù hợp với nhu cầu giao dịch online ngày càng tăng.
Hệ thống thanh toán điện tử dành cho khách hàng phát triển rất nhanh chóng.
Quy trình thanh toán điện tử
Một quy trình thanh toán điện tử bao gồm có 6 công đoạn cơ bản sau:
1 Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tín thanh toán và địa chỉ liên hệ vào đơn đặt hàng (Order Form) của Website bán hàng Doanh nghiệp nhận được yêu cầu mua hảng hoá hay địch vụ của khách hàng và phản hôi xác nhận tôm tất lại những thông tin cằn thiết như mặt hẳng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng …
2 Khách hàng kiểm tra lại các thông tin và và click chọn “đặt hàng”, đề giới thiệu thông tin trả về cho Doanh nghiệp.
3 Doanh nghiệp nhận và lưu trữ thông tỉn đặt hàng đồng thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ) đã được mã hoá đến máy chủ (Server, thiết bị xử lÿ dữ liệu) của Trung tâm cung cắp dịch vụ xử lý thẻ trên mạng Internet Với quá trình mã hoá các thông tin thanh toán của khách hàng được bảo mật an toản nhằm chống gian lận rong các giao dịch (ngay cả doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách hàng).
4 Khi Trung tâm xử lý thẻ tín dụng nhận được thông tín thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau tường lửa (Fire Wall) và tách rồi mạng
Trong môi trường Internet (off the Internet), mục tiêu chính là bảo mật tuyệt đối cho các giao dịch thương mại, đồng thời định dạng lại các giao dịch và chuyển tiếp thông tin thanh toán đến hệ thống nhận thanh toán một cách an toàn Quá trình này tập trung vào chuẩn hóa dữ liệu, áp dụng mã hóa mạnh và kiểm soát truy cập để ngăn ngừa rò rỉ thông tin và đối phó với các rủi ro bảo mật Việc định dạng lại giao dịch giúp tối ưu hóa quy trình thanh toán, đảm bảo tính toàn vẹn dữ liệu và tăng độ tin cậy cho các giao dịch thương mại trên nền tảng số.
Ngân hàng của Doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng
(một đường truyền số liệu riêng biệt).
5 Ngắn hàng của Doanh nghiệp gởi thông điện điện tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc Công ty cung cấp thẻ tín dụng của khách hàng (Issuer) Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc tử chố thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet.
6 Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp và tùy theo đó doanh nghiệp thông báo cho khách hàng được rõ là đơn đặt hàng sẽ được thực hiện hay không.
AN TOÀN DỮ LIỆU TRONG TMĐT CỦA DOANH NGHIỆP
An toàn dữ liệu trong doanh nghiệp là gì
Bảo mật doanh nghiệp thực tế tập trung vào trung tâm dữ liệu, mạng và hoạt động của máy chủ web, nhưng về mặt kỹ thuật bắt đầu từ nguồn nhân lực; theo một số nhà nghiên cứu bảo mật, tấn công phi kỹ thuật là nguyên nhân gốc của hai phần ba tổng số cuộc tấn công hack thành công Trong các cuộc tấn công phi kỹ thuật, các điểm yếu về con người, tính chính trực hoặc sự both tin của nhân viên bị kẻ tấn công lợi dụng để giành quyền truy cập vào mạng hoặc dữ liệu; các cuộc tấn công như phishing qua email khiến nhân viên nhấp liên kết tải xuống và cài đặt phần mềm độc hại, còn vishing (lừa đảo bằng giọng nói hoặc VoIP) khai thác các cuộc trò chuyện điện thoại để lấy thông tin nội bộ, và các kỹ thuật như đánh tráo (smishing), mồi chài, spear phishing và water holing là những phương thức liên quan Những cuộc tấn công này có thể xâm phạm ngay cả những hệ thống an ninh mạng mạnh mẽ nhất và chỉ có thể được chống lại thông qua nâng cao nhận thức của nhân viên bằng đào tạo, kiểm tra và sàng lọc.
Các cuộc tấn công hack tự động là các cuộc tấn công nhắm vào máy chủ web và ứng dụng trực tuyến, được điều khiển bằng tập lệnh và nhắm vào các điểm nhập liệu như màn hình đăng nhập, biểu mẫu liên hệ và truy vấn tìm kiếm đến cơ sở dữ liệu Ví dụ phổ biến nhất là tấn công MySQL injection và khai thác tập lệnh trên nhiều trang web Khả năng gửi mã độc tới máy chủ thông qua các biểu mẫu không an toàn có thể dẫn đến mất toàn bộ cơ sở dữ liệu, bao gồm mọi bảng, mật khẩu và dữ liệu tài chính nhạy cảm của khách hàng Việc chèn mã khác với bẻ khóa mật khẩu có thể cho tin tặc quyền quản trị toàn diện hoặc thiết lập các cửa hậu tới máy chủ thông qua FTP và dòng lệnh.
Nguy cơ rò rỉ thông tin của doanh nghiệp
Gian lận thanh toán là vấn đề nan giải xuất hiện từ khi TMĐT ra đời, là hình thức kẻ gian hoặc hacker lợi dụng lỗ hổng của hệ thống thanh toán để thực hiện các giao dịch ảo và gây thất thoát cho doanh nghiệp TMĐT Các hình thức gian lận ngày càng tinh vi, khiến doanh nghiệp thương mại điện tử phải đối mặt với rủi ro mất doanh thu, chi phí xử lý và ảnh hưởng tới uy tín Để giảm thiểu gian lận thanh toán, các nền tảng TMĐT cần tăng cường bảo mật thanh toán, giám sát giao dịch và áp dụng xác thực mạnh, quản lý rủi ro để bảo vệ lợi ích của người tiêu dùng và doanh nghiệp.
Ví điện tử X ra mắt chương trình tặng tiền vào tài khoản cho người dùng mới đăng ký nhằm kích thích sự tham gia và tăng lượng người dùng Tuy nhiên, nếu ứng dụng X còn tồn tại lỗ hổng trong kiểm duyệt và xác minh tài khoản đăng ký mới, kẻ gian có thể tạo hàng loạt tài khoản để nhận tiền thưởng, dẫn đến gian lận và thiệt hại cho hệ thống thanh toán Nguy cơ này làm nổi bật sự cần thiết của việc vá lỗ hổng bảo mật, tăng cường xác thực người dùng và giám sát giao dịch để bảo vệ người dùng và đảm bảo an toàn cho ví điện tử X.
Gian lận thanh toán là hành vi dối trá và mánh khóe trong thương mại nhằm lừa đảo, trục lợi bất chính qua các hoạt động mua bán, kinh doanh và xuất nhập khẩu hàng hóa, dịch vụ Mục tiêu của gian lận thương mại là thu lợi bất chính bằng cách thực hiện các thủ đoạn lừa dối một cách trót lọt Chủ thể tham gia có thể là người mua, người bán hoặc cả hai bên, và đối tượng bị lợi dụng là hàng hóa, dịch vụ.
Hình 1 1 Gian lận thanh toán
Thanh toán trực tuyến ngày càng phổ biến nhờ sự thuận tiện và nhanh chóng, nhưng các vụ gian lận liên quan đến hình thức thanh toán này ngày càng phức tạp Gần đây, tội phạm trong giao dịch thanh toán thẻ trực tuyến hoạt động ngày càng tinh vi, điển hình là giả danh cán bộ ngân hàng thông báo với khách hàng về các khoản tiền chuyển vào tài khoản và yêu cầu cung cấp thông tin số thẻ cùng mã xác thực một lần (OTP) để tác nghiệp chiếm đoạt tài khoản Sau khi có được thông tin, đối tượng sẽ lợi dụng để mua sắm trực tuyến và dễ dàng chuyển đổi thành tiền mặt thông qua các phương thức như thẻ game trực tuyến, thẻ trả trước Internet, thẻ điện thoại tại Việt Nam hoặc qua các dịch vụ du lịch và vật phẩm cao cấp ở nước ngoài.
Email marketing vẫn là kênh thúc đẩy doanh số hiệu quả, nhưng cũng là nơi mà kẻ xấu lợi dụng để thực hiện hành vi SPAM Bên cạnh đó, spam có thể xuất hiện trên bình luận và form liên hệ với các liên kết chứa mã độc, hoặc xuất hiện ở tần suất gửi quá cao khiến tốc độ tải trang giảm đáng kể, ảnh hưởng tới trải nghiệm người dùng và hiệu quả SEO của bạn.
Những người gửi spam thường giả mạo thông tin cá nhân như tên, địa chỉ và số điện thoại để đánh lừa các ISP Họ cũng dùng thẻ tín dụng giả hoặc bị đánh cắp để thanh toán cho các tài khoản, từ đó có thể nhanh chóng di chuyển giữa nhiều tài khoản mỗi khi bị phát hiện và bị ISP đóng.
Phổ biến là hiện tượng sử dụng các địa chỉ email do chủ sở hữu công khai để phục vụ nhiều mục đích khác nhau Ví dụ, địa chỉ thuộc các nhóm Google Groups thường trở thành mục tiêu của những người gửi thư rác Người gửi thư rác cũng có thể đăng ký thông tin trong các danh sách thảo luận qua thư điện tử, khiến địa chỉ của họ dễ bị lạm dụng Có nhiều công cụ tiện ích có thể được dùng để tìm ra địa chỉ trên các trang web, tuy nhiên điều này có thể đặt quyền riêng tư và an toàn của người dùng vào nguy cơ.
Phishing tiếp tục là một trong những rủi ro bảo mật phổ biến nhất trong TMĐT Hacker thường giả danh các doanh nghiệp hoặc tổ chức có uy tín để lừa người dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng và mật khẩu tài khoản trên nền tảng thương mại điện tử Để đạt được mục đích, chúng tạo ra các website giả trá hình gần giống bản gốc khiến người dùng nhầm lẫn và nhập thông tin quan trọng Đôi khi chúng gửi email, tin nhắn SMS giả mạo nhân viên công ty hoặc gọi điện thoại giả danh cơ quan chức năng nhằm chiếm đoạt lòng tin của nạn nhân.
Tin tặc thường giả mạo ngân hàng, các trang web giao dịch trực tuyến, ví điện tử hoặc công ty thẻ tín dụng nhằm lừa người dùng tiết lộ những thông tin nhạy cảm như tài khoản và mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các dữ liệu quý giá khác, đây là hình thức tấn công phishing phổ biến mà người dùng cần cảnh giác để bảo vệ an toàn dữ liệu.
Phishing là phương thức tấn công phổ biến do tin tặc thực hiện qua email và tin nhắn, nhằm dẫn dụ người dùng nhấp vào liên kết giả mạo Khi người dùng mở thư hoặc tin nhắn và nhấp vào đường link, họ sẽ bị yêu cầu đăng nhập trên trang giả mạo Nếu người dùng mắc bẫy, tin tặc sẽ thu thập được thông tin đăng nhập ngay lập tức.
Kẻ gian có thể viết ra một bot tự động để thu thập dữ liệu quan trọng từ website thương mại điện tử của bạn, từ đó tạo lợi thế cạnh tranh bất chính Các thông tin dễ bị thu thập như mặt hàng đang hot, số lượng hàng tồn kho và số lượng đã bán có thể bị lợi dụng để đưa ra quyết định cạnh tranh hoặc tác động gián tiếp đến doanh thu của sàn TMĐT khi kẻ xấu biết tận dụng đúng cách Vì vậy, bảo mật dữ liệu và giám sát truy cập là rất quan trọng để ngăn chặn thu thập trái phép, rò rỉ thông tin và lãng phí nguồn lực Nên tập trung vào các biện pháp tăng cường an ninh API, thiết lập giới hạn truy cập và theo dõi hành vi bất thường nhằm bảo vệ dữ liệu sản phẩm, tồn kho và xu hướng mua sắm của người dùng.
DDoS (tấn công từ chối dịch vụ) là mối đe dọa thường trực với các trang thương mại điện tử, có thể làm website sập và gây gián đoạn trải nghiệm mua sắm của khách hàng; để đảm bảo trải nghiệm khách hàng tốt và duy trì sự online liên tục, các nền tảng TMĐT được kỳ vọng vận hành 24/7 và chịu được lưu lượng truy cập lớn ở mọi giai đoạn phát triển nhằm đáp ứng nhu cầu mua sắm ngày càng cao; tuy nhiên, chỉ một cuộc tấn công DDoS thành công cũng có thể gây thiệt hại nghiêm trọng về doanh thu trực tiếp và gián tiếp, đồng thời làm giảm uy tín thương hiệu trong mắt khách hàng.
Một phương thức tấn công phổ biến là tấn công từ chối dịch vụ (DoS) nhằm kéo sự bão hòa của máy mục tiêu với các yêu cầu liên lạc bên ngoài, làm máy không thể đáp ứng lưu lượng hợp pháp hoặc đáp ứng quá chậm Trong điều kiện phổ biến, các cuộc tấn công DoS đi kèm với ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên, dẫn đến dịch vụ bị gián đoạn hoặc làm tắc nghẽn liên lạc giữa người dùng và nạn nhân.
DoS hay tấn công từ chối dịch vụ là một hoạt động nguy hiểm có thể khiến nhiều dịch vụ ngừng hoạt động và là hệ quả tất yếu của một cuộc tấn công DoS Tấn công DoS không chỉ gây gián đoạn dịch vụ mà còn có thể dẫn tới vấn đề về nhánh mạng của thiết bị bị nhắm tới, khiến mạng bị quá tải Ví dụ, băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi cuộc tấn công, làm tổn hại không chỉ máy tính mục tiêu mà còn toàn bộ mạng.
Brute-force là một kiểu tấn công nhắm vào tài khoản quản trị viên của trang TMĐT, khi kẻ tấn công dùng công cụ chuyên dụng để thử lần lượt các mật khẩu phổ biến nhằm dò ra mật khẩu và chiếm quyền quản trị website Để tự bảo vệ trước các cuộc tấn công brute-force, hãy đặt mật khẩu phức tạp và đổi mật khẩu định kỳ.
BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG TMÐT
VẤN ĐỂ AN TOÀN THÔNG TIN
Ngày nay, nhờ sự phát triển mạnh mẽ của công nghệ thông tin, việc ứng dụng mạng máy tính đã trở nên vô cùng phổ biến và thiết yếu Công nghệ mạng mang lại lợi ích to lớn khi Internet ra đời, cho phép mọi người truy cập, chia sẻ và khai thác thông tin một cách dễ dàng và hiệu quả Sự phát triển của Internet về bản chất là đáp ứng nhu cầu ngày càng tăng về giao dịch trực tuyến trên mạng toàn cầu Các giao dịch trực tuyến trên Internet đã phát triển từ trao đổi thông tin (email, tin nhắn, v.v.) và quảng bá web đến các giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử và thương mại điện tử, phản ánh sự tiến bộ mạnh mẽ của công nghệ trên toàn thế giới.
Internet mang lại nhiều lợi ích về chia sẻ và truyền thông tin, nhưng đồng thời nảy sinh các vấn đề an toàn thông tin khi có các kỹ thuật cho phép truy cập, khai thác và phát tán dữ liệu Nguy cơ mất mát hoặc phá hủy thông tin chính đến từ quá trình truyền dữ liệu qua mạng Internet, nơi giao thức TCP/IP được sử dụng rộng rãi TCP/IP cho phép dữ liệu từ một máy tính được gửi qua một chuỗi máy tính trung gian và mạng khác nhau trước khi đến đích, và chính đặc điểm này tạo điều kiện cho các bên thứ ba can thiệp và gây rủi ro cho an toàn thông tin trong các giao dịch.
According to data from CERT (Computer Emergency Response Team), the number of internet attack incidents reported to this organization is lower.
200 vào năm 1989, khoảng 400 vào năm 1991, 1400 váo năm 1993, và 2241 vào năm
Vào năm 1994, các vụ tấn công mạng nhắm vào toàn bộ các máy tính kết nối với Internet, ảnh hưởng tới hệ thống của các tập đoàn lớn như AT&T và IBM, cũng như của các trường đại học, cơ quan nhà nước, các tổ chức quân sự và ngân hàng Một số vụ tấn công có quy mô khủng khiếp, lên tới 100.000 máy tính bị tấn công.
Hơn nữa, các con số hiện tại chỉ là phần nổi của tảng băng trong bối cảnh an ninh mạng; vẫn còn nhiều vụ tấn công không được công bố vì nhiều lý do, từ nỗi lo mất uy tín đến việc quản trị viên hệ thống thậm chí không nhận ra các cuộc tấn công nhắm vào hệ thống của họ.
Không chỉ số lượng các cuộc tân công tăng lên nhanh chóng, mà các phuơng pháp tẩn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác Cũng theo CERT, những cuộc tấn công thời kỷ 1988-1989 chủ yếu đoán tên người sử dụng - mật khấu (UserlD- password) hoặc sử dụng một số lỗi của các chương trinh và hệ điều hành (security hole) làm vô hiệu hóa hệ thống bảo vệ, tuy nhiên các cuộc tẩn công vào thởi gian gằn đây bao gồm cả các thao tác như giả mạo địa chi IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin) Một số vấn để an toàn đối với nhiều mạng hiện nay:
-Nghe trộm (Eavesdropping): Thông tin không hề bị thay đổi, nhưng sự bí mật của nó thì không còn Ví dụ, một ai đó có thể biết được số thể tín dụng, hay các thông tin cần bảo mật của bạn.
Giả mạo (Tampering) là hiện tượng thông tin khi truyền qua mạng bị thay đổi trước khi đến người nhận, làm sai lệch dữ liệu và làm mất tính toàn vẹn của thông tin Trong một giao dịch trực tuyến, kẻ xấu có thể sửa đổi nội dung của một đơn đặt hàng hoặc làm sai lệch hồ sơ cá nhân trước khi dữ liệu đến đích Điều này gây rủi ro cho an toàn thông tin, khiến người nhận nhận được dữ liệu không đúng sự thật và có thể dẫn tới quyết định sai lệch hoặc thiệt hại về kinh tế Để bảo vệ trước giả mạo dữ liệu và đảm bảo tính toàn vẹn của thông tin truyền tải, cần áp dụng các biện pháp bảo mật như mã hóa, chữ ký số, kiểm tra tính toàn vẹn và xác thực nguồn gốc dữ liệu ở cả hai đầu kết nối.
-Mạo danh (Impersonation): Một cá nhân có thể dựa vào thông tin của nguời khác để trao đổi với một đôi tượng Có hai hình thức mạo danh sau:
Bắt trước (Spoofing) là hình thức giả mạo danh tính nhằm tự xưng là một người khác Ví dụ, một kẻ tấn công có thể sử dụng địa chỉ email giả của người khác hoặc giả mạo tên miền của một trang web để đánh lừa nạn nhân tin rằng nội dung đến từ nguồn tin cậy.
Xuyên tạc là hành vi một cá nhân hoặc tổ chức giả mạo danh tính hoặc phát tán thông tin sai sự thật về người hoặc sự kiện, nhằm gây hiểu lầm hoặc hạ thấp uy tín Hành động này có thể gây thiệt hại cho người bị nhắc tới và làm mất niềm tin của người đọc vào thông tin trên mạng Ví dụ, một trang web chuyên về thiết bị nội thất có thể giả danh là nguồn tin uy tín, nhưng thực chất là một trang lừa đảo nhằm thu thập và đánh cắp thông tin thẻ tín dụng của người dùng.
Chối cải nguồn gốc là nguy cơ khi một cá nhân có thể phủ nhận đã gửi tài liệu trong quá trình tranh chấp, đặc biệt khi thông tin được truyền bằng email thông thường và người nhận khó xác nhận người gửi nếu chỉ dựa vào thư điện tử Để vừa bảo đảm tính bảo mật của thông tin vừa không cản trở sự phát triển của giao tiếp và hoạt động quảng bá trên mạng, cần áp dụng các giải pháp phù hợp cho an toàn thông tin Hiện nay có nhiều phương án bảo mật thông tin trên Internet, như mã hoá dữ liệu và chữ ký điện tử (chứng chỉ khóa công khai) Trong bài viết này, chúng ta lần lượt tìm hiểu các khái niệm căn bản về mã hoá thông tin và đi sâu vào việc sử dụng chữ ký số để xác thực trên mạng, từ đó nâng cao độ tin cậy của giao dịch điện tử và bảo vệ danh tính người gửi.
Các bí mật đảm bảo an toàn cho giao dịch điện tử
Một hệ thống an toàn thông tin là tổ hợp các biện pháp công nghệ, quy trình và con người nhằm bảo vệ dữ liệu và hạ tầng CNTT khỏi các cuộc tấn công và rủi ro bảo mật Đối với các hệ thống giao dịch trực tuyến, an toàn thông tin là yếu tố then chốt giúp đảm bảo tính toàn vẹn, tính sẵn sàng và tính bảo mật của thông tin người dùng Thông tin truyền trên mạng luôn tiềm ẩn nguy cơ bị mất mát, bị truy cập trái phép hoặc bị thao túng, do đó các biện pháp bảo mật phải được triển khai liên tục Ví dụ, thanh toán bằng thẻ tín dụng qua dịch vụ web đi kèm với các rủi ro như gian lận, lộ dữ liệu, tấn công trên kênh truyền dẫn và nguy cơ rò rỉ thông tin thanh toán, vì vậy doanh nghiệp cần áp dụng mã hóa dữ liệu khi truyền, xác thực mạnh, quản lý quyền truy cập và giám sát bất thường để giảm thiểu rủi ro.
-Thông tin từ trinh duyệt wed của khách hảng ở dạng thuần văn bản nên có thể lọt vào tay kẻ tấn công
Trinh duyệt web của khách hàng không thể xác định duợc máy chủ mà mình trao đổi thông tin có phải là web giả mạo
-Không ai có thể đân bào dữ liệu truyền di có bị thay đổi hay không
Để bảo đảm an toàn cho các giao dịch điện tử, các hệ thống thông tin cần có cơ chế bảo mật và quản lý dữ liệu chặt chẽ Hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng các yêu cầu bảo mật, trong đó hàng đầu là đảm bảo dữ liệu được truyền đi không bị đánh cắp.
-Hệ thống phải có khá năng xác thực, tránh trường hợp giả danh, giả mạo.
Do đó, cần tập trung bảo vệ tài sản khi dữ liệu được truyền giữa máy khách và máy chủ từ xa Việc cung cấp một kênh thương mại an toàn đồng nghĩa với bảo đảm tính toàn vẹn của thông báo và tính sẵn sàng của kênh.
Để đảm bảo an toàn giao dịch điện tử, các kỹ thuật chủ lực là sử dụng hệ mật mã, các chứng chỉ số và chữ ký số trong quá trình thực hiện giao dịch Hệ mật mã mã hóa dữ liệu, bảo vệ thông tin khỏi truy cập trái phép Chứng chỉ số cung cấp xác thực danh tính và nguồn gốc dữ liệu, còn chữ ký số đảm bảo tính toàn vẹn và không thể phủ nhận của giao dịch Sự kết hợp giữa mật mã, chứng chỉ số và chữ ký số tạo nền tảng bảo mật vững chắc cho mọi giao dịch điện tử.
CHỨNG CHỈ SỐ VÀ CƠ CHẾ MÃ HOÁ
1 Giới thiệu về chứng chỉ số
Việc sử dụng mã hóa và chữ ký số giúp bảo mật thông điệp và xác thực danh tính, nhưng không có gì đảm bảo tuyệt đối rằng đối tác không thể bị giả mạo; trong nhiều trường hợp cần thiết phải chứng minh danh tính bằng phương tiện điện tử Chứng chỉ số (digital certificate) là một tệp tin điện tử được dùng để nhận diện một cá nhân, một máy dịch vụ hoặc một tổ chức, và nó liên kết danh tính của đối tượng đó với một khóa công khai Giống như bằng lái xe, hộ chiếu hay chứng minh thư, chứng chỉ số là công cụ nhận diện tin cậy trong hệ thống an ninh mạng.
Certificate Authority (CA) là một đơn vị được ủy quyền xác thực danh tính và cấp các chứng chỉ số cho người dùng CA có thể là một đối tác bên thứ ba độc lập hoặc là một tổ chức tự vận hành hệ thống cấp chứng chỉ cho nội bộ của mình Các phương pháp xác thực danh tính phụ thuộc vào các chính sách do CA đặt ra; các chính sách này đảm bảo việc cấp chứng chỉ được thực hiện đúng đắn, xác định ai được cấp và mục đích sử dụng chứng chỉ Thông thường, trước khi cấp một chứng chỉ số, CA sẽ công bố các thủ tục cần thiết cho các loại chứng chỉ khác nhau.
Trong chứng chỉ số, một khóa công khai được gắn với danh tính duy nhất của một đối tượng, ví dụ như tên của một nhân viên hoặc tên máy dịch vụ Các chứng chỉ số giúp ngăn ngừa việc sử dụng khóa công khai cho mục đích giả mạo Chỉ có khóa công khai được chứng thực bởi chứng chỉ số mới có thể liên kết với khóa bí mật tương ứng, và nó thuộc sở hữu của đối tượng có danh tính nằm trong chứng chỉ số Ngoài khóa công khai, chứng chỉ số còn chứa thông tin về đối tượng như tên nhận diện, thời hạn hiệu lực, tên của CA cấp chứng chỉ và mã số liên quan Điều quan trọng nhất là chứng chỉ số phải có chữ ký số của CA đã cấp chứng chỉ đó.
Nó cho phép chúng chi số như đã được đóng dấu để nguời sử dụng có thể kiểm tra.
Trong giao tiếp trên mạng, mô hình điển hình là có một máy khách (client) như trình duyệt trên máy tính cá nhân và một máy dịch vụ (server) như máy chủ website Xác thực có thể được thực hiện ở cả hai phía, cho phép máy chủ tin tưởng máy khách và ngược lại Xác thực ở đây không mang ý nghĩa một chiều: người gửi mong nhận được sự tin tưởng từ người nhận và ngược lại Khi một thông điệp được gửi kèm chữ ký số và chứng chỉ điện tử, nguồn gửi không thể chối bỏ và đó là bằng chứng xác thực rõ ràng của nguồn gửi.
Có hai hinh thức xác thực máy khách:
Xác thực dựa trên tên đăng nhập và mật khẩu cho phép người dùng đăng nhập vào hệ thống bằng thông tin xác thực cá nhân, và máy dịch vụ sẽ quản lý danh sách các tên đăng nhập và mật khẩu này Xác thực dựa trên chứng chỉ số là một phần của giao thức bảo mật SSL, trong đó máy khách ký số dữ liệu và gửi cả chữ ký số lẫn chứng chỉ số qua mạng Máy dịch vụ sẽ dùng kỹ thuật mã hóa khóa công khai để kiểm tra chữ ký và xác định tính hợp lệ của chứng chỉ số, từ đó đảm bảo tính toàn vẹn và xác thực người dùng khi giao tiếp giữa máy khách và máy chủ.
Xác thưc dựa trên mật khẩu.
Khi xác thực người dùng theo phương pháp này, người dùng đã tin tưởng vào máy chủ dịch vụ, vốn có thể thiếu bảo mật nếu không sử dụng giao thức SSL Do đó, máy chủ dịch vụ phải thực hiện xác thực người dùng trước khi cho phép họ truy cập vào tài nguyên của hệ thống.
Hình 1 7 Sử dụng mật khâu xác thực máy khách ke nối tới máy dịch vụ
Các bước trong hình trên như sau:
Buớc 1: Đề đắp lại yèu câu xác thực từ mảy dịch vụ, máy khách sẽ hiện hộp thoại yêu câu nhập mật khâu Người phài dùng nhập mật khâu cho mối máy dịch vụ khảc nhau trong cùng một phiên làm việc.
Bước 2: Mảy khách gửi mật khâu qua mạng không cân một hinh thức mã hóa
Bước 3: Máy dịch vụ tỉm kiêm mật khấu tong co sở dữ liệu.
Buớc 4: Máy dịch vụ xác định xem mật khẩu đỏ có quyên truy cập vào những tài nguyên nào của hệ thống
Khi sử dụng loại xác thực này, người dùng phải nhập mật khẩu cho từng máy hoặc dịch vụ riêng biệt và hệ thống sẽ lưu lại dấu vết của các mật khẩu này cho mỗi người dùng, đồng thời ảnh hưởng đến việc quản lý truy cập và bảo mật tổng thể của hệ thống.
Xác thực dưa trên chứng chỉ số.
Chứng chỉ số có thể thay thế ba bước đầu xác thực bằng mật khẩu thông qua cơ chế cho phép người dùng chỉ phải nhập mật khẩu một lần và không bị truyền qua mạng Người quản trị có thể điều khiển quyền truy cập một cách tập trung, từ cấp phát chứng chỉ đến quản lý danh tính và phân quyền, qua đó tăng cường bảo mật và tối ưu hóa quá trình quản trị hệ thống.
Hình 1 8 Chứng chỉ số chứmg thực cho máy khách kết nối tới máy dịch vụ
Giao dịch được bảo mật bằng giao thức SSL như mô tả ở hình trên, đảm bảo an toàn cho quá trình truyền dữ liệu Máy khách phải có chứng chỉ số để máy dịch vụ nhận diện và xác thực người dùng Việc xác thực bằng chứng chỉ số có lợi thế so với mật khẩu vì nó dựa trên những gì người dùng có, chứ không chỉ dựa vào những gì người dùng biết Nhờ đó, xác thực bằng chứng chỉ tăng cường bảo mật và giảm thiểu rủi ro bị tấn công dựa trên mật khẩu, phù hợp với môi trường đòi hỏi an toàn cao.
Khóa bí mật và mật khẩu là những lớp bảo vệ căn bản giúp bảo vệ dữ liệu quan trọng Điều cần chú ý là chỉ các máy khách được cấp phép mới có quyền truy cập hệ thống; người dùng phải nhập mật khẩu để có thể truy cập cơ sở dữ liệu của chương trình Việc xác thực này có thể yêu cầu người dùng nhập lại mật khẩu sau một khoảng thời gian định trước để duy trì mức an toàn liên tục.
Cả hai cơ chế xác thực đều yêu cầu truy cập ở mức vật lý đến các máy cá nhân Mã hóa công khai chỉ có thể xác nhận việc sử dụng khóa bí mật tương ứng với khóa công khai trong chứng chỉ số và không đảm nhận trách nhiệm bảo vệ vật lý thiết bị cũng như mật khẩu dùng để mở khóa khóa bí mật Trách nhiệm bảo vệ thiết bị và khóa thuộc về người dùng.
Cảc bước trong hình trên như sau:
Buớc 1: Phản mềm máy khách (ví dụ như Communicator) quản lý cơ sở dữ liệu về các cặp khóa bụ mật và khóa công khai Máy khách sẽ yêu cầu nhập mật khẩu để truy cập vào cơ sở dữ liệu này chỉ một lần hoặc theo định kỳ.
Khi máy khách kết nối tới máy chủ dịch vụ được bảo vệ bằng SSL, xác thực máy khách dựa trên chứng chỉ số được thực hiện, và người dùng chỉ cần nhập mật khẩu một lần mà không phải nhập lại cho các lần truy cập sau.
Buớc 2: Máy khách dùng khóa bí mật tuơng img với khóa công khai ghi trong chứng chỉ, và ki lên dữ liệu được tạo ra ngẫu nhiên cho mục đích chứng thực từ cả phía máy khách và máy dịch vụ Dữ liệu này và chữ ký số thiết lập mọt bằng chứng xác định tính hợp lệ của khóa bí mật Chữ kí số có thế đựoc kiểm tra bằng khóa công khai tuơng ứng với khóa bí mật đã dùng để kí, nó là duy nhất trong moi phiên làm viộc của giao thức SSL
Buớc 3: Máy khách gừi cả chứng chi và bằng chúng (một phần dữ liệu duợc tạo
Ngẫu nhiên và được kí) qua mạng
Buóc 4: Máy dịch vụ sử dụng chứng chi số và bẳng chứmg đó đế xác thục nguời