Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
2. Củng cố lại bài 6
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Bài 7 - Xác thực và quản lý tài khoản 2
3. Mục tiêu của bài học
Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
Bài 7 - Xác thực và quản lý tài khoản
4. Giới thiệu
Xác thực thông tin
Quá trình nhằm đảm bảo một người đang có ý định truy
cập tới tài nguyên là đáng tin cậy
Các chủ đề sẽ đề cập trong bài
Xác thực và quản lý bảo mật tài khoản người dùng
Các kiểu xác thực thông tin khác nhau
Mô hình đăng nhập đơn nhất
Các kỹ thuật và công nghệ quản lý bảo mật tài khoản
người dùng
Các hệ điều hành được tin cậy
Xác thực thông tin
Quá trình nhằm đảm bảo một người đang có ý định truy
cập tới tài nguyên là đáng tin cậy
Các chủ đề sẽ đề cập trong bài
Xác thực và quản lý bảo mật tài khoản người dùng
Các kiểu xác thực thông tin khác nhau
Mô hình đăng nhập đơn nhất
Các kỹ thuật và công nghệ quản lý bảo mật tài khoản
người dùng
Các hệ điều hành được tin cậy
4Bài 7 - Xác thực và quản lý tài khoản
5. Xác thực thông tin
Các kiểu xác thực thông tin
Bạn có những gì?
Ví dụ: khóa từ xe ô tô
Bạn là ai?
Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp
viên của câu lạc bộ sức khỏe
Bạn biết những gì?
Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc
bộ sức khỏe
Các kiểu xác thực thông tin
Bạn có những gì?
Ví dụ: khóa từ xe ô tô
Bạn là ai?
Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp
viên của câu lạc bộ sức khỏe
Bạn biết những gì?
Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc
bộ sức khỏe
5Bài 7 - Xác thực và quản lý tài khoản
6. Xác thực thông tin
6Bài 7 - Xác thực và quản lý tài khoản
7. Bạn biết những gì: Mật khẩu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
7Bài 7 - Xác thực và quản lý tài khoản
8. Những yếu điểm
của mật khẩu (1/2)
Yếu điểm của mật khẩu có liên quan đến trí nhớ của
con người
Con người chỉ có thể nhớ được một số lượng bản ghi hữu
hạn
Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất
Nhưng cũng khó nhớ nhất
Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản
khác nhau
Các chính sách bảo mật qui định mật khẩu hết hiệu lực
sau một khoảng thời gian
Người dùng phải ghi nhớ mật khẩu nhiều lần
Yếu điểm của mật khẩu có liên quan đến trí nhớ của
con người
Con người chỉ có thể nhớ được một số lượng bản ghi hữu
hạn
Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất
Nhưng cũng khó nhớ nhất
Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản
khác nhau
Các chính sách bảo mật qui định mật khẩu hết hiệu lực
sau một khoảng thời gian
Người dùng phải ghi nhớ mật khẩu nhiều lần
8Bài 7 - Xác thực và quản lý tài khoản
9. Những yếu điểm
của mật khẩu (2/2)
Người dùng thường chọn đường tắt
Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
Người dùng thường chọn đường tắt
Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
9Bài 7 - Xác thực và quản lý tài khoản
10. Tấn công vào mật khẩu (1/)
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén
Trình theo dõi thao tác bàn phím, trình phân tích giao
thức
Tấn công kiểu “người đứng giữa” và tấn công tái chuyển
Cài đặt lại mật khẩu
Kẻ tấn công đạt được truy cập vật lý vào các máy tính và
cài đặt lại mật khẩu
Đoán trực tuyến
Không thực sự thiết thực
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén
Trình theo dõi thao tác bàn phím, trình phân tích giao
thức
Tấn công kiểu “người đứng giữa” và tấn công tái chuyển
Cài đặt lại mật khẩu
Kẻ tấn công đạt được truy cập vật lý vào các máy tính và
cài đặt lại mật khẩu
Đoán trực tuyến
Không thực sự thiết thực
10Bài 7 - Xác thực và quản lý tài khoản
11. Tấn công vào mật khẩu (2/)
Phá khóa ngoại tuyến
Phương thức được sử dụng bởi hầu hết các cuộc tấn
công mật khẩu hiện nay
Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa
Đối chiếu với các mật khẩu mã hóa do chúng tạo ra
Các kiểu phá khóa ngoại tuyến
Bạo lực
Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử
dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với
file đánh cắp được
Tốc độ chậm nhất nhưng triệt để nhất
Phá khóa ngoại tuyến
Phương thức được sử dụng bởi hầu hết các cuộc tấn
công mật khẩu hiện nay
Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa
Đối chiếu với các mật khẩu mã hóa do chúng tạo ra
Các kiểu phá khóa ngoại tuyến
Bạo lực
Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử
dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với
file đánh cắp được
Tốc độ chậm nhất nhưng triệt để nhất
11Bài 7 - Xác thực và quản lý tài khoản
12. Tấn công vào mật khẩu (3/)
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
12Bài 7 - Xác thực và quản lý tài khoản
13. Tấn công dùng từ điển
13Bài 7 - Xác thực và quản lý tài khoản
14. Tấn công vào mật khẩu (4/)
Tấn công lai ghép
Thay đổi các từ trong từ điển
Thêm các chữ số vào cuối mật khẩu
Đánh vần các từ theo thứ tự ngược
Các từ hơi lỗi chính tả
Bao gồm các ký tự đặc biệt
Tấn công lai ghép
Thay đổi các từ trong từ điển
Thêm các chữ số vào cuối mật khẩu
Đánh vần các từ theo thứ tự ngược
Các từ hơi lỗi chính tả
Bao gồm các ký tự đặc biệt
14Bài 7 - Xác thực và quản lý tài khoản
15. Tấn công vào mật khẩu (5/)
Bảng cầu vồng (Rainbow table)
Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn
Các bước sử dụng bảng cầu vồng
Tạo bảng
Chuỗi các mật khẩu thô
Mã hóa mật khẩu ban đầu
Truyền vào một hàm để tạo ra các mật khẩu thô khác
Lặp lại một số vòng nhất định
Sử dụng bảng cầu vồng để bẻ mật khẩu
Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với
mật khẩu mã hóa trong file đánh cắp được
Kết quả thu được chuỗi mật khẩu khởi tạo
Bảng cầu vồng (Rainbow table)
Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn
Các bước sử dụng bảng cầu vồng
Tạo bảng
Chuỗi các mật khẩu thô
Mã hóa mật khẩu ban đầu
Truyền vào một hàm để tạo ra các mật khẩu thô khác
Lặp lại một số vòng nhất định
Sử dụng bảng cầu vồng để bẻ mật khẩu
Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với
mật khẩu mã hóa trong file đánh cắp được
Kết quả thu được chuỗi mật khẩu khởi tạo
15Bài 7 - Xác thực và quản lý tài khoản
16. Tấn công vào mật khẩu (6/)
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là
mật khẩu đã được bẻ
Ưu điểm của bảng cầu vồng so với các phương thức tấn
công khác
Có thể tái sử dụng nhiều lần
Tốc độ nhanh hơn so với tấn công dùng từ điển
Yêu cầu ít bộ nhớ máy tính hơn
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là
mật khẩu đã được bẻ
Ưu điểm của bảng cầu vồng so với các phương thức tấn
công khác
Có thể tái sử dụng nhiều lần
Tốc độ nhanh hơn so với tấn công dùng từ điển
Yêu cầu ít bộ nhớ máy tính hơn
16Bài 7 - Xác thực và quản lý tài khoản
17. Bảo vệ mật khẩu (1/)
Tạo và sử dụng các mật khẩu mạnh
Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông
qua việc nghiên cứu các phương thức tấn công mật khẩu
Hầu hết các mật khẩu đều gồm hai phần:
Phần gốc
Phần đính kèm
Tiền tố hoặc hậu tố
Tạo và sử dụng các mật khẩu mạnh
Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông
qua việc nghiên cứu các phương thức tấn công mật khẩu
Hầu hết các mật khẩu đều gồm hai phần:
Phần gốc
Phần đính kèm
Tiền tố hoặc hậu tố
17Bài 7 - Xác thực và quản lý tài khoản
18. Bảo vệ mật khẩu (2/)
Phương thức của chương trình tấn công mật khẩu
Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông
dụng
Kết hợp các mật khẩu với các hậu tố thông dụng
Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
Phương thức của chương trình tấn công mật khẩu
Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông
dụng
Kết hợp các mật khẩu với các hậu tố thông dụng
Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
18Bài 7 - Xác thực và quản lý tài khoản
19. Bảo vệ mật khẩu (3/)
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm
Không sử dụng ngày sinh, tên của thành viên trong gia
đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá
nhân nào
Không lặp lại ký tự hoặc sử dụng thứ tự
Không sử dụng các mật khẩu ngắn
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm
Không sử dụng ngày sinh, tên của thành viên trong gia
đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá
nhân nào
Không lặp lại ký tự hoặc sử dụng thứ tự
Không sử dụng các mật khẩu ngắn
19Bài 7 - Xác thực và quản lý tài khoản
20. Bảo vệ mật khẩu (4/)
Quản lý mật khẩu
Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn
công lấy được file mật khẩu mã hóa
Phòng chống đánh cắp file mật khẩu
Không được để máy tính không có người giám sát
Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật
khẩu khi phục hồi
Thiết lập mật khẩu bảo vệ ROM BIOS
Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép
mở máy
Các biện pháp quản lý mật khẩu tối ưu
Thay đổi mật khẩu thường xuyên
Không sử dụng lại các mật khẩu cũ
Quản lý mật khẩu
Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn
công lấy được file mật khẩu mã hóa
Phòng chống đánh cắp file mật khẩu
Không được để máy tính không có người giám sát
Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật
khẩu khi phục hồi
Thiết lập mật khẩu bảo vệ ROM BIOS
Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép
mở máy
Các biện pháp quản lý mật khẩu tối ưu
Thay đổi mật khẩu thường xuyên
Không sử dụng lại các mật khẩu cũ
20Bài 7 - Xác thực và quản lý tài khoản
21. Bảo vệ mật khẩu (5/)
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
21Bài 7 - Xác thực và quản lý tài khoản
22. Bảo vệ mật khẩu (6/)
Một số chỉ dẫn khác
Sử dụng các ký tự không có trên bàn phím
Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím
số
Bổ sung mật khẩu
Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một
ghánh nặng với người dùng
Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật
khẩu
Một số chỉ dẫn khác
Sử dụng các ký tự không có trên bàn phím
Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím
số
Bổ sung mật khẩu
Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một
ghánh nặng với người dùng
Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật
khẩu
22Bài 7 - Xác thực và quản lý tài khoản
23. Bản đồ ký tự trong Windows
23Bài 7 - Xác thực và quản lý tài khoản
24. Bảo vệ mật khẩu (7/)
Bổ sung mật khẩu (tiếp.)
Trình duyệt Web Internet Explorer (IE) và Firefox chứa
chức năng cho phép người dùng lưu giữ mật khẩu
Mật khẩu tự động hoàn thành trong IE
Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
Bổ sung mật khẩu (tiếp.)
Trình duyệt Web Internet Explorer (IE) và Firefox chứa
chức năng cho phép người dùng lưu giữ mật khẩu
Mật khẩu tự động hoàn thành trong IE
Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
24Bài 7 - Xác thực và quản lý tài khoản
25. Bảo vệ mật khẩu (8/)
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn
(strong master password)
Các tính năng của ứng dụng quản lý mật khẩu
Khả năng kéo thả
Mã hóa nâng cao
Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều
hành bị xâm hại
Hẹn giờ để giải phóng bộ đệm clipboard
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn
(strong master password)
Các tính năng của ứng dụng quản lý mật khẩu
Khả năng kéo thả
Mã hóa nâng cao
Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều
hành bị xâm hại
Hẹn giờ để giải phóng bộ đệm clipboard
25Bài 7 - Xác thực và quản lý tài khoản
26. Kiểu ứng
dụng
Mô tả Ưu điểm Nhược điểm
Ứng dụng cài
đặt
Được cài đặt
như một
chương trình
trên máy tính
Cho phép người
dùng truy cập tới
mật khẩu mà
không cần nhớ
Phải được cài đặt
trên từng máy tính và
phải được cập nhật
trên mọi máy tính
Ứng dụng di
động
Ứng dụng độc
lập có thể được
chứa trong một
ổ USB flash
Người dùng không
bị giới hạn bởi các
máy tính cài đặt
sẵn ứng dụng
Người dùng phải luôn
mang theo ổ USB
flash để không cho
người khác sử dụng
Các ứng dụng
quản lý mật khẩu
26
Ứng dụng di
động
Ứng dụng độc
lập có thể được
chứa trong một
ổ USB flash
Người dùng không
bị giới hạn bởi các
máy tính cài đặt
sẵn ứng dụng
Người dùng phải luôn
mang theo ổ USB
flash để không cho
người khác sử dụng
Lưu trữ trên
Internet
Ứng dụng
và/hoặc file
được lưu trữ
trực tuyến
Có thể truy cập
chương trình
và/hoặc filetừ bất
cứ máy tính nào
Việc lưu trữ mật khẩu
trực tuyên có thể bị
xâm hại bởi những kẻ
tấn công
Bài 7 - Xác thực và quản lý tài khoản
27. Bạn có những gì:
Thẻ xác thực và thẻ từ (1/)
Thẻ xác thực (token)
Thiết bị nhỏ có màn hình hiển thị
Đồng bộ với một máy chủ xác thực
Mã được sinh ra từ một thuật toán
Mã thay đổi sau mỗi 30 hoặc 60 giây
27Bài 7 - Xác thực và quản lý tài khoản
28. Bạn có những gì:
Thẻ xác thực và thẻ từ (2/)
Các bước đăng nhập người dùng sử dụng thẻ xác thực
Người dùng nhập tên đăng nhập và mã do thẻ xác thực
cung cấp
Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với
người dùng, sinh ra mã của mình, và so sánh với mã của
người dùng
Nếu hai mã trùng khớp, người dùng sẽ được xác thực
Những ưu điểm của thẻ xác thực so với mật khẩu
Mã thẻ xác thực thay đổi thường xuyên
Kẻ tấn công cần phải phá được mã trong một khoảng thời
gian hữu hạn
Các bước đăng nhập người dùng sử dụng thẻ xác thực
Người dùng nhập tên đăng nhập và mã do thẻ xác thực
cung cấp
Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với
người dùng, sinh ra mã của mình, và so sánh với mã của
người dùng
Nếu hai mã trùng khớp, người dùng sẽ được xác thực
Những ưu điểm của thẻ xác thực so với mật khẩu
Mã thẻ xác thực thay đổi thường xuyên
Kẻ tấn công cần phải phá được mã trong một khoảng thời
gian hữu hạn
28Bài 7 - Xác thực và quản lý tài khoản
29. Sinh mã và so sánh mã
29Bài 7 - Xác thực và quản lý tài khoản
30. Bạn có những gì:
Thẻ xác thực và thẻ từ (3/)
Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)
Người dùng có thể không cần quan tâm việc mật khẩu đã
bị đánh cắp
Nếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng
Cần có các bước để vô hiệu hóa tài khoản
Các biến thể của hệ thống sử dụng thẻ xác thực
Một số hệ thống chỉ sử dụng mã thẻ xác thực
Một số khác sử dụng mã thẻ xác thực kết hợp với mật
khẩu
Một số kết hợp mã PIN với mã thẻ xác thực
Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)
Người dùng có thể không cần quan tâm việc mật khẩu đã
bị đánh cắp
Nếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng
Cần có các bước để vô hiệu hóa tài khoản
Các biến thể của hệ thống sử dụng thẻ xác thực
Một số hệ thống chỉ sử dụng mã thẻ xác thực
Một số khác sử dụng mã thẻ xác thực kết hợp với mật
khẩu
Một số kết hợp mã PIN với mã thẻ xác thực
30Bài 7 - Xác thực và quản lý tài khoản
31. Bạn có những gì:
Thẻ xác thực và thẻ từ (4/)
Thẻ từ (Card)
Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thông
tin
Các chân tiếp xúc cho phép truy cập điện tử tới nội dung
bên trong Chip
Thẻ không tiếp xúc
Không đòi hỏi truy cập vật lý tới thẻ
Các thẻ truy cập chung (common access card - CAC)
Do Bộ quốc phòng Mỹ ban hành
Chứa mã vạch, dải từ, và ảnh của chủ thẻ
Thẻ từ (Card)
Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thông
tin
Các chân tiếp xúc cho phép truy cập điện tử tới nội dung
bên trong Chip
Thẻ không tiếp xúc
Không đòi hỏi truy cập vật lý tới thẻ
Các thẻ truy cập chung (common access card - CAC)
Do Bộ quốc phòng Mỹ ban hành
Chứa mã vạch, dải từ, và ảnh của chủ thẻ
31Bài 7 - Xác thực và quản lý tài khoản
33. Bạn là ai:
Sinh trắc học (1)
Sinh trắc học tiêu chuẩn
Sử dụng các đặc điểm vật lý mang tính cá biệt của con
người để xác thực
Máy quét dấu vân tay là kiểu phổ biến nhất
Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng
Các kiểu máy quét dấu vân tay
Máy quét dấu vân tay tĩnh
Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file
Máy quét dấu vân tay động
Sử dụng các khe hở nhỏ
Sinh trắc học tiêu chuẩn
Sử dụng các đặc điểm vật lý mang tính cá biệt của con
người để xác thực
Máy quét dấu vân tay là kiểu phổ biến nhất
Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng
Các kiểu máy quét dấu vân tay
Máy quét dấu vân tay tĩnh
Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file
Máy quét dấu vân tay động
Sử dụng các khe hở nhỏ
33Bài 7 - Xác thực và quản lý tài khoản
34. Máy quét dấu
vân tay động
34Bài 7 - Xác thực và quản lý tài khoản
35. Bạn là ai:
Sinh trắc học (2)
Nhược điểm của sinh trắc học tiêu chuẩn
Chi phí cho thiết bị quét phần cứng
Các bộ đọc luôn có những lỗi nhất định
Từ chối người dùng hợp lệ
Chấp nhận những người dùng không hợp lệ
Sinh trắc học hành vi
Xác thực dựa trên những hành vi thông thường mà người
dùng thực hiện
Động lực học gõ phím
Nhận dạng giọng nói
Theo dấu chân máy tính (Computer footprinting)
Nhược điểm của sinh trắc học tiêu chuẩn
Chi phí cho thiết bị quét phần cứng
Các bộ đọc luôn có những lỗi nhất định
Từ chối người dùng hợp lệ
Chấp nhận những người dùng không hợp lệ
Sinh trắc học hành vi
Xác thực dựa trên những hành vi thông thường mà người
dùng thực hiện
Động lực học gõ phím
Nhận dạng giọng nói
Theo dấu chân máy tính (Computer footprinting)
35Bài 7 - Xác thực và quản lý tài khoản
36. Bạn là ai:
Sinh trắc học (3)
Động lực học gõ phím
Cố gắng nhận dạng nhịp độ bấm phím của người dùng
Mỗi người dùng có một tốc độ gõ phím khác nhau
Đạt được độ chính xác lên tới 98%
Sử dụng hai biến đơn nhất
Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc
nhả phím)
Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ
phím)
Động lực học gõ phím
Cố gắng nhận dạng nhịp độ bấm phím của người dùng
Mỗi người dùng có một tốc độ gõ phím khác nhau
Đạt được độ chính xác lên tới 98%
Sử dụng hai biến đơn nhất
Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc
nhả phím)
Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ
phím)
36Bài 7 - Xác thực và quản lý tài khoản
38. Xác thực dựa trên
tốc độ thao tác bàn phím
38Bài 7 - Xác thực và quản lý tài khoản
39. Bạn là ai:
Sinh trắc học (4)
Nhận dạng giọng nói
Có một số đặc tính tạo nên giọng nói riêng của mỗi người
Mẫu giọng nói có thể được tạo ra
Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi
âm của người dùng
Âm điệu phát âm của các từ đặt cạnh nhau là một phần của
mẫu giọng nói thực sự
Nhận dạng giọng nói
Có một số đặc tính tạo nên giọng nói riêng của mỗi người
Mẫu giọng nói có thể được tạo ra
Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi
âm của người dùng
Âm điệu phát âm của các từ đặt cạnh nhau là một phần của
mẫu giọng nói thực sự
39Bài 7 - Xác thực và quản lý tài khoản
40. Bạn là ai:
Sinh trắc học (5)
Theo dấu chân máy tính (Computer footprinting)
Dựa vào các mẫu truy cập điển hình
Vị trí địa lý
Thời gian trong ngày
Nhà cung cấp dịch vụ Internet
Cấu hình PC cơ bản
Theo dấu chân máy tính (Computer footprinting)
Dựa vào các mẫu truy cập điển hình
Vị trí địa lý
Thời gian trong ngày
Nhà cung cấp dịch vụ Internet
Cấu hình PC cơ bản
40Bài 7 - Xác thực và quản lý tài khoản
41. Bạn là ai:
Sinh trắc học (6)
Sinh trắc học nhận thức
Liên quan đến nhận thức, quá trình tư duy và sự hiểu biết
của người dùng
Dễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệm
trong cuộc sống của người dùng
Kẻ tấn công khó bắt chước
Ví dụ: nhận dạng một khuôn mặt cụ thể
Ví dụ: người dùng chọn các sự kiện đáng nhớ trong đời và
được yêu cầu cung cấp thông tin chi tiết về những sự kiện
đó
Được dự đoán sẽ trở thành một yếu tố xác thực quan
trọng trong tương lai
Sinh trắc học nhận thức
Liên quan đến nhận thức, quá trình tư duy và sự hiểu biết
của người dùng
Dễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệm
trong cuộc sống của người dùng
Kẻ tấn công khó bắt chước
Ví dụ: nhận dạng một khuôn mặt cụ thể
Ví dụ: người dùng chọn các sự kiện đáng nhớ trong đời và
được yêu cầu cung cấp thông tin chi tiết về những sự kiện
đó
Được dự đoán sẽ trở thành một yếu tố xác thực quan
trọng trong tương lai
41Bài 7 - Xác thực và quản lý tài khoản
42. Mô hình đăng nhập đơn nhất
Quản lý định danh
Sử dụng một chứng chỉ chứng thực duy nhất chung cho
nhiều mạng
Được gọi là quản lý định danh liên kết (FIM) khi các mạng
thuộc sở hữu của các tổ chức khác nhau
Mô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảm
gánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ còn
một lần duy nhất
Quản lý định danh
Sử dụng một chứng chỉ chứng thực duy nhất chung cho
nhiều mạng
Được gọi là quản lý định danh liên kết (FIM) khi các mạng
thuộc sở hữu của các tổ chức khác nhau
Mô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảm
gánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ còn
một lần duy nhất
42Bài 7 - Xác thực và quản lý tài khoản
43. Windows Live ID (1)
Được giới thiệu vào năm 1999 với tên gọi là .NET
passport
Sau đó được đổi tên thành Microsoft Passport Network,
và cuối cùng là Windows Live ID
Được thiết kế như một giải pháp SSO cho Web site
thương mại
Quá trình xác thực
Người dùng nhập tên đăng nhập và mật khẩu
Người dùng được cung cấp một cookie “global” tồn tại
trong một khoảng thời gian hữu hạn, và được lưu trữ
trên máy tính cùng với thẻ ID mã hóa
Thẻ ID được gửi tới Web site
Được giới thiệu vào năm 1999 với tên gọi là .NET
passport
Sau đó được đổi tên thành Microsoft Passport Network,
và cuối cùng là Windows Live ID
Được thiết kế như một giải pháp SSO cho Web site
thương mại
Quá trình xác thực
Người dùng nhập tên đăng nhập và mật khẩu
Người dùng được cung cấp một cookie “global” tồn tại
trong một khoảng thời gian hữu hạn, và được lưu trữ
trên máy tính cùng với thẻ ID mã hóa
Thẻ ID được gửi tới Web site
43Bài 7 - Xác thực và quản lý tài khoản
44. Windows Live ID (2)
Quá trình xác thực (tiếp.)
Web site sử dụng thẻ ID để xác thực
Web site lưu trữ cookie “local” được mã hóa, có thời gian
tồn tại hữu hạn trên máy tính người dùng
Windows Live ID không được hỗ trợ rộng rãi
Hiện tại đang được sử dụng để xác thực cho:
Windows Live, Office Live, Xbox Live, MSN, vàother các
dịch vụ trực tuyến của Microsoft
Quá trình xác thực (tiếp.)
Web site sử dụng thẻ ID để xác thực
Web site lưu trữ cookie “local” được mã hóa, có thời gian
tồn tại hữu hạn trên máy tính người dùng
Windows Live ID không được hỗ trợ rộng rãi
Hiện tại đang được sử dụng để xác thực cho:
Windows Live, Office Live, Xbox Live, MSN, vàother các
dịch vụ trực tuyến của Microsoft
44Bài 7 - Xác thực và quản lý tài khoản
45. OpenID (1)
Quản lý định danh liên kết phân tán nguồn mở
(Decentralized open source FIM)
Không yêu cầu phải cài đặt bất cứ phần mềm nào trên
máy tính desktop
Hệ thống nhận dạng dựa trên URL
OpenID cung cấp phương tiện để chứng minh một người
sử dụng là chủ sở hữu của một URL
Quá trình xác thực
Người dùng truy cập vào một web site miễn phí và được
cung cấp một tài khoản OpenID của Me.myopenID.com
Quản lý định danh liên kết phân tán nguồn mở
(Decentralized open source FIM)
Không yêu cầu phải cài đặt bất cứ phần mềm nào trên
máy tính desktop
Hệ thống nhận dạng dựa trên URL
OpenID cung cấp phương tiện để chứng minh một người
sử dụng là chủ sở hữu của một URL
Quá trình xác thực
Người dùng truy cập vào một web site miễn phí và được
cung cấp một tài khoản OpenID của Me.myopenID.com
45Bài 7 - Xác thực và quản lý tài khoản
46. OpenID (2)
Quá trình xác thực (tiếp.)
Người dùng truy cập vào Web site thương mại hoặc một
web site khác và đăng nhập với tài khoản Open ID
Web site đó sẽ chuyển hướng người dùng tới
MyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xác
thực
MyOpenID.com chuyển hướng người dùng quay trở lại Web
site thương mại và người dùng đã được xác thực
Yếu điểm bảo mật
Phụ thuộc vào DNS có thể có những điểm yếu của riêng
Được đánh giá là chưa đủ mạnh để áp dụng cho các Web
site ngân hàng và Web site thương mại điện tử
Quá trình xác thực (tiếp.)
Người dùng truy cập vào Web site thương mại hoặc một
web site khác và đăng nhập với tài khoản Open ID
Web site đó sẽ chuyển hướng người dùng tới
MyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xác
thực
MyOpenID.com chuyển hướng người dùng quay trở lại Web
site thương mại và người dùng đã được xác thực
Yếu điểm bảo mật
Phụ thuộc vào DNS có thể có những điểm yếu của riêng
Được đánh giá là chưa đủ mạnh để áp dụng cho các Web
site ngân hàng và Web site thương mại điện tử
46Bài 7 - Xác thực và quản lý tài khoản
47. Ủy quyền mở (OAuth)
Cho phép người dùng chia sẻ tài nguyên lưu trên một
Web site với một Web site thứ hai
Không cần phải chuyển tiếp các thông tin xác thực
Cho phép chia sẻ dữ liệu liên tục giữa các Web site
Phụ thuộc vào các thông tin thẻ xác thực
Thay thế cho nhu cầu chuyển giao tên đăng nhập và mật
khẩu
Các thẻ xác thực dành riêng cho các tài nguyên cụ thể
trên một Web site
Trong một khoảng thời gian hữu hạn
Cho phép người dùng chia sẻ tài nguyên lưu trên một
Web site với một Web site thứ hai
Không cần phải chuyển tiếp các thông tin xác thực
Cho phép chia sẻ dữ liệu liên tục giữa các Web site
Phụ thuộc vào các thông tin thẻ xác thực
Thay thế cho nhu cầu chuyển giao tên đăng nhập và mật
khẩu
Các thẻ xác thực dành riêng cho các tài nguyên cụ thể
trên một Web site
Trong một khoảng thời gian hữu hạn
47Bài 7 - Xác thực và quản lý tài khoản
48. Quản lý tài khoản
Quản lý mật khẩu người dùng
Có thể được thực hiện bằng cách thiết lập các quy tắc mật
khẩu
Quá cồng kềnh để có thể quản lý từng người dùng một
Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót
Phương pháp ưa dùng hơn: gán đặc quyền theo nhóm
Các thiết lập mật khẩu nhóm trong Microsoft Windows
Các thiết lập chính sách về mật khẩu (Pasword Policy
Settings)
Chính sách khóa tài khoản (Account Lockout Policy)
Quản lý mật khẩu người dùng
Có thể được thực hiện bằng cách thiết lập các quy tắc mật
khẩu
Quá cồng kềnh để có thể quản lý từng người dùng một
Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót
Phương pháp ưa dùng hơn: gán đặc quyền theo nhóm
Các thiết lập mật khẩu nhóm trong Microsoft Windows
Các thiết lập chính sách về mật khẩu (Pasword Policy
Settings)
Chính sách khóa tài khoản (Account Lockout Policy)
48Bài 7 - Xác thực và quản lý tài khoản
49. Thuộc tính Mô tả Thiết lập được
khuyến cáo
Áp đặt lịch sử mật
khẩu
Số mật khẩu khác nhau phải sử dụng trước khi
sử dụng lại mật khẩu cũ (0 đến 24)
Nên thiết lập là 24
mật khẩu mới
Tuổi cực đại của
mật khẩu
Số ngày mật khẩu được dùng trước khi người
dùng đổi sang mật khẩu mới (0 đến 999)
60 ngày
Tuổi cực tiểu của
mật khẩu
Số ngày một mật khẩu mới được lưu giữ trước
khi người dùng có thể thay đổi (0 đến 999);
1 ngày
Các thiết lập chính
sách về mật khẩu
49
Dộ dài nhoe nhất
của mật khẩu
Số ký tự tối thiểu của một mật khẩu (0 đến
28)
12 ký tự
Mật khẩu cần đáp
ứng yêu cầu về
độ phức tạp
Mật khẩu không chứa tên tài khoản người
dùng, hoặc một dãy nhiều hơn 2 ký tự liên
tiếp, có mặt trong tên đầy đủ của người dùng;
…
Lưu trữ mật khẩu
sử dụng mã hóa
ngược
Việc lưu trữ mật khẩu sử dụng mã hóa ngược
cơ bản giống với việc lưu trữ các phiên bản
mật khẩu thô
Disabled
Bài 7 - Xác thực và quản lý tài khoản
50. Thuộc tính Mô tả Thiết lập
được
khuyến cáo
Nhận xét
Thời hạn
khóa tài
khoản
Khoảng thời gian tài
khoản bị khóa không thể
truy cập được trước khi
người dùng có thể đăng
nhập trở lại
15 phút Thiết lập thuộc tính này quá
cao có thể làm tăng cuộc gọi
yêu cầu trợ giúp.
Ngưỡng
khóa tài
khoản
Số lần được phép đăng
nhập thất bại trước khi tài
khoản bị khóa
30 lần Thiết lập thuộc tính quá thấp
có thể dẫn tới việc kẻ tấn công
lợi dụng trạng thái khóa tài
khoản như một kiểu tấn công
chặn dịch vụ (DoS)
Các thiết lập chính
sách khóa tài khoản
50
Ngưỡng
khóa tài
khoản
Số lần được phép đăng
nhập thất bại trước khi tài
khoản bị khóa
30 lần Thiết lập thuộc tính quá thấp
có thể dẫn tới việc kẻ tấn công
lợi dụng trạng thái khóa tài
khoản như một kiểu tấn công
chặn dịch vụ (DoS)
Đặt lại biến
đếm khóa tài
khoản sau
Độ dài thời gian trước khi
thiết lập ngưỡng khóa tài
khoản được thiết lập về 0
15 phút Thời gian thiết lập lại phải nhỏ
hơn hoặc bằng giá trị khoảng
thời gian khóa tài khoản
Bài 7 - Xác thực và quản lý tài khoản
51. Các hệ điều hành
được tin cậy (1/2)
Những lỗ hổng cơ bản của hệ điều hành
Kích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra các
lỗ hổng trở nên khó khăn
Một ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộ
máy tính
Các ứng dụng không thể tự xác thực bản thân với các ứng
dụng khác
Không có đường dẫn tin cậy giữa người dùng và ứng dụng
Hệ điều hành không áp dụng nguyên tắc đặc quyền tối
thiểu
Những lỗ hổng cơ bản của hệ điều hành
Kích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra các
lỗ hổng trở nên khó khăn
Một ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộ
máy tính
Các ứng dụng không thể tự xác thực bản thân với các ứng
dụng khác
Không có đường dẫn tin cậy giữa người dùng và ứng dụng
Hệ điều hành không áp dụng nguyên tắc đặc quyền tối
thiểu
51Bài 7 - Xác thực và quản lý tài khoản
52. Các hệ điều hành
được tin cậy (2/2)
Hệ điều hành được tin cậy (trusted OS)
OS được thiết kế để bảo mật ngay từ ban đầu
Có thể ngăn không cho kẻ tấn công truy cập tới các phần
nhạy cảm của hệ thống
Có thể ngăn cản quản trị viên vô tình thực hiện những
thay đổi gây hại
Các nhà cung cấp hệ điều hành được tin cậy
Tập trung vào việc bảo mật các thành phần hệ điều hành
và các yếu tố nền tảng khác
Phương pháp: phân chia các dịch vụ trong hệ điều hành
được tin cậy cho từng khách hàng riêng
Hệ điều hành được tin cậy (trusted OS)
OS được thiết kế để bảo mật ngay từ ban đầu
Có thể ngăn không cho kẻ tấn công truy cập tới các phần
nhạy cảm của hệ thống
Có thể ngăn cản quản trị viên vô tình thực hiện những
thay đổi gây hại
Các nhà cung cấp hệ điều hành được tin cậy
Tập trung vào việc bảo mật các thành phần hệ điều hành
và các yếu tố nền tảng khác
Phương pháp: phân chia các dịch vụ trong hệ điều hành
được tin cậy cho từng khách hàng riêng
52Bài 7 - Xác thực và quản lý tài khoản
53. Tổng kết (1/2)
Xác thực thông tin có thể được chia thành ba nhóm: bạn
biết những gì, bạn có những gì và bạn là ai
Mật khẩu chỉ mang lại mức độ bảo mật yếu
Phụ thuộc vào trí nhớ của con người
Hầu hết các cuộc tấn công mật khẩu hiện nay đều sử
dụng kỹ thuật phá khóa ngoại tuyến
Kẻ tấn công đánh cắp file mật khẩu mã hóa
Thẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựa
trên thuật toán sau khoảng 30 hoặc 60 giây
Xác thực thông tin có thể được chia thành ba nhóm: bạn
biết những gì, bạn có những gì và bạn là ai
Mật khẩu chỉ mang lại mức độ bảo mật yếu
Phụ thuộc vào trí nhớ của con người
Hầu hết các cuộc tấn công mật khẩu hiện nay đều sử
dụng kỹ thuật phá khóa ngoại tuyến
Kẻ tấn công đánh cắp file mật khẩu mã hóa
Thẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựa
trên thuật toán sau khoảng 30 hoặc 60 giây
53Bài 7 - Xác thực và quản lý tài khoản
54. Tổng kết (2/2)
Sinh trắc học
Sinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinh
trắc học nhận thức
Mô hình đăng nhập đơn nhất cho phép sử dụng một tên
đăng nhập và mật khẩu duy nhất để truy cập vào tất cả
các tài khoản
Các thiết lập Chính sách nhóm cho phép quản trị viên
thiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùng
một lúc
Các hệ điều hành được tin cậy được thiết kế với mục
đích bảo mật ngay từ ban đầu
Sinh trắc học
Sinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinh
trắc học nhận thức
Mô hình đăng nhập đơn nhất cho phép sử dụng một tên
đăng nhập và mật khẩu duy nhất để truy cập vào tất cả
các tài khoản
Các thiết lập Chính sách nhóm cho phép quản trị viên
thiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùng
một lúc
Các hệ điều hành được tin cậy được thiết kế với mục
đích bảo mật ngay từ ban đầu
54Bài 7 - Xác thực và quản lý tài khoản