Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT

Bài 7:Xác thực và quản lý tài khoản

Củng cố lại bài 6

Định nghĩa điều khiển truy cập và liệt kê bốnmô hình điều khiển truy cậpMô tả các phương pháp điều khiển truy cập lôgícGiải thích các kiểu điều khiển truy cập vật lýkhác nhauĐịnh nghĩa các dịch vụ xác thực

Định nghĩa điều khiển truy cập và liệt kê bốnmô hình điều khiển truy cậpMô tả các phương pháp điều khiển truy cập lôgícGiải thích các kiểu điều khiển truy cập vật lýkhác nhauĐịnh nghĩa các dịch vụ xác thực

Bài 7 - Xác thực và quản lý tài khoản 2

Mục tiêu của bài học

Mô tả ba kiểu xác thực thông tin

Giải thích những gì mà mô hình đăng nhập đơn nhất cóthể thực hiện

3

Liệt kê các thủ tục quản lý tài khoản để bảo mật mậtkhẩu

Định nghĩa các hệ điều hành được tin cậy

Bài 7 - Xác thực và quản lý tài khoản

Giới thiệu

Xác thực thông tinQuá trình nhằm đảm bảo một người đang có ý định truycập tới tài nguyên là đáng tin cậy

Các chủ đề sẽ đề cập trong bàiXác thực và quản lý bảo mật tài khoản người dùngCác kiểu xác thực thông tin khác nhauMô hình đăng nhập đơn nhấtCác kỹ thuật và công nghệ quản lý bảo mật tài khoảnngười dùngCác hệ điều hành được tin cậy

Xác thực thông tinQuá trình nhằm đảm bảo một người đang có ý định truycập tới tài nguyên là đáng tin cậy

Các chủ đề sẽ đề cập trong bàiXác thực và quản lý bảo mật tài khoản người dùngCác kiểu xác thực thông tin khác nhauMô hình đăng nhập đơn nhấtCác kỹ thuật và công nghệ quản lý bảo mật tài khoảnngười dùngCác hệ điều hành được tin cậy

4Bài 7 - Xác thực và quản lý tài khoản

Xác thực thông tin

Các kiểu xác thực thông tinBạn có những gì?

Ví dụ: khóa từ xe ô tôBạn là ai?

Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếpviên của câu lạc bộ sức khỏe

Bạn biết những gì?Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạcbộ sức khỏe

Các kiểu xác thực thông tinBạn có những gì?

Ví dụ: khóa từ xe ô tôBạn là ai?

Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếpviên của câu lạc bộ sức khỏe

Bạn biết những gì?Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạcbộ sức khỏe


Xác thực thông tin


Bạn biết những gì: Mật khẩu

Khi người dùng đăng nhập vào hệ thốngĐược yêu cầu xác định danh tính

Người dùng nhập tên đăng nhập (username)Người dùng được yêu cầu cung cấp thông tin để xác thực

Người dùng nhập mật khẩu

Mật khẩu là kiểu xác thực phổ biến nhất hiện nayMật khẩu chỉ đem lại sự bảo vệ mức yếu

Khi người dùng đăng nhập vào hệ thốngĐược yêu cầu xác định danh tính

Người dùng nhập tên đăng nhập (username)Người dùng được yêu cầu cung cấp thông tin để xác thực

Người dùng nhập mật khẩu

Mật khẩu là kiểu xác thực phổ biến nhất hiện nayMật khẩu chỉ đem lại sự bảo vệ mức yếu


Những yếu điểmcủa mật khẩu (1/2)

Yếu điểm của mật khẩu có liên quan đến trí nhớ củacon người

Con người chỉ có thể nhớ được một số lượng bản ghi hữuhạnNhững mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất

Nhưng cũng khó nhớ nhất

Người dùng phải ghi nhớ mật khẩu của nhiều tài khoảnkhác nhauCác chính sách bảo mật qui định mật khẩu hết hiệu lựcsau một khoảng thời gian

Người dùng phải ghi nhớ mật khẩu nhiều lần

Yếu điểm của mật khẩu có liên quan đến trí nhớ củacon người

Con người chỉ có thể nhớ được một số lượng bản ghi hữuhạnNhững mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất

Nhưng cũng khó nhớ nhất

Người dùng phải ghi nhớ mật khẩu của nhiều tài khoảnkhác nhauCác chính sách bảo mật qui định mật khẩu hết hiệu lựcsau một khoảng thời gian

Người dùng phải ghi nhớ mật khẩu nhiều lần


Những yếu điểmcủa mật khẩu (2/2)

Người dùng thường chọn đường tắtSử dụng mật khẩu yếu

Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cánhân

Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhauKẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làmhại được một tài khoản

Người dùng thường chọn đường tắtSử dụng mật khẩu yếu

Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cánhân

Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhauKẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làmhại được một tài khoản


Tấn công vào mật khẩu (1/)

Kỹ nghệ xã hộiLừa đảo, nhìn trộm qua vai, lục lọi thùng rác

Chụp nénTrình theo dõi thao tác bàn phím, trình phân tích giaothứcTấn công kiểu “người đứng giữa” và tấn công tái chuyển

Cài đặt lại mật khẩuKẻ tấn công đạt được truy cập vật lý vào các máy tính vàcài đặt lại mật khẩu

Đoán trực tuyếnKhông thực sự thiết thực

Kỹ nghệ xã hộiLừa đảo, nhìn trộm qua vai, lục lọi thùng rác

Chụp nénTrình theo dõi thao tác bàn phím, trình phân tích giaothứcTấn công kiểu “người đứng giữa” và tấn công tái chuyển

Cài đặt lại mật khẩuKẻ tấn công đạt được truy cập vật lý vào các máy tính vàcài đặt lại mật khẩu

Đoán trực tuyếnKhông thực sự thiết thực



Phá khóa ngoại tuyếnPhương thức được sử dụng bởi hầu hết các cuộc tấncông mật khẩu hiện nayKẻ tấn công đánh cắp file chứa mật khẩu được mã hóa

Đối chiếu với các mật khẩu mã hóa do chúng tạo ra

Các kiểu phá khóa ngoại tuyếnBạo lực

Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sửdụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu vớifile đánh cắp đượcTốc độ chậm nhất nhưng triệt để nhất

Phá khóa ngoại tuyếnPhương thức được sử dụng bởi hầu hết các cuộc tấncông mật khẩu hiện nayKẻ tấn công đánh cắp file chứa mật khẩu được mã hóa

Đối chiếu với các mật khẩu mã hóa do chúng tạo ra

Các kiểu phá khóa ngoại tuyếnBạo lực

Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sửdụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu vớifile đánh cắp đượcTốc độ chậm nhất nhưng triệt để nhất



Các tham số của chương trình tấn công mật khẩu kiểubạo lực tự động

Độ dài mật khẩuBộ ký tựNgôn ngữMẫu mật khẩuBước nhảy

Tấn công dùng từ điểnKẻ tấn công tạo ra phiên bản mã hóa của các từ thôngdụng trong từ điểnSo sánh với file mật khẩu đánh cắp được

Các tham số của chương trình tấn công mật khẩu kiểubạo lực tự động

Độ dài mật khẩuBộ ký tựNgôn ngữMẫu mật khẩuBước nhảy

Tấn công dùng từ điểnKẻ tấn công tạo ra phiên bản mã hóa của các từ thôngdụng trong từ điểnSo sánh với file mật khẩu đánh cắp được


Tấn công dùng từ điển



Tấn công lai ghépThay đổi các từ trong từ điển

Thêm các chữ số vào cuối mật khẩuĐánh vần các từ theo thứ tự ngượcCác từ hơi lỗi chính tảBao gồm các ký tự đặc biệt

Tấn công lai ghépThay đổi các từ trong từ điển

Thêm các chữ số vào cuối mật khẩuĐánh vần các từ theo thứ tự ngượcCác từ hơi lỗi chính tảBao gồm các ký tự đặc biệt



Bảng cầu vồng (Rainbow table)Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn

Các bước sử dụng bảng cầu vồngTạo bảng

Chuỗi các mật khẩu thôMã hóa mật khẩu ban đầuTruyền vào một hàm để tạo ra các mật khẩu thô khácLặp lại một số vòng nhất định

Sử dụng bảng cầu vồng để bẻ mật khẩuSử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy vớimật khẩu mã hóa trong file đánh cắp đượcKết quả thu được chuỗi mật khẩu khởi tạo

Bảng cầu vồng (Rainbow table)Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn

Các bước sử dụng bảng cầu vồngTạo bảng

Chuỗi các mật khẩu thôMã hóa mật khẩu ban đầuTruyền vào một hàm để tạo ra các mật khẩu thô khácLặp lại một số vòng nhất định

Sử dụng bảng cầu vồng để bẻ mật khẩuSử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy vớimật khẩu mã hóa trong file đánh cắp đượcKết quả thu được chuỗi mật khẩu khởi tạo



• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thuđược cho tới khi tìm thấy mật khẩu mã hóa gốcMật khẩu được sử dụng tại bước lặp cuối cùng chính làmật khẩu đã được bẻ

Ưu điểm của bảng cầu vồng so với các phương thức tấncông khác

Có thể tái sử dụng nhiều lầnTốc độ nhanh hơn so với tấn công dùng từ điểnYêu cầu ít bộ nhớ máy tính hơn

• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thuđược cho tới khi tìm thấy mật khẩu mã hóa gốcMật khẩu được sử dụng tại bước lặp cuối cùng chính làmật khẩu đã được bẻ

Ưu điểm của bảng cầu vồng so với các phương thức tấncông khác

Có thể tái sử dụng nhiều lầnTốc độ nhanh hơn so với tấn công dùng từ điểnYêu cầu ít bộ nhớ máy tính hơn


Bảo vệ mật khẩu (1/)

Tạo và sử dụng các mật khẩu mạnhHiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thôngqua việc nghiên cứu các phương thức tấn công mật khẩu

Hầu hết các mật khẩu đều gồm hai phần:Phần gốcPhần đính kèm

Tiền tố hoặc hậu tố

Tạo và sử dụng các mật khẩu mạnhHiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thôngqua việc nghiên cứu các phương thức tấn công mật khẩu

Hầu hết các mật khẩu đều gồm hai phần:Phần gốcPhần đính kèm

Tiền tố hoặc hậu tố



Phương thức của chương trình tấn công mật khẩuKiểm tra đối chiếu mật khẩu với 1000 mật khẩu thôngdụngKết hợp các mật khẩu với các hậu tố thông dụngSử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000từ tổng hợp có trong từ điểnSử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ inhoa toàn bộ và chữ in hoa ký tự cuốiThay thế các ký tự trong từ điển bằng các ký tự đặc biệt

Ví dụ: $ thay cho s, @ thay cho a

Phương thức của chương trình tấn công mật khẩuKiểm tra đối chiếu mật khẩu với 1000 mật khẩu thôngdụngKết hợp các mật khẩu với các hậu tố thông dụngSử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000từ tổng hợp có trong từ điểnSử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ inhoa toàn bộ và chữ in hoa ký tự cuốiThay thế các ký tự trong từ điển bằng các ký tự đặc biệt

Ví dụ: $ thay cho s, @ thay cho a



Những gợi ý chung để tạo một mật khẩu mạnhKhông sử dụng các từ có trong từ điển hoặc các từ phiênâmKhông sử dụng ngày sinh, tên của thành viên trong giađình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cánhân nàoKhông lặp lại ký tự hoặc sử dụng thứ tựKhông sử dụng các mật khẩu ngắn

Những gợi ý chung để tạo một mật khẩu mạnhKhông sử dụng các từ có trong từ điển hoặc các từ phiênâmKhông sử dụng ngày sinh, tên của thành viên trong giađình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cánhân nàoKhông lặp lại ký tự hoặc sử dụng thứ tựKhông sử dụng các mật khẩu ngắn



Quản lý mật khẩuBiện pháp phòng vệ quan trọng: ngăn không cho kẻ tấncông lấy được file mật khẩu mã hóaPhòng chống đánh cắp file mật khẩu

Không được để máy tính không có người giám sátChế độ bảo vệ màn hình nên được thiết lập để yêu cầu mậtkhẩu khi phục hồiThiết lập mật khẩu bảo vệ ROM BIOSSử dụng khóa vật lý bảo vệ cây máy tính để không cho phépmở máy

Các biện pháp quản lý mật khẩu tối ưuThay đổi mật khẩu thường xuyênKhông sử dụng lại các mật khẩu cũ

Quản lý mật khẩuBiện pháp phòng vệ quan trọng: ngăn không cho kẻ tấncông lấy được file mật khẩu mã hóaPhòng chống đánh cắp file mật khẩu

Không được để máy tính không có người giám sátChế độ bảo vệ màn hình nên được thiết lập để yêu cầu mậtkhẩu khi phục hồiThiết lập mật khẩu bảo vệ ROM BIOSSử dụng khóa vật lý bảo vệ cây máy tính để không cho phépmở máy

Các biện pháp quản lý mật khẩu tối ưuThay đổi mật khẩu thường xuyênKhông sử dụng lại các mật khẩu cũ



Các thủ tục quản lý mật khẩu tối ưu (tiếp.)Không bao giờ được viết ra mật khẩuSử dụng các mật khẩu riêng cho từng tài khoảnThiết lập mật khẩu tạm thời cho việc truy cập của ngườidùng khácKhông cho phép chế độ tự động đăng nhập vào một tàikhoản trên máy tínhKhông bao giờ được nhập mật khẩu trên các máy tính truycập công cộngKhông nhập mật khẩu khi kết nối vào một mạng khôngdây chưa được mã hóa

Các thủ tục quản lý mật khẩu tối ưu (tiếp.)Không bao giờ được viết ra mật khẩuSử dụng các mật khẩu riêng cho từng tài khoảnThiết lập mật khẩu tạm thời cho việc truy cập của ngườidùng khácKhông cho phép chế độ tự động đăng nhập vào một tàikhoản trên máy tínhKhông bao giờ được nhập mật khẩu trên các máy tính truycập công cộngKhông nhập mật khẩu khi kết nối vào một mạng khôngdây chưa được mã hóa



Một số chỉ dẫn khácSử dụng các ký tự không có trên bàn phím

Được tạo ra bằng cách giữ phím ALT trong khi gõ một phímsố

Bổ sung mật khẩuVấn đề: việc quản lý hàng loạt các mật khẩu mạnh là mộtghánh nặng với người dùngGiải pháp: dựa vào công nghệ để lưu trữ và quản lý mậtkhẩu

Một số chỉ dẫn khácSử dụng các ký tự không có trên bàn phím

Được tạo ra bằng cách giữ phím ALT trong khi gõ một phímsố

Bổ sung mật khẩuVấn đề: việc quản lý hàng loạt các mật khẩu mạnh là mộtghánh nặng với người dùngGiải pháp: dựa vào công nghệ để lưu trữ và quản lý mậtkhẩu


Bản đồ ký tự trong Windows



Bổ sung mật khẩu (tiếp.)Trình duyệt Web Internet Explorer (IE) và Firefox chứachức năng cho phép người dùng lưu giữ mật khẩu

Mật khẩu tự động hoàn thành trong IEĐược mã hóa và lưu trữ trong registry của Windows

Nhược điểm của bổ sung mật khẩuThông tin mật khẩu cụ thể với một máy tínhMật khẩu có thể bị lộ nếu một người dùng khác được phéptruy cập vào máy tính

Bổ sung mật khẩu (tiếp.)Trình duyệt Web Internet Explorer (IE) và Firefox chứachức năng cho phép người dùng lưu giữ mật khẩu

Mật khẩu tự động hoàn thành trong IEĐược mã hóa và lưu trữ trong registry của Windows

Nhược điểm của bổ sung mật khẩuThông tin mật khẩu cụ thể với một máy tínhMật khẩu có thể bị lộ nếu một người dùng khác được phéptruy cập vào máy tính



Các ứng dụng quản lý mật khẩuNgười dùng tạo và lưu trữ các mật khẩu trong một file“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn(strong master password)

Các tính năng của ứng dụng quản lý mật khẩuKhả năng kéo thảMã hóa nâng caoBảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điềuhành bị xâm hạiHẹn giờ để giải phóng bộ đệm clipboard

Các ứng dụng quản lý mật khẩuNgười dùng tạo và lưu trữ các mật khẩu trong một file“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn(strong master password)

Các tính năng của ứng dụng quản lý mật khẩuKhả năng kéo thảMã hóa nâng caoBảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điềuhành bị xâm hạiHẹn giờ để giải phóng bộ đệm clipboard


Kiểu ứngdụng

Mô tả Ưu điểm Nhược điểm

Ứng dụng càiđặt

Được cài đặtnhư mộtchương trìnhtrên máy tính

Cho phép ngườidùng truy cập tớimật khẩu màkhông cần nhớ

Phải được cài đặttrên từng máy tính vàphải được cập nhậttrên mọi máy tính

Ứng dụng diđộng

Ứng dụng độclập có thể đượcchứa trong mộtổ USB flash

Người dùng khôngbị giới hạn bởi cácmáy tính cài đặtsẵn ứng dụng

Người dùng phải luônmang theo ổ USBflash để không chongười khác sử dụng

Các ứng dụngquản lý mật khẩu

26

Ứng dụng diđộng

Ứng dụng độclập có thể đượcchứa trong mộtổ USB flash

Người dùng khôngbị giới hạn bởi cácmáy tính cài đặtsẵn ứng dụng

Người dùng phải luônmang theo ổ USBflash để không chongười khác sử dụng

Lưu trữ trênInternet

Ứng dụngvà/hoặc fileđược lưu trữtrực tuyến

Có thể truy cậpchương trìnhvà/hoặc filetừ bấtcứ máy tính nào

Việc lưu trữ mật khẩutrực tuyên có thể bịxâm hại bởi những kẻtấn công


Bạn có những gì:Thẻ xác thực và thẻ từ (1/)

Thẻ xác thực (token)Thiết bị nhỏ có màn hình hiển thịĐồng bộ với một máy chủ xác thựcMã được sinh ra từ một thuật toánMã thay đổi sau mỗi 30 hoặc 60 giây



Các bước đăng nhập người dùng sử dụng thẻ xác thựcNgười dùng nhập tên đăng nhập và mã do thẻ xác thựccung cấpMáy chủ xác thực sẽ tìm kiếm thuật toán gắn liền vớingười dùng, sinh ra mã của mình, và so sánh với mã củangười dùngNếu hai mã trùng khớp, người dùng sẽ được xác thực

Những ưu điểm của thẻ xác thực so với mật khẩuMã thẻ xác thực thay đổi thường xuyên

Kẻ tấn công cần phải phá được mã trong một khoảng thờigian hữu hạn

Các bước đăng nhập người dùng sử dụng thẻ xác thựcNgười dùng nhập tên đăng nhập và mã do thẻ xác thựccung cấpMáy chủ xác thực sẽ tìm kiếm thuật toán gắn liền vớingười dùng, sinh ra mã của mình, và so sánh với mã củangười dùngNếu hai mã trùng khớp, người dùng sẽ được xác thực

Những ưu điểm của thẻ xác thực so với mật khẩuMã thẻ xác thực thay đổi thường xuyên

Kẻ tấn công cần phải phá được mã trong một khoảng thờigian hữu hạn


Sinh mã và so sánh mã



Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)Người dùng có thể không cần quan tâm việc mật khẩu đãbị đánh cắpNếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng

Cần có các bước để vô hiệu hóa tài khoản

Các biến thể của hệ thống sử dụng thẻ xác thựcMột số hệ thống chỉ sử dụng mã thẻ xác thựcMột số khác sử dụng mã thẻ xác thực kết hợp với mậtkhẩuMột số kết hợp mã PIN với mã thẻ xác thực

Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)Người dùng có thể không cần quan tâm việc mật khẩu đãbị đánh cắpNếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng

Cần có các bước để vô hiệu hóa tài khoản

Các biến thể của hệ thống sử dụng thẻ xác thựcMột số hệ thống chỉ sử dụng mã thẻ xác thựcMột số khác sử dụng mã thẻ xác thực kết hợp với mậtkhẩuMột số kết hợp mã PIN với mã thẻ xác thực



Thẻ từ (Card)Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thôngtinCác chân tiếp xúc cho phép truy cập điện tử tới nội dungbên trong ChipThẻ không tiếp xúc

Không đòi hỏi truy cập vật lý tới thẻCác thẻ truy cập chung (common access card - CAC)

Do Bộ quốc phòng Mỹ ban hànhChứa mã vạch, dải từ, và ảnh của chủ thẻ

Thẻ từ (Card)Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thôngtinCác chân tiếp xúc cho phép truy cập điện tử tới nội dungbên trong ChipThẻ không tiếp xúc

Không đòi hỏi truy cập vật lý tới thẻCác thẻ truy cập chung (common access card - CAC)

Do Bộ quốc phòng Mỹ ban hànhChứa mã vạch, dải từ, và ảnh của chủ thẻ


Thẻ thông minh


Bạn là ai:Sinh trắc học (1)

Sinh trắc học tiêu chuẩnSử dụng các đặc điểm vật lý mang tính cá biệt của conngười để xác thựcMáy quét dấu vân tay là kiểu phổ biến nhấtCác đặc điểm khuôn mặt, hay mắt cũng được sử dụng

Các kiểu máy quét dấu vân tayMáy quét dấu vân tay tĩnh

Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong fileMáy quét dấu vân tay động

Sử dụng các khe hở nhỏ

Sinh trắc học tiêu chuẩnSử dụng các đặc điểm vật lý mang tính cá biệt của conngười để xác thựcMáy quét dấu vân tay là kiểu phổ biến nhấtCác đặc điểm khuôn mặt, hay mắt cũng được sử dụng

Các kiểu máy quét dấu vân tayMáy quét dấu vân tay tĩnh

Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong fileMáy quét dấu vân tay động

Sử dụng các khe hở nhỏ


Máy quét dấuvân tay động



Nhược điểm của sinh trắc học tiêu chuẩnChi phí cho thiết bị quét phần cứngCác bộ đọc luôn có những lỗi nhất định

Từ chối người dùng hợp lệChấp nhận những người dùng không hợp lệ

Sinh trắc học hành viXác thực dựa trên những hành vi thông thường mà ngườidùng thực hiệnĐộng lực học gõ phímNhận dạng giọng nóiTheo dấu chân máy tính (Computer footprinting)

Nhược điểm của sinh trắc học tiêu chuẩnChi phí cho thiết bị quét phần cứngCác bộ đọc luôn có những lỗi nhất định

Từ chối người dùng hợp lệChấp nhận những người dùng không hợp lệ

Sinh trắc học hành viXác thực dựa trên những hành vi thông thường mà ngườidùng thực hiệnĐộng lực học gõ phímNhận dạng giọng nóiTheo dấu chân máy tính (Computer footprinting)



Động lực học gõ phímCố gắng nhận dạng nhịp độ bấm phím của người dùng

Mỗi người dùng có một tốc độ gõ phím khác nhauĐạt được độ chính xác lên tới 98%

Sử dụng hai biến đơn nhấtThời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúcnhả phím)Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõphím)

Động lực học gõ phímCố gắng nhận dạng nhịp độ bấm phím của người dùng

Mỗi người dùng có một tốc độ gõ phím khác nhauĐạt được độ chính xác lên tới 98%

Sử dụng hai biến đơn nhấtThời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúcnhả phím)Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõphím)


Mẫu đánh máy


Xác thực dựa trêntốc độ thao tác bàn phím



Nhận dạng giọng nóiCó một số đặc tính tạo nên giọng nói riêng của mỗi ngườiMẫu giọng nói có thể được tạo raKẻ tấn công sẽ rất khó để xác thực thông qua một bản ghiâm của người dùng

Âm điệu phát âm của các từ đặt cạnh nhau là một phần củamẫu giọng nói thực sự

Nhận dạng giọng nóiCó một số đặc tính tạo nên giọng nói riêng của mỗi ngườiMẫu giọng nói có thể được tạo raKẻ tấn công sẽ rất khó để xác thực thông qua một bản ghiâm của người dùng

Âm điệu phát âm của các từ đặt cạnh nhau là một phần củamẫu giọng nói thực sự



Theo dấu chân máy tính (Computer footprinting)Dựa vào các mẫu truy cập điển hìnhVị trí địa lýThời gian trong ngàyNhà cung cấp dịch vụ InternetCấu hình PC cơ bản

Theo dấu chân máy tính (Computer footprinting)Dựa vào các mẫu truy cập điển hìnhVị trí địa lýThời gian trong ngàyNhà cung cấp dịch vụ InternetCấu hình PC cơ bản



Sinh trắc học nhận thứcLiên quan đến nhận thức, quá trình tư duy và sự hiểu biếtcủa người dùngDễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệmtrong cuộc sống của người dùngKẻ tấn công khó bắt chướcVí dụ: nhận dạng một khuôn mặt cụ thểVí dụ: người dùng chọn các sự kiện đáng nhớ trong đời vàđược yêu cầu cung cấp thông tin chi tiết về những sự kiệnđóĐược dự đoán sẽ trở thành một yếu tố xác thực quantrọng trong tương lai

Sinh trắc học nhận thứcLiên quan đến nhận thức, quá trình tư duy và sự hiểu biếtcủa người dùngDễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệmtrong cuộc sống của người dùngKẻ tấn công khó bắt chướcVí dụ: nhận dạng một khuôn mặt cụ thểVí dụ: người dùng chọn các sự kiện đáng nhớ trong đời vàđược yêu cầu cung cấp thông tin chi tiết về những sự kiệnđóĐược dự đoán sẽ trở thành một yếu tố xác thực quantrọng trong tương lai


Mô hình đăng nhập đơn nhất

Quản lý định danhSử dụng một chứng chỉ chứng thực duy nhất chung chonhiều mạngĐược gọi là quản lý định danh liên kết (FIM) khi các mạngthuộc sở hữu của các tổ chức khác nhauMô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảmgánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ cònmột lần duy nhất

Quản lý định danhSử dụng một chứng chỉ chứng thực duy nhất chung chonhiều mạngĐược gọi là quản lý định danh liên kết (FIM) khi các mạngthuộc sở hữu của các tổ chức khác nhauMô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảmgánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ cònmột lần duy nhất


Windows Live ID (1)

Được giới thiệu vào năm 1999 với tên gọi là .NETpassportSau đó được đổi tên thành Microsoft Passport Network,và cuối cùng là Windows Live IDĐược thiết kế như một giải pháp SSO cho Web sitethương mạiQuá trình xác thực

Người dùng nhập tên đăng nhập và mật khẩuNgười dùng được cung cấp một cookie “global” tồn tạitrong một khoảng thời gian hữu hạn, và được lưu trữtrên máy tính cùng với thẻ ID mã hóaThẻ ID được gửi tới Web site

Được giới thiệu vào năm 1999 với tên gọi là .NETpassportSau đó được đổi tên thành Microsoft Passport Network,và cuối cùng là Windows Live IDĐược thiết kế như một giải pháp SSO cho Web sitethương mạiQuá trình xác thực

Người dùng nhập tên đăng nhập và mật khẩuNgười dùng được cung cấp một cookie “global” tồn tạitrong một khoảng thời gian hữu hạn, và được lưu trữtrên máy tính cùng với thẻ ID mã hóaThẻ ID được gửi tới Web site


Windows Live ID (2)

Quá trình xác thực (tiếp.)Web site sử dụng thẻ ID để xác thựcWeb site lưu trữ cookie “local” được mã hóa, có thời giantồn tại hữu hạn trên máy tính người dùng

Windows Live ID không được hỗ trợ rộng rãiHiện tại đang được sử dụng để xác thực cho:

Windows Live, Office Live, Xbox Live, MSN, vàother cácdịch vụ trực tuyến của Microsoft

Quá trình xác thực (tiếp.)Web site sử dụng thẻ ID để xác thựcWeb site lưu trữ cookie “local” được mã hóa, có thời giantồn tại hữu hạn trên máy tính người dùng

Windows Live ID không được hỗ trợ rộng rãiHiện tại đang được sử dụng để xác thực cho:

Windows Live, Office Live, Xbox Live, MSN, vàother cácdịch vụ trực tuyến của Microsoft


OpenID (1)

Quản lý định danh liên kết phân tán nguồn mở(Decentralized open source FIM)Không yêu cầu phải cài đặt bất cứ phần mềm nào trênmáy tính desktopHệ thống nhận dạng dựa trên URLOpenID cung cấp phương tiện để chứng minh một ngườisử dụng là chủ sở hữu của một URLQuá trình xác thực

Người dùng truy cập vào một web site miễn phí và đượccung cấp một tài khoản OpenID của Me.myopenID.com

Quản lý định danh liên kết phân tán nguồn mở(Decentralized open source FIM)Không yêu cầu phải cài đặt bất cứ phần mềm nào trênmáy tính desktopHệ thống nhận dạng dựa trên URLOpenID cung cấp phương tiện để chứng minh một ngườisử dụng là chủ sở hữu của một URLQuá trình xác thực

Người dùng truy cập vào một web site miễn phí và đượccung cấp một tài khoản OpenID của Me.myopenID.com


OpenID (2)

Quá trình xác thực (tiếp.)Người dùng truy cập vào Web site thương mại hoặc mộtweb site khác và đăng nhập với tài khoản Open IDWeb site đó sẽ chuyển hướng người dùng tớiMyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xácthựcMyOpenID.com chuyển hướng người dùng quay trở lại Website thương mại và người dùng đã được xác thực

Yếu điểm bảo mậtPhụ thuộc vào DNS có thể có những điểm yếu của riêngĐược đánh giá là chưa đủ mạnh để áp dụng cho các Website ngân hàng và Web site thương mại điện tử

Quá trình xác thực (tiếp.)Người dùng truy cập vào Web site thương mại hoặc mộtweb site khác và đăng nhập với tài khoản Open IDWeb site đó sẽ chuyển hướng người dùng tớiMyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xácthựcMyOpenID.com chuyển hướng người dùng quay trở lại Website thương mại và người dùng đã được xác thực

Yếu điểm bảo mậtPhụ thuộc vào DNS có thể có những điểm yếu của riêngĐược đánh giá là chưa đủ mạnh để áp dụng cho các Website ngân hàng và Web site thương mại điện tử


Ủy quyền mở (OAuth)

Cho phép người dùng chia sẻ tài nguyên lưu trên mộtWeb site với một Web site thứ hai

Không cần phải chuyển tiếp các thông tin xác thựcCho phép chia sẻ dữ liệu liên tục giữa các Web sitePhụ thuộc vào các thông tin thẻ xác thực

Thay thế cho nhu cầu chuyển giao tên đăng nhập và mậtkhẩuCác thẻ xác thực dành riêng cho các tài nguyên cụ thểtrên một Web site

Trong một khoảng thời gian hữu hạn

Cho phép người dùng chia sẻ tài nguyên lưu trên mộtWeb site với một Web site thứ hai

Không cần phải chuyển tiếp các thông tin xác thựcCho phép chia sẻ dữ liệu liên tục giữa các Web sitePhụ thuộc vào các thông tin thẻ xác thực

Thay thế cho nhu cầu chuyển giao tên đăng nhập và mậtkhẩuCác thẻ xác thực dành riêng cho các tài nguyên cụ thểtrên một Web site

Trong một khoảng thời gian hữu hạn


Quản lý tài khoản

Quản lý mật khẩu người dùngCó thể được thực hiện bằng cách thiết lập các quy tắc mậtkhẩuQuá cồng kềnh để có thể quản lý từng người dùng một

Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót

Phương pháp ưa dùng hơn: gán đặc quyền theo nhómCác thiết lập mật khẩu nhóm trong Microsoft Windows

Các thiết lập chính sách về mật khẩu (Pasword PolicySettings)Chính sách khóa tài khoản (Account Lockout Policy)

Quản lý mật khẩu người dùngCó thể được thực hiện bằng cách thiết lập các quy tắc mậtkhẩuQuá cồng kềnh để có thể quản lý từng người dùng một

Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót

Phương pháp ưa dùng hơn: gán đặc quyền theo nhómCác thiết lập mật khẩu nhóm trong Microsoft Windows

Các thiết lập chính sách về mật khẩu (Pasword PolicySettings)Chính sách khóa tài khoản (Account Lockout Policy)


Thuộc tính Mô tả Thiết lập đượckhuyến cáo

Áp đặt lịch sử mậtkhẩu

Số mật khẩu khác nhau phải sử dụng trước khisử dụng lại mật khẩu cũ (0 đến 24)

Nên thiết lập là 24mật khẩu mới

Tuổi cực đại củamật khẩu

Số ngày mật khẩu được dùng trước khi ngườidùng đổi sang mật khẩu mới (0 đến 999)

60 ngày

Tuổi cực tiểu củamật khẩu

Số ngày một mật khẩu mới được lưu giữ trướckhi người dùng có thể thay đổi (0 đến 999);

1 ngày

Các thiết lập chínhsách về mật khẩu

49

Dộ dài nhoe nhấtcủa mật khẩu

Số ký tự tối thiểu của một mật khẩu (0 đến28)

12 ký tự

Mật khẩu cần đápứng yêu cầu vềđộ phức tạp

Mật khẩu không chứa tên tài khoản ngườidùng, hoặc một dãy nhiều hơn 2 ký tự liêntiếp, có mặt trong tên đầy đủ của người dùng;…

Lưu trữ mật khẩusử dụng mã hóangược

Việc lưu trữ mật khẩu sử dụng mã hóa ngượccơ bản giống với việc lưu trữ các phiên bảnmật khẩu thô

Disabled


Thuộc tính Mô tả Thiết lậpđượckhuyến cáo

Nhận xét

Thời hạnkhóa tàikhoản

Khoảng thời gian tàikhoản bị khóa không thểtruy cập được trước khingười dùng có thể đăngnhập trở lại

15 phút Thiết lập thuộc tính này quácao có thể làm tăng cuộc gọiyêu cầu trợ giúp.

Ngưỡngkhóa tàikhoản

Số lần được phép đăngnhập thất bại trước khi tàikhoản bị khóa

30 lần Thiết lập thuộc tính quá thấpcó thể dẫn tới việc kẻ tấn cônglợi dụng trạng thái khóa tàikhoản như một kiểu tấn côngchặn dịch vụ (DoS)

Các thiết lập chínhsách khóa tài khoản

50

Ngưỡngkhóa tàikhoản

Số lần được phép đăngnhập thất bại trước khi tàikhoản bị khóa

30 lần Thiết lập thuộc tính quá thấpcó thể dẫn tới việc kẻ tấn cônglợi dụng trạng thái khóa tàikhoản như một kiểu tấn côngchặn dịch vụ (DoS)

Đặt lại biếnđếm khóa tàikhoản sau

Độ dài thời gian trước khithiết lập ngưỡng khóa tàikhoản được thiết lập về 0

15 phút Thời gian thiết lập lại phải nhỏhơn hoặc bằng giá trị khoảngthời gian khóa tài khoản


Các hệ điều hànhđược tin cậy (1/2)

Những lỗ hổng cơ bản của hệ điều hànhKích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra cáclỗ hổng trở nên khó khănMột ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộmáy tínhCác ứng dụng không thể tự xác thực bản thân với các ứngdụng khácKhông có đường dẫn tin cậy giữa người dùng và ứng dụngHệ điều hành không áp dụng nguyên tắc đặc quyền tốithiểu

Những lỗ hổng cơ bản của hệ điều hànhKích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra cáclỗ hổng trở nên khó khănMột ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộmáy tínhCác ứng dụng không thể tự xác thực bản thân với các ứngdụng khácKhông có đường dẫn tin cậy giữa người dùng và ứng dụngHệ điều hành không áp dụng nguyên tắc đặc quyền tốithiểu


Các hệ điều hànhđược tin cậy (2/2)

Hệ điều hành được tin cậy (trusted OS)OS được thiết kế để bảo mật ngay từ ban đầuCó thể ngăn không cho kẻ tấn công truy cập tới các phầnnhạy cảm của hệ thốngCó thể ngăn cản quản trị viên vô tình thực hiện nhữngthay đổi gây hại

Các nhà cung cấp hệ điều hành được tin cậyTập trung vào việc bảo mật các thành phần hệ điều hànhvà các yếu tố nền tảng khác

Phương pháp: phân chia các dịch vụ trong hệ điều hànhđược tin cậy cho từng khách hàng riêng

Hệ điều hành được tin cậy (trusted OS)OS được thiết kế để bảo mật ngay từ ban đầuCó thể ngăn không cho kẻ tấn công truy cập tới các phầnnhạy cảm của hệ thốngCó thể ngăn cản quản trị viên vô tình thực hiện nhữngthay đổi gây hại

Các nhà cung cấp hệ điều hành được tin cậyTập trung vào việc bảo mật các thành phần hệ điều hànhvà các yếu tố nền tảng khác

Phương pháp: phân chia các dịch vụ trong hệ điều hànhđược tin cậy cho từng khách hàng riêng


Tổng kết (1/2)

Xác thực thông tin có thể được chia thành ba nhóm: bạnbiết những gì, bạn có những gì và bạn là aiMật khẩu chỉ mang lại mức độ bảo mật yếu

Phụ thuộc vào trí nhớ của con ngườiHầu hết các cuộc tấn công mật khẩu hiện nay đều sửdụng kỹ thuật phá khóa ngoại tuyến

Kẻ tấn công đánh cắp file mật khẩu mã hóaThẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựatrên thuật toán sau khoảng 30 hoặc 60 giây

Xác thực thông tin có thể được chia thành ba nhóm: bạnbiết những gì, bạn có những gì và bạn là aiMật khẩu chỉ mang lại mức độ bảo mật yếu

Phụ thuộc vào trí nhớ của con ngườiHầu hết các cuộc tấn công mật khẩu hiện nay đều sửdụng kỹ thuật phá khóa ngoại tuyến

Kẻ tấn công đánh cắp file mật khẩu mã hóaThẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựatrên thuật toán sau khoảng 30 hoặc 60 giây


Tổng kết (2/2)

Sinh trắc họcSinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinhtrắc học nhận thức

Mô hình đăng nhập đơn nhất cho phép sử dụng một tênđăng nhập và mật khẩu duy nhất để truy cập vào tất cảcác tài khoảnCác thiết lập Chính sách nhóm cho phép quản trị viênthiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùngmột lúcCác hệ điều hành được tin cậy được thiết kế với mụcđích bảo mật ngay từ ban đầu

Sinh trắc họcSinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinhtrắc học nhận thức

Mô hình đăng nhập đơn nhất cho phép sử dụng một tênđăng nhập và mật khẩu duy nhất để truy cập vào tất cảcác tài khoảnCác thiết lập Chính sách nhóm cho phép quản trị viênthiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùngmột lúcCác hệ điều hành được tin cậy được thiết kế với mụcđích bảo mật ngay từ ban đầu


Documents

Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT