bài 7 xác thực và quản lý tài khoản

Bạn biết những gì: Mật khẩuKhi người dùng đăng nhập vào hệ thống Được yêu cầu xác định danh tính Người dùng nhập tên đăng nhập username Người dùng được yêu cầu cung cấp thông tin để xác

Bài 7:

Xác thực và quản lý tài khoản

Củng cố lại bài 6

Định nghĩa điều khiển truy cập và liệt kê bốn

mô hình điều khiển truy cập

Mô tả các phương pháp điều khiển truy cập lô

gíc

Giải thích các kiểu điều khiển truy cập vật lý

khác nhau

Định nghĩa các dịch vụ xác thực

Định nghĩa điều khiển truy cập và liệt kê bốn

mô hình điều khiển truy cập

Mô tả các phương pháp điều khiển truy cập lô

gíc

Giải thích các kiểu điều khiển truy cập vật lý

khác nhau

Định nghĩa các dịch vụ xác thực

Mục tiêu của bài học

Mô tả ba kiểu xác thực thông tin

Giải thích những gì mà mô hình đăng nhập đơn nhất có thể thực hiện

Liệt kê các thủ tục quản lý tài khoản để bảo mật mật

khẩu

Định nghĩa các hệ điều hành được tin cậy

Xác thực và quản lý bảo mật tài khoản người dùng

Các kiểu xác thực thông tin khác nhau

Mô hình đăng nhập đơn nhất

Các kỹ thuật và công nghệ quản lý bảo mật tài khoản

Xác thực và quản lý bảo mật tài khoản người dùng

Các kiểu xác thực thông tin khác nhau

Mô hình đăng nhập đơn nhất

Các kỹ thuật và công nghệ quản lý bảo mật tài khoản

người dùng

Xác thực thông tin

Bạn biết những gì: Mật khẩu

Khi người dùng đăng nhập vào hệ thống

Được yêu cầu xác định danh tính

Người dùng nhập tên đăng nhập (username)

Người dùng được yêu cầu cung cấp thông tin để xác thực

Người dùng nhập mật khẩu

Mật khẩu là kiểu xác thực phổ biến nhất hiện nay

Mật khẩu chỉ đem lại sự bảo vệ mức yếu

Khi người dùng đăng nhập vào hệ thống

Được yêu cầu xác định danh tính

Người dùng nhập tên đăng nhập (username)

Người dùng được yêu cầu cung cấp thông tin để xác thực

Người dùng nhập mật khẩu

Mật khẩu là kiểu xác thực phổ biến nhất hiện nay

Mật khẩu chỉ đem lại sự bảo vệ mức yếu

Những yếu điểm của mật khẩu (1/2)

Yếu điểm của mật khẩu có liên quan đến trí nhớ của

Những yếu điểm của mật khẩu (2/2)

Người dùng thường chọn đường tắt

Sử dụng mật khẩu yếu

Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân

Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau

Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản

Người dùng thường chọn đường tắt

Sử dụng mật khẩu yếu

Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân

Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau

Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản

Tấn công vào mật khẩu (1/)

Tấn công kiểu “người đứng giữa” và tấn công tái chuyển

Cài đặt lại mật khẩu

Kẻ tấn công đạt được truy cập vật lý vào các máy tính vàcài đặt lại mật khẩu

Tấn công kiểu “người đứng giữa” và tấn công tái chuyển

Cài đặt lại mật khẩu

Kẻ tấn công đạt được truy cập vật lý vào các máy tính vàcài đặt lại mật khẩu

Tấn công vào mật khẩu (2/)

Phá khóa ngoại tuyến

Phương thức được sử dụng bởi hầu hết các cuộc tấn

công mật khẩu hiện nay

Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa

Đối chiếu với các mật khẩu mã hóa do chúng tạo ra

Các kiểu phá khóa ngoại tuyến

Bạo lực

Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với file đánh cắp được

Tốc độ chậm nhất nhưng triệt để nhất

Phá khóa ngoại tuyến

Phương thức được sử dụng bởi hầu hết các cuộc tấn

công mật khẩu hiện nay

Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa

Đối chiếu với các mật khẩu mã hóa do chúng tạo ra

Các kiểu phá khóa ngoại tuyến

Bạo lực

Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với file đánh cắp được

Tốc độ chậm nhất nhưng triệt để nhất

Tấn công vào mật khẩu (3/)

Các tham số của chương trình tấn công mật khẩu kiểu bạo lực tự động

Tấn công dùng từ điển

Tấn công vào mật khẩu (4/)

Tấn công lai ghép

Thay đổi các từ trong từ điển

Thêm các chữ số vào cuối mật khẩu Đánh vần các từ theo thứ tự ngược Các từ hơi lỗi chính tả

Bao gồm các ký tự đặc biệt

Tấn công lai ghép

Thay đổi các từ trong từ điển

Thêm các chữ số vào cuối mật khẩu Đánh vần các từ theo thứ tự ngược Các từ hơi lỗi chính tả

Bao gồm các ký tự đặc biệt

Tấn công vào mật khẩu (5/)

Bảng cầu vồng (Rainbow table)

Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn

Các bước sử dụng bảng cầu vồng

Tạo bảng

Chuỗi các mật khẩu thô

Mã hóa mật khẩu ban đầu Truyền vào một hàm để tạo ra các mật khẩu thô khác Lặp lại một số vòng nhất định

Sử dụng bảng cầu vồng để bẻ mật khẩu

Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với mật khẩu mã hóa trong file đánh cắp được

Kết quả thu được chuỗi mật khẩu khởi tạo

Bảng cầu vồng (Rainbow table)

Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn

Các bước sử dụng bảng cầu vồng

Tạo bảng

Chuỗi các mật khẩu thô

Mã hóa mật khẩu ban đầu Truyền vào một hàm để tạo ra các mật khẩu thô khác Lặp lại một số vòng nhất định

Tấn công vào mật khẩu (6/)

• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)

Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu

được cho tới khi tìm thấy mật khẩu mã hóa gốc

Mật khẩu được sử dụng tại bước lặp cuối cùng chính là

mật khẩu đã được bẻ

Ưu điểm của bảng cầu vồng so với các phương thức tấn công khác

Có thể tái sử dụng nhiều lần

Tốc độ nhanh hơn so với tấn công dùng từ điển

Yêu cầu ít bộ nhớ máy tính hơn

• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)

Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu

được cho tới khi tìm thấy mật khẩu mã hóa gốc

Mật khẩu được sử dụng tại bước lặp cuối cùng chính là

mật khẩu đã được bẻ

Ưu điểm của bảng cầu vồng so với các phương thức tấn công khác

Có thể tái sử dụng nhiều lần

Tốc độ nhanh hơn so với tấn công dùng từ điển

Yêu cầu ít bộ nhớ máy tính hơn

Bảo vệ mật khẩu (2/)

Phương thức của chương trình tấn công mật khẩu

Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông

dụng

Kết hợp các mật khẩu với các hậu tố thông dụng

Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000

từ tổng hợp có trong từ điển

Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ inhoa toàn bộ và chữ in hoa ký tự cuối

Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt

Ví dụ: $ thay cho s, @ thay cho a

Phương thức của chương trình tấn công mật khẩu

Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông

dụng

Kết hợp các mật khẩu với các hậu tố thông dụng

Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000

từ tổng hợp có trong từ điển

Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ inhoa toàn bộ và chữ in hoa ký tự cuối

Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt

Ví dụ: $ thay cho s, @ thay cho a

Bảo vệ mật khẩu (3/)

Những gợi ý chung để tạo một mật khẩu mạnh

Không sử dụng các từ có trong từ điển hoặc các từ phiênâm

Không sử dụng ngày sinh, tên của thành viên trong gia

đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá

nhân nào

Không lặp lại ký tự hoặc sử dụng thứ tự

Không sử dụng các mật khẩu ngắn

Những gợi ý chung để tạo một mật khẩu mạnh

Không sử dụng các từ có trong từ điển hoặc các từ phiênâm

Không sử dụng ngày sinh, tên của thành viên trong gia

đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá

nhân nào

Không lặp lại ký tự hoặc sử dụng thứ tự

Không sử dụng các mật khẩu ngắn

Bảo vệ mật khẩu (4/)

Quản lý mật khẩu

Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn

công lấy được file mật khẩu mã hóa

Phòng chống đánh cắp file mật khẩu

Không được để máy tính không có người giám sát Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật khẩu khi phục hồi

Thiết lập mật khẩu bảo vệ ROM BIOS

Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép

mở máy

Các biện pháp quản lý mật khẩu tối ưu

Quản lý mật khẩu

Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn

công lấy được file mật khẩu mã hóa

Phòng chống đánh cắp file mật khẩu

Không được để máy tính không có người giám sát Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật khẩu khi phục hồi

Thiết lập mật khẩu bảo vệ ROM BIOS

Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép

mở máy

Các biện pháp quản lý mật khẩu tối ưu

Bảo vệ mật khẩu (5/)

Các thủ tục quản lý mật khẩu tối ưu (tiếp.)

Không bao giờ được viết ra mật khẩu

Sử dụng các mật khẩu riêng cho từng tài khoản

Thiết lập mật khẩu tạm thời cho việc truy cập của người

dùng khác

Không cho phép chế độ tự động đăng nhập vào một tài

khoản trên máy tính

Không bao giờ được nhập mật khẩu trên các máy tính truycập công cộng

Không nhập mật khẩu khi kết nối vào một mạng không

dây chưa được mã hóa

Các thủ tục quản lý mật khẩu tối ưu (tiếp.)

Không bao giờ được viết ra mật khẩu

Sử dụng các mật khẩu riêng cho từng tài khoản

Thiết lập mật khẩu tạm thời cho việc truy cập của người

dùng khác

Không cho phép chế độ tự động đăng nhập vào một tài

khoản trên máy tính

Không bao giờ được nhập mật khẩu trên các máy tính truycập công cộng

Không nhập mật khẩu khi kết nối vào một mạng không

dây chưa được mã hóa

Bản đồ ký tự trong Windows

Bảo vệ mật khẩu (7/)

Bổ sung mật khẩu (tiếp.)

Trình duyệt Web Internet Explorer (IE) và Firefox chứa

chức năng cho phép người dùng lưu giữ mật khẩu

Mật khẩu tự động hoàn thành trong IE

Được mã hóa và lưu trữ trong registry của Windows

Nhược điểm của bổ sung mật khẩu

Thông tin mật khẩu cụ thể với một máy tính

Mật khẩu có thể bị lộ nếu một người dùng khác được phéptruy cập vào máy tính

Bổ sung mật khẩu (tiếp.)

Trình duyệt Web Internet Explorer (IE) và Firefox chứa

chức năng cho phép người dùng lưu giữ mật khẩu

Mật khẩu tự động hoàn thành trong IE

Được mã hóa và lưu trữ trong registry của Windows

Nhược điểm của bổ sung mật khẩu

Thông tin mật khẩu cụ thể với một máy tính

Mật khẩu có thể bị lộ nếu một người dùng khác được phéptruy cập vào máy tính

Bảo vệ mật khẩu (8/)

Các ứng dụng quản lý mật khẩu

Người dùng tạo và lưu trữ các mật khẩu trong một file

“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn

(strong master password)

Các tính năng của ứng dụng quản lý mật khẩu

Khả năng kéo thả

Mã hóa nâng cao

Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điềuhành bị xâm hại

Hẹn giờ để giải phóng bộ đệm clipboard

Các ứng dụng quản lý mật khẩu

Người dùng tạo và lưu trữ các mật khẩu trong một file

“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn

(strong master password)

Các tính năng của ứng dụng quản lý mật khẩu

Khả năng kéo thả

Mã hóa nâng cao

Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điềuhành bị xâm hại

Hẹn giờ để giải phóng bộ đệm clipboard

Cho phép người dùng truy cập tới mật khẩu mà không cần nhớ

Phải được cài đặt trên từng máy tính và phải được cập nhật trên mọi máy tính Ứng dụng di

Người dùng phải luôn mang theo ổ USB flash để không cho người khác sử dụng

Các ứng dụng quản lý mật khẩu

Người dùng phải luôn mang theo ổ USB flash để không cho người khác sử dụng Lưu trữ trên

Internet Ứng dụngvà/hoặc file Có thể truy cậpchương trình Việc lưu trữ mật khẩutrực tuyên có thể bị

Bạn có những gì: Thẻ xác thực và thẻ từ (1/)

Thẻ xác thực (token)

Thiết bị nhỏ có màn hình hiển thị

Đồng bộ với một máy chủ xác thực

Mã được sinh ra từ một thuật toán

Mã thay đổi sau mỗi 30 hoặc 60 giây

Bạn có những gì: Thẻ xác thực và thẻ từ (2/)

Các bước đăng nhập người dùng sử dụng thẻ xác thực

Người dùng nhập tên đăng nhập và mã do thẻ xác thực

cung cấp

Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với

người dùng, sinh ra mã của mình, và so sánh với mã củangười dùng

Nếu hai mã trùng khớp, người dùng sẽ được xác thực

Những ưu điểm của thẻ xác thực so với mật khẩu

Mã thẻ xác thực thay đổi thường xuyên

Kẻ tấn công cần phải phá được mã trong một khoảng thời

Các bước đăng nhập người dùng sử dụng thẻ xác thực

Người dùng nhập tên đăng nhập và mã do thẻ xác thực

cung cấp

Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với

người dùng, sinh ra mã của mình, và so sánh với mã củangười dùng

Nếu hai mã trùng khớp, người dùng sẽ được xác thực

Những ưu điểm của thẻ xác thực so với mật khẩu

Mã thẻ xác thực thay đổi thường xuyên

Kẻ tấn công cần phải phá được mã trong một khoảng thời

Sinh mã và so sánh mã

Bạn có những gì: Thẻ xác thực và thẻ từ (3/)

Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)

Người dùng có thể không cần quan tâm việc mật khẩu đã

Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.)

Người dùng có thể không cần quan tâm việc mật khẩu đã

Bạn có những gì: Thẻ xác thực và thẻ từ (4/)

Không đòi hỏi truy cập vật lý tới thẻ

Các thẻ truy cập chung (common access card - CAC)

Do Bộ quốc phòng Mỹ ban hành Chứa mã vạch, dải từ, và ảnh của chủ thẻ

Không đòi hỏi truy cập vật lý tới thẻ

Các thẻ truy cập chung (common access card - CAC)

Do Bộ quốc phòng Mỹ ban hành Chứa mã vạch, dải từ, và ảnh của chủ thẻ

Thẻ thông minh

Bạn là ai: Sinh trắc học (1)

Sinh trắc học tiêu chuẩn

Sử dụng các đặc điểm vật lý mang tính cá biệt của con

người để xác thực

Máy quét dấu vân tay là kiểu phổ biến nhất

Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng

Các kiểu máy quét dấu vân tay

Máy quét dấu vân tay tĩnh

Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file

Máy quét dấu vân tay động

Sử dụng các khe hở nhỏ

Sinh trắc học tiêu chuẩn

Sử dụng các đặc điểm vật lý mang tính cá biệt của con

người để xác thực

Máy quét dấu vân tay là kiểu phổ biến nhất

Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng

Các kiểu máy quét dấu vân tay

Máy quét dấu vân tay tĩnh

Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file

Máy quét dấu vân tay động

Sử dụng các khe hở nhỏ

Máy quét dấu vân tay động

Bạn là ai: Sinh trắc học (2)

Nhược điểm của sinh trắc học tiêu chuẩn

Chi phí cho thiết bị quét phần cứng

Các bộ đọc luôn có những lỗi nhất định

Từ chối người dùng hợp lệ Chấp nhận những người dùng không hợp lệ

Theo dấu chân máy tính (Computer footprinting)

Nhược điểm của sinh trắc học tiêu chuẩn

Chi phí cho thiết bị quét phần cứng

Các bộ đọc luôn có những lỗi nhất định

Từ chối người dùng hợp lệ Chấp nhận những người dùng không hợp lệ

Bạn là ai: Sinh trắc học (3)

Động lực học gõ phím

Cố gắng nhận dạng nhịp độ bấm phím của người dùng

Mỗi người dùng có một tốc độ gõ phím khác nhau Đạt được độ chính xác lên tới 98%

Sử dụng hai biến đơn nhất

Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc nhả phím)

Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ phím)

Động lực học gõ phím

Cố gắng nhận dạng nhịp độ bấm phím của người dùng

Mỗi người dùng có một tốc độ gõ phím khác nhau Đạt được độ chính xác lên tới 98%

Sử dụng hai biến đơn nhất

Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc nhả phím)

Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ phím)

Mẫu đánh máy

Xác thực dựa trên tốc độ thao tác bàn phím

Bạn là ai: Sinh trắc học (4)

Nhận dạng giọng nói

Có một số đặc tính tạo nên giọng nói riêng của mỗi ngườiMẫu giọng nói có thể được tạo ra

Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi

âm của người dùng

Âm điệu phát âm của các từ đặt cạnh nhau là một phần của mẫu giọng nói thực sự

Nhận dạng giọng nói

Có một số đặc tính tạo nên giọng nói riêng của mỗi ngườiMẫu giọng nói có thể được tạo ra

Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi

âm của người dùng

Âm điệu phát âm của các từ đặt cạnh nhau là một phần của mẫu giọng nói thực sự

Bạn là ai: Sinh trắc học (5)

Theo dấu chân máy tính (Computer footprinting)

Dựa vào các mẫu truy cập điển hình

Vị trí địa lý

Thời gian trong ngày

Nhà cung cấp dịch vụ Internet

Cấu hình PC cơ bản

Theo dấu chân máy tính (Computer footprinting)

Dựa vào các mẫu truy cập điển hình

Vị trí địa lý

Thời gian trong ngày

Nhà cung cấp dịch vụ Internet

Cấu hình PC cơ bản