Tuy nhiên do nhu cầu bảo mật, đòi hỏi thuận tiện ngày càng cao, giảm bớt sự phức tạp và cần triển khai thêm các công nghệ chứng thực khác nên trong loạt bài này chúng tôi sẽ giới thiệu v
Trang 1USB token và các thẻ thông minh
Trang 2Cho tới giờ, mật khẩu vẫn thường được sử dụng như một cơ chế chứng thực yêu cầu hay nó cũng là một cơ chế được ưa thích khi truy cập vào các hệ thống và dữ liệu nhạy cảm Tuy nhiên do nhu cầu bảo mật, đòi hỏi thuận tiện ngày càng cao, giảm bớt sự phức tạp và cần triển khai thêm các công nghệ chứng thực khác nên trong loạt bài này chúng tôi sẽ giới thiệu về các công nghệ chứng thực đa hệ số được sử dụng với Windows Trong phần đầu này chúng ta sẽ bắt đầu vào việc xem xét đến những vấn
đề cơ bản của việc chứng thực dựa trên chip
Khi các mật khẩu không làm việc
Quay trở lại năm 1956, George A Miller đã viết bài báo “Số 7 kỳ diệu, cộng hoặc trừ 2: Một số hạn chế về khả năng xử lý thông tin”, nó là một bài báo
mô tả những gì hạn chế của khi muốn nhớ các mẩu thông tịn Một trong
những kết luận trong bài báo là một người trung bình có khả năng nhớ đến 7 mẩu thông tin tại cùng một thời điểm sai số có thể cộng/trừ 2 Các nhà khoa học khác sau đó đã cố gắng để cải thiện, người trung bình chỉ có thể nhớ 5 mẩu thông tin tại một thời điểm Mặc dù vậy, cách thừa nhận lý thuyết này thách thức đến những vấn đề liên quan đến độ dài và độ phức tạp đi kèm,
Trang 3cũng vấn đề này chúng ta có thể thấy trong rất nhiều bài báo khác
Sự phức tạp thường được cho là một trong những mối đe dọa lớn nhất đối với vấn đề bảo mật Một trong những phạm vi mà chúng ta xem xét vấn đề này
đã được chứng thực khi người dùng và các quản trị viên yêu cầu phải tuân theo một chính sách mật khẩu phức tạp Cũng tại thời điểm này, vấn đề này luôn luôn nằm trong danh sách top 5 các vấn đề đối với việc trợ giúp của bất
cứ một tổ chức nào đó Gartner và Forrester dự đoán rằng các cuộc gọi đến đội hỗ trợ (hay nhóm trợ giúp) có liên quan đến việc quên mật khẩu tiêu tốn đến xấp xỉ 10$ cho mỗi cuộc gọi Vậy thì việc tiến hành một phân tích lợi ích
về giá chi phí cho một chính sách mật khẩu hiện hành của một tổ chức là một việc nên làm lúc này
Mật khẩu sẽ là một cơ chế chứng thực đích thực khi độ dài của mật khẩu lớn hơn 15 ký tự và có ít nhất một ký tự không thuộc bảng chữ cái tiếng anh Các cụm sử dụng là mật khẩu dài nên phải đảm bảo là các ký tự mà người dùng
có thể nhớ nó một cách dễ dàng Điều này sẽ bảo đảm rằng hầu hết các tấn công “cầu vồng”, thậm chí các tấn công 8-bit đều sẽ bị thất bại, nhờ có bổ sung thêm sự phức tạp bởi các ký tự khác
Trang 4Lưu ý:
Từ khi có Windows 2000, mật khẩu có thể được hỗ trợ đến 127 ký tự Mặc
dù vậy lý do tại sao các mật khẩu chỉ là một cơ chế chứng thực không đủ là bởi vì người dùng thường nhớ không tốt cũng như bảo vệ các mật khẩu
không an toàn Có thể bạn cũng thấy rằng mật khẩu không được bảo vệ một cách thích hợp Tuy nhiên may thay chúng ta có một số giải pháp bảo mật khác sẽ cho phép nâng cao cả khả năng bảo mật lẫn sự thuận tiện bằng việc
sử dụng một mật khẩu ngắn dễ nhớ
Chứng thực dựa trên chip
Một trong những giải pháp bảo mật này là chứng thực dựa trên chip, đây là phương pháp thường được cho là chứng thực hai hệ số Chứng thực hai hệ số này sử dụng sự kết hợp các thành phần dưới đây:
1 Có thể là một thẻ thông minh hoặc USB token
2 Đôi khi là số nhận dạng cá nhân (PIN) PIN có thể cho phép người dùng
Trang 5truy cập chứng chỉ số đã được lưu trên thẻ thông minh
Hình 1 minh chứng cho bạn thấy được hai giải pháp khác nhau, tuy nhiên cơ bản mà nói nó có cùng một công nghệ Nói đúng ra, nó chỉ khác nhau về hình dáng, giá thành và một số thành phần tạo nên sự khác nhau, mặc dù mỗi một giải pháp có thể có một số tính năng bổ sung mà chúng ta sẽ xem xét dưới đây
Ví dụ về thẻ thông minh có thể
được sử dụng cho cả việc
chứng thực từ xa và chứng
thực Windows, truy cập vật lý
và thanh toán
Ví dụ về USB token với cả chứng thực dựa trên chip
và bộ nhớ flash để lưu trữ được các file và tài liệu…
Hình 1: Hai ví dụ về các thiết bị chứng thực dựa trên chip
Trang 6Cả thẻ thông minh và USB token đều có chip đi kèm theo Chip này cần phải
có một bộ vi xử lý 32 bit và thông thường có EEPROM (Electrically Erasable Programmable Read-only Memory) cỡ khoảng 32KB hoặc 64KB, chip RAM được nhúng trên thẻ thông minh hoặc USB token Ngày nay cũng có các thẻ thông minh hoặc USB token có thể nên đến 256KB RAM cho việc bảo đảm lưu trữ dữ liệu
Lưu ý:
Khi nói về việc lưu trữ trong bài này, chúng ta chỉ nói đến việc lưu trữ được nhúng trong chip bảo mật chứ không phải bản thân thiết bị
Chip này có một hệ điều hành nhỏ và bộ nhớ để lưu các chứng chỉ, chứng chỉ này lại được sử dụng cho việc chứng thực Hệ điều hành trên chip khác nhau giữa những hãng sản xuất khác nhau, chính vì vậy phải bản đảm rằng bạn có
sử dụng CSP (Cryptographic Service Provider) trong Windows, thành phần
hỗ trợ hệ điều hành trên chip Chúng ta sẽ xem xét đến CSP trong phần tiếp theo Giải pháp dựa trên chip có một số ưu điểm so với các giải pháp chứng thực đa hệ số khác vì nó có thể được sử dụng để lưu các chứng chỉ cho việc chứng thực, nhận dạng và chữ ký Như đã đề cập ở trên, mọi thứ đều được
Trang 7bảo vệ bởi PIN, PIN có thể cho phép người dùng truy cập vào dữ liệu được lưu trên chip Vì một tổ chức thường duy trì và phát hành các thẻ thông minh hoặc USB token cho chính họ nên họ cũng định nghĩa chính sách nào đó liên quan với giải pháp Ví dụ như các thẻ có thể bị khóa hoặc bị xóa sau một số lần nhập sai mã PIN Vì bạn có thểkết hợp các chính sách này với PIN, nên
độ dài của PIN có thể ngắn hơn và như vậy sẽ dễ nhớ hơn mà không dễ bị xâm phạm bảo mật Tất cả các tham số này được lưu trên thẻ thông minh khi
nó được phát hành Giải pháp dựa trên chip cũng chịu được những vấn đề sửa chữa can thiệp, vì vậy ngoài PIN đúng, dữ liệu (các chứng chỉ và thông tin cá nhân) được lưu trên chip đều không thể truy cập và như vậy không thể dùng được vào việc gì khác
Thẻ thông minh hay USB token?
Một sự khác nhau giữa thẻ thông minh và USB token là hình dáng ngoài Cả hai giải pháp đều giải quyết nhu cầu cơ bản, với khía cạnh chứng thực hai hệ
số nhưng mỗi một giải pháp đều có những ưu điểm riêng cũng như những nhược điểm riêng Thẻ thông minh có thể được sử dụng cho việc nhận dạng ảnh, vì bạn có thể in ảnh và tên lên nó Còn USB token có thể có bộ nhớ flash
Trang 8cho việc lưu trữ được các tài liệu và file khác Cả hai thiết bị đều được sử dụng cho việc điều khiển truy cập vật lý theo cách riêng của chúng Thẻ thông minh cũng có thể có một mạch điện, nam châm từ tính, mã vạch như thiết bị USB
Thẻ thông minh yêu cầu một bộ đọc thẻ, trong khi đó USB token có thể sử dụng cổng USB hiện có trên máy tính và đó là vấn đề để giải pháp này cạnh tranh với bộ đọc thẻ thông minh Ngày nay, các bộ đọc thẻ thông minh nên cần sử dụng các giao diện như PC Card, ExpressCard, USB hoặc được xây dựng kèm, một số hãng máy tính notebook và bàn phím
đã thực hiện mô hình của họ Các bộ đọc thẻ thông minh được xem như các thiết bị Windows, độc lập hoàn toàn với hệ điều hành chip và chúng có bộ
mô tả bảo mật và bộ nhận dạng PnP Cả bộ đọc và USB token đều cần đến một driver thiết bị Windows trước khi chúng có thể được sử dụng và bạn cũng nên luôn bảo đảm sử dụng các driver mới nhất, vấn đề này xuất phát từ những lý do về hiệu suất trong suốt việc chứng thực hai hệ số
Trang 9Giá thành chi phí ban đầu có thể bị ảnh hưởng đôi chút khi bạn chọn giải pháp chip để sử dụng Thẻ thông minh và thẻ tín dụng cơ bản tương tự nhau Rất nhiều công ty sử dụng thẻ thông minh cho việc truy cập vật lý tại văn phòng và thanh toán tiền cho bữa trưa,… Điều đó có nghĩa rằng nó có cả những giá trị thuận tiện cũng như tiền tệ và do đó người dùng có thể bảo vệ
và chỉ cần mang thẻ thông minh của họ luôn bên mình mọi lúc Nó cũng thích hợp khi mang trong ví, điều đó cũng giúp nó có thể được bảo vệ một cách tốt hơn
Một số vấn đề cần xem xét
Khi chọn giải pháp chứng thực dựa trên chip, có một số vấn đề và một số lời khuyên mà bạn nên xem xét ở đây:
1 Khả năng tương thích - Phải bảo đảm rằng hệ điều hành chip tương thích
với CSP mà bạn muốn sử dụng Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu đến CSP, phần mềm liên thông giữa hệ điều hành chip và Windows và nó cũng có trách nhiệm cho chính sách bảo mật đang được áp dụng cho chip
Trang 102 Vấn đề quản lý - Nếu bạn phải bổ sung thêm các thẻ thông minh hoặc
USB token để sử dụng cho nhiều người thì hãy chọn hệ điều hành chip tương thích với Card Management System (CMS) mà bạn đã chọn
3 Khả năng mở rộng - Bảo đảm rằng hệ điều hành chip có thể được sử dụng
bởi tất cả các ứng dụng yêu cầu và những nhu cầu chứng thực mà bạn cần Bạn có thể có những nhu cầu trong tương lai cho việc bổ sung thêm các
chứng chỉ bổ sung đối với thẻ thông minh hoặc USB token này, chẳng hạn như việc ký và mã hóa trong email Kiểm tra các chi tiết kỹ thuật DoD
Common Access Card (CAC), những chi tiết đã được sử dụng để lưu rất nhiều thông tin về người dùng Hãy bảo đảm cân nhắc những vấn đề riêng tư khi bổ sung thêm thông tin Chúng ta sẽ xem xét đến vấn đề này trong phần sau
4 Khả năng sử dụng - Bảo đảm chọn và bổ sung một giải pháp dựa trên
chip, giải pháp cho cả việc thân thiện cho người dùng và khả năng thao tác Một trong những thách thức lớn nhất với các giải pháp chứng thực đa hệ số là mọi người đều có một khuynh hướng quên hoặc mất thẻ thông minh hay thiết
Trang 11bị USB của họ hoặc quên PIN nếu nó không được sử dụng thường xuyên
Kết luận
Trong phần tiếp theo, chúng tôi sẽ giới thiệu cho bạn cách thao tác tốt nhất khi bổ sung thêm các thẻ thông minh hoặc USB token vào môi trường
Windows, ngoài ra cũng sẽ giới thiệu cách cấu hình một CSP client và những khác nhau giữa cấu hình CSP trong Windows XP/Windows Server 2003 và Windows Vista/Windows Server 2008
