Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT

2,844 views

Published on

Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,844
On SlideShare
0
From Embeds
0
Number of Embeds
54
Actions
Shares
0
Downloads
411
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT

  1. 1. Bài 7: Xác thực và quản lý tài khoản
  2. 2. Củng cố lại bài 6 Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều khiển truy cập Mô tả các phương pháp điều khiển truy cập lô gíc Giải thích các kiểu điều khiển truy cập vật lý khác nhau Định nghĩa các dịch vụ xác thực Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều khiển truy cập Mô tả các phương pháp điều khiển truy cập lô gíc Giải thích các kiểu điều khiển truy cập vật lý khác nhau Định nghĩa các dịch vụ xác thực Bài 7 - Xác thực và quản lý tài khoản 2
  3. 3. Mục tiêu của bài học Mô tả ba kiểu xác thực thông tin Giải thích những gì mà mô hình đăng nhập đơn nhất có thể thực hiện 3 Liệt kê các thủ tục quản lý tài khoản để bảo mật mật khẩu Định nghĩa các hệ điều hành được tin cậy Bài 7 - Xác thực và quản lý tài khoản
  4. 4. Giới thiệu Xác thực thông tin Quá trình nhằm đảm bảo một người đang có ý định truy cập tới tài nguyên là đáng tin cậy Các chủ đề sẽ đề cập trong bài Xác thực và quản lý bảo mật tài khoản người dùng Các kiểu xác thực thông tin khác nhau Mô hình đăng nhập đơn nhất Các kỹ thuật và công nghệ quản lý bảo mật tài khoản người dùng Các hệ điều hành được tin cậy Xác thực thông tin Quá trình nhằm đảm bảo một người đang có ý định truy cập tới tài nguyên là đáng tin cậy Các chủ đề sẽ đề cập trong bài Xác thực và quản lý bảo mật tài khoản người dùng Các kiểu xác thực thông tin khác nhau Mô hình đăng nhập đơn nhất Các kỹ thuật và công nghệ quản lý bảo mật tài khoản người dùng Các hệ điều hành được tin cậy 4Bài 7 - Xác thực và quản lý tài khoản
  5. 5. Xác thực thông tin Các kiểu xác thực thông tin Bạn có những gì? Ví dụ: khóa từ xe ô tô Bạn là ai? Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp viên của câu lạc bộ sức khỏe Bạn biết những gì? Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc bộ sức khỏe Các kiểu xác thực thông tin Bạn có những gì? Ví dụ: khóa từ xe ô tô Bạn là ai? Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp viên của câu lạc bộ sức khỏe Bạn biết những gì? Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc bộ sức khỏe 5Bài 7 - Xác thực và quản lý tài khoản
  6. 6. Xác thực thông tin 6Bài 7 - Xác thực và quản lý tài khoản
  7. 7. Bạn biết những gì: Mật khẩu Khi người dùng đăng nhập vào hệ thống Được yêu cầu xác định danh tính Người dùng nhập tên đăng nhập (username) Người dùng được yêu cầu cung cấp thông tin để xác thực Người dùng nhập mật khẩu Mật khẩu là kiểu xác thực phổ biến nhất hiện nay Mật khẩu chỉ đem lại sự bảo vệ mức yếu Khi người dùng đăng nhập vào hệ thống Được yêu cầu xác định danh tính Người dùng nhập tên đăng nhập (username) Người dùng được yêu cầu cung cấp thông tin để xác thực Người dùng nhập mật khẩu Mật khẩu là kiểu xác thực phổ biến nhất hiện nay Mật khẩu chỉ đem lại sự bảo vệ mức yếu 7Bài 7 - Xác thực và quản lý tài khoản
  8. 8. Những yếu điểm của mật khẩu (1/2) Yếu điểm của mật khẩu có liên quan đến trí nhớ của con người Con người chỉ có thể nhớ được một số lượng bản ghi hữu hạn Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất Nhưng cũng khó nhớ nhất Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản khác nhau Các chính sách bảo mật qui định mật khẩu hết hiệu lực sau một khoảng thời gian Người dùng phải ghi nhớ mật khẩu nhiều lần Yếu điểm của mật khẩu có liên quan đến trí nhớ của con người Con người chỉ có thể nhớ được một số lượng bản ghi hữu hạn Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất Nhưng cũng khó nhớ nhất Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản khác nhau Các chính sách bảo mật qui định mật khẩu hết hiệu lực sau một khoảng thời gian Người dùng phải ghi nhớ mật khẩu nhiều lần 8Bài 7 - Xác thực và quản lý tài khoản
  9. 9. Những yếu điểm của mật khẩu (2/2) Người dùng thường chọn đường tắt Sử dụng mật khẩu yếu Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản Người dùng thường chọn đường tắt Sử dụng mật khẩu yếu Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản 9Bài 7 - Xác thực và quản lý tài khoản
  10. 10. Tấn công vào mật khẩu (1/) Kỹ nghệ xã hội Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác Chụp nén Trình theo dõi thao tác bàn phím, trình phân tích giao thức Tấn công kiểu “người đứng giữa” và tấn công tái chuyển Cài đặt lại mật khẩu Kẻ tấn công đạt được truy cập vật lý vào các máy tính và cài đặt lại mật khẩu Đoán trực tuyến Không thực sự thiết thực Kỹ nghệ xã hội Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác Chụp nén Trình theo dõi thao tác bàn phím, trình phân tích giao thức Tấn công kiểu “người đứng giữa” và tấn công tái chuyển Cài đặt lại mật khẩu Kẻ tấn công đạt được truy cập vật lý vào các máy tính và cài đặt lại mật khẩu Đoán trực tuyến Không thực sự thiết thực 10Bài 7 - Xác thực và quản lý tài khoản
  11. 11. Tấn công vào mật khẩu (2/) Phá khóa ngoại tuyến Phương thức được sử dụng bởi hầu hết các cuộc tấn công mật khẩu hiện nay Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa Đối chiếu với các mật khẩu mã hóa do chúng tạo ra Các kiểu phá khóa ngoại tuyến Bạo lực Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với file đánh cắp được Tốc độ chậm nhất nhưng triệt để nhất Phá khóa ngoại tuyến Phương thức được sử dụng bởi hầu hết các cuộc tấn công mật khẩu hiện nay Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa Đối chiếu với các mật khẩu mã hóa do chúng tạo ra Các kiểu phá khóa ngoại tuyến Bạo lực Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với file đánh cắp được Tốc độ chậm nhất nhưng triệt để nhất 11Bài 7 - Xác thực và quản lý tài khoản
  12. 12. Tấn công vào mật khẩu (3/) Các tham số của chương trình tấn công mật khẩu kiểu bạo lực tự động Độ dài mật khẩu Bộ ký tự Ngôn ngữ Mẫu mật khẩu Bước nhảy Tấn công dùng từ điển Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông dụng trong từ điển So sánh với file mật khẩu đánh cắp được Các tham số của chương trình tấn công mật khẩu kiểu bạo lực tự động Độ dài mật khẩu Bộ ký tự Ngôn ngữ Mẫu mật khẩu Bước nhảy Tấn công dùng từ điển Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông dụng trong từ điển So sánh với file mật khẩu đánh cắp được 12Bài 7 - Xác thực và quản lý tài khoản
  13. 13. Tấn công dùng từ điển 13Bài 7 - Xác thực và quản lý tài khoản
  14. 14. Tấn công vào mật khẩu (4/) Tấn công lai ghép Thay đổi các từ trong từ điển Thêm các chữ số vào cuối mật khẩu Đánh vần các từ theo thứ tự ngược Các từ hơi lỗi chính tả Bao gồm các ký tự đặc biệt Tấn công lai ghép Thay đổi các từ trong từ điển Thêm các chữ số vào cuối mật khẩu Đánh vần các từ theo thứ tự ngược Các từ hơi lỗi chính tả Bao gồm các ký tự đặc biệt 14Bài 7 - Xác thực và quản lý tài khoản
  15. 15. Tấn công vào mật khẩu (5/) Bảng cầu vồng (Rainbow table) Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn Các bước sử dụng bảng cầu vồng Tạo bảng Chuỗi các mật khẩu thô Mã hóa mật khẩu ban đầu Truyền vào một hàm để tạo ra các mật khẩu thô khác Lặp lại một số vòng nhất định Sử dụng bảng cầu vồng để bẻ mật khẩu Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với mật khẩu mã hóa trong file đánh cắp được Kết quả thu được chuỗi mật khẩu khởi tạo Bảng cầu vồng (Rainbow table) Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn Các bước sử dụng bảng cầu vồng Tạo bảng Chuỗi các mật khẩu thô Mã hóa mật khẩu ban đầu Truyền vào một hàm để tạo ra các mật khẩu thô khác Lặp lại một số vòng nhất định Sử dụng bảng cầu vồng để bẻ mật khẩu Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với mật khẩu mã hóa trong file đánh cắp được Kết quả thu được chuỗi mật khẩu khởi tạo 15Bài 7 - Xác thực và quản lý tài khoản
  16. 16. Tấn công vào mật khẩu (6/) • Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.) Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu được cho tới khi tìm thấy mật khẩu mã hóa gốc Mật khẩu được sử dụng tại bước lặp cuối cùng chính là mật khẩu đã được bẻ Ưu điểm của bảng cầu vồng so với các phương thức tấn công khác Có thể tái sử dụng nhiều lần Tốc độ nhanh hơn so với tấn công dùng từ điển Yêu cầu ít bộ nhớ máy tính hơn • Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.) Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu được cho tới khi tìm thấy mật khẩu mã hóa gốc Mật khẩu được sử dụng tại bước lặp cuối cùng chính là mật khẩu đã được bẻ Ưu điểm của bảng cầu vồng so với các phương thức tấn công khác Có thể tái sử dụng nhiều lần Tốc độ nhanh hơn so với tấn công dùng từ điển Yêu cầu ít bộ nhớ máy tính hơn 16Bài 7 - Xác thực và quản lý tài khoản
  17. 17. Bảo vệ mật khẩu (1/) Tạo và sử dụng các mật khẩu mạnh Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông qua việc nghiên cứu các phương thức tấn công mật khẩu Hầu hết các mật khẩu đều gồm hai phần: Phần gốc Phần đính kèm Tiền tố hoặc hậu tố Tạo và sử dụng các mật khẩu mạnh Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông qua việc nghiên cứu các phương thức tấn công mật khẩu Hầu hết các mật khẩu đều gồm hai phần: Phần gốc Phần đính kèm Tiền tố hoặc hậu tố 17Bài 7 - Xác thực và quản lý tài khoản
  18. 18. Bảo vệ mật khẩu (2/) Phương thức của chương trình tấn công mật khẩu Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông dụng Kết hợp các mật khẩu với các hậu tố thông dụng Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000 từ tổng hợp có trong từ điển Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in hoa toàn bộ và chữ in hoa ký tự cuối Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt Ví dụ: $ thay cho s, @ thay cho a Phương thức của chương trình tấn công mật khẩu Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông dụng Kết hợp các mật khẩu với các hậu tố thông dụng Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000 từ tổng hợp có trong từ điển Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in hoa toàn bộ và chữ in hoa ký tự cuối Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt Ví dụ: $ thay cho s, @ thay cho a 18Bài 7 - Xác thực và quản lý tài khoản
  19. 19. Bảo vệ mật khẩu (3/) Những gợi ý chung để tạo một mật khẩu mạnh Không sử dụng các từ có trong từ điển hoặc các từ phiên âm Không sử dụng ngày sinh, tên của thành viên trong gia đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá nhân nào Không lặp lại ký tự hoặc sử dụng thứ tự Không sử dụng các mật khẩu ngắn Những gợi ý chung để tạo một mật khẩu mạnh Không sử dụng các từ có trong từ điển hoặc các từ phiên âm Không sử dụng ngày sinh, tên của thành viên trong gia đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá nhân nào Không lặp lại ký tự hoặc sử dụng thứ tự Không sử dụng các mật khẩu ngắn 19Bài 7 - Xác thực và quản lý tài khoản
  20. 20. Bảo vệ mật khẩu (4/) Quản lý mật khẩu Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn công lấy được file mật khẩu mã hóa Phòng chống đánh cắp file mật khẩu Không được để máy tính không có người giám sát Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật khẩu khi phục hồi Thiết lập mật khẩu bảo vệ ROM BIOS Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép mở máy Các biện pháp quản lý mật khẩu tối ưu Thay đổi mật khẩu thường xuyên Không sử dụng lại các mật khẩu cũ Quản lý mật khẩu Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn công lấy được file mật khẩu mã hóa Phòng chống đánh cắp file mật khẩu Không được để máy tính không có người giám sát Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật khẩu khi phục hồi Thiết lập mật khẩu bảo vệ ROM BIOS Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép mở máy Các biện pháp quản lý mật khẩu tối ưu Thay đổi mật khẩu thường xuyên Không sử dụng lại các mật khẩu cũ 20Bài 7 - Xác thực và quản lý tài khoản
  21. 21. Bảo vệ mật khẩu (5/) Các thủ tục quản lý mật khẩu tối ưu (tiếp.) Không bao giờ được viết ra mật khẩu Sử dụng các mật khẩu riêng cho từng tài khoản Thiết lập mật khẩu tạm thời cho việc truy cập của người dùng khác Không cho phép chế độ tự động đăng nhập vào một tài khoản trên máy tính Không bao giờ được nhập mật khẩu trên các máy tính truy cập công cộng Không nhập mật khẩu khi kết nối vào một mạng không dây chưa được mã hóa Các thủ tục quản lý mật khẩu tối ưu (tiếp.) Không bao giờ được viết ra mật khẩu Sử dụng các mật khẩu riêng cho từng tài khoản Thiết lập mật khẩu tạm thời cho việc truy cập của người dùng khác Không cho phép chế độ tự động đăng nhập vào một tài khoản trên máy tính Không bao giờ được nhập mật khẩu trên các máy tính truy cập công cộng Không nhập mật khẩu khi kết nối vào một mạng không dây chưa được mã hóa 21Bài 7 - Xác thực và quản lý tài khoản
  22. 22. Bảo vệ mật khẩu (6/) Một số chỉ dẫn khác Sử dụng các ký tự không có trên bàn phím Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím số Bổ sung mật khẩu Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một ghánh nặng với người dùng Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật khẩu Một số chỉ dẫn khác Sử dụng các ký tự không có trên bàn phím Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím số Bổ sung mật khẩu Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một ghánh nặng với người dùng Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật khẩu 22Bài 7 - Xác thực và quản lý tài khoản
  23. 23. Bản đồ ký tự trong Windows 23Bài 7 - Xác thực và quản lý tài khoản
  24. 24. Bảo vệ mật khẩu (7/) Bổ sung mật khẩu (tiếp.) Trình duyệt Web Internet Explorer (IE) và Firefox chứa chức năng cho phép người dùng lưu giữ mật khẩu Mật khẩu tự động hoàn thành trong IE Được mã hóa và lưu trữ trong registry của Windows Nhược điểm của bổ sung mật khẩu Thông tin mật khẩu cụ thể với một máy tính Mật khẩu có thể bị lộ nếu một người dùng khác được phép truy cập vào máy tính Bổ sung mật khẩu (tiếp.) Trình duyệt Web Internet Explorer (IE) và Firefox chứa chức năng cho phép người dùng lưu giữ mật khẩu Mật khẩu tự động hoàn thành trong IE Được mã hóa và lưu trữ trong registry của Windows Nhược điểm của bổ sung mật khẩu Thông tin mật khẩu cụ thể với một máy tính Mật khẩu có thể bị lộ nếu một người dùng khác được phép truy cập vào máy tính 24Bài 7 - Xác thực và quản lý tài khoản
  25. 25. Bảo vệ mật khẩu (8/) Các ứng dụng quản lý mật khẩu Người dùng tạo và lưu trữ các mật khẩu trong một file “kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn (strong master password) Các tính năng của ứng dụng quản lý mật khẩu Khả năng kéo thả Mã hóa nâng cao Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều hành bị xâm hại Hẹn giờ để giải phóng bộ đệm clipboard Các ứng dụng quản lý mật khẩu Người dùng tạo và lưu trữ các mật khẩu trong một file “kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn (strong master password) Các tính năng của ứng dụng quản lý mật khẩu Khả năng kéo thả Mã hóa nâng cao Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều hành bị xâm hại Hẹn giờ để giải phóng bộ đệm clipboard 25Bài 7 - Xác thực và quản lý tài khoản
  26. 26. Kiểu ứng dụng Mô tả Ưu điểm Nhược điểm Ứng dụng cài đặt Được cài đặt như một chương trình trên máy tính Cho phép người dùng truy cập tới mật khẩu mà không cần nhớ Phải được cài đặt trên từng máy tính và phải được cập nhật trên mọi máy tính Ứng dụng di động Ứng dụng độc lập có thể được chứa trong một ổ USB flash Người dùng không bị giới hạn bởi các máy tính cài đặt sẵn ứng dụng Người dùng phải luôn mang theo ổ USB flash để không cho người khác sử dụng Các ứng dụng quản lý mật khẩu 26 Ứng dụng di động Ứng dụng độc lập có thể được chứa trong một ổ USB flash Người dùng không bị giới hạn bởi các máy tính cài đặt sẵn ứng dụng Người dùng phải luôn mang theo ổ USB flash để không cho người khác sử dụng Lưu trữ trên Internet Ứng dụng và/hoặc file được lưu trữ trực tuyến Có thể truy cập chương trình và/hoặc filetừ bất cứ máy tính nào Việc lưu trữ mật khẩu trực tuyên có thể bị xâm hại bởi những kẻ tấn công Bài 7 - Xác thực và quản lý tài khoản
  27. 27. Bạn có những gì: Thẻ xác thực và thẻ từ (1/) Thẻ xác thực (token) Thiết bị nhỏ có màn hình hiển thị Đồng bộ với một máy chủ xác thực Mã được sinh ra từ một thuật toán Mã thay đổi sau mỗi 30 hoặc 60 giây 27Bài 7 - Xác thực và quản lý tài khoản
  28. 28. Bạn có những gì: Thẻ xác thực và thẻ từ (2/) Các bước đăng nhập người dùng sử dụng thẻ xác thực Người dùng nhập tên đăng nhập và mã do thẻ xác thực cung cấp Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với người dùng, sinh ra mã của mình, và so sánh với mã của người dùng Nếu hai mã trùng khớp, người dùng sẽ được xác thực Những ưu điểm của thẻ xác thực so với mật khẩu Mã thẻ xác thực thay đổi thường xuyên Kẻ tấn công cần phải phá được mã trong một khoảng thời gian hữu hạn Các bước đăng nhập người dùng sử dụng thẻ xác thực Người dùng nhập tên đăng nhập và mã do thẻ xác thực cung cấp Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với người dùng, sinh ra mã của mình, và so sánh với mã của người dùng Nếu hai mã trùng khớp, người dùng sẽ được xác thực Những ưu điểm của thẻ xác thực so với mật khẩu Mã thẻ xác thực thay đổi thường xuyên Kẻ tấn công cần phải phá được mã trong một khoảng thời gian hữu hạn 28Bài 7 - Xác thực và quản lý tài khoản
  29. 29. Sinh mã và so sánh mã 29Bài 7 - Xác thực và quản lý tài khoản
  30. 30. Bạn có những gì: Thẻ xác thực và thẻ từ (3/) Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.) Người dùng có thể không cần quan tâm việc mật khẩu đã bị đánh cắp Nếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng Cần có các bước để vô hiệu hóa tài khoản Các biến thể của hệ thống sử dụng thẻ xác thực Một số hệ thống chỉ sử dụng mã thẻ xác thực Một số khác sử dụng mã thẻ xác thực kết hợp với mật khẩu Một số kết hợp mã PIN với mã thẻ xác thực Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.) Người dùng có thể không cần quan tâm việc mật khẩu đã bị đánh cắp Nếu thẻ xác thực bị đánh cắp, nó sẽ trở nên rõ ràng Cần có các bước để vô hiệu hóa tài khoản Các biến thể của hệ thống sử dụng thẻ xác thực Một số hệ thống chỉ sử dụng mã thẻ xác thực Một số khác sử dụng mã thẻ xác thực kết hợp với mật khẩu Một số kết hợp mã PIN với mã thẻ xác thực 30Bài 7 - Xác thực và quản lý tài khoản
  31. 31. Bạn có những gì: Thẻ xác thực và thẻ từ (4/) Thẻ từ (Card) Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thông tin Các chân tiếp xúc cho phép truy cập điện tử tới nội dung bên trong Chip Thẻ không tiếp xúc Không đòi hỏi truy cập vật lý tới thẻ Các thẻ truy cập chung (common access card - CAC) Do Bộ quốc phòng Mỹ ban hành Chứa mã vạch, dải từ, và ảnh của chủ thẻ Thẻ từ (Card) Thẻ thông minh chứa mạch tích hợp (Chip) lưu giữ thông tin Các chân tiếp xúc cho phép truy cập điện tử tới nội dung bên trong Chip Thẻ không tiếp xúc Không đòi hỏi truy cập vật lý tới thẻ Các thẻ truy cập chung (common access card - CAC) Do Bộ quốc phòng Mỹ ban hành Chứa mã vạch, dải từ, và ảnh của chủ thẻ 31Bài 7 - Xác thực và quản lý tài khoản
  32. 32. Thẻ thông minh 32Bài 7 - Xác thực và quản lý tài khoản
  33. 33. Bạn là ai: Sinh trắc học (1) Sinh trắc học tiêu chuẩn Sử dụng các đặc điểm vật lý mang tính cá biệt của con người để xác thực Máy quét dấu vân tay là kiểu phổ biến nhất Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng Các kiểu máy quét dấu vân tay Máy quét dấu vân tay tĩnh Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file Máy quét dấu vân tay động Sử dụng các khe hở nhỏ Sinh trắc học tiêu chuẩn Sử dụng các đặc điểm vật lý mang tính cá biệt của con người để xác thực Máy quét dấu vân tay là kiểu phổ biến nhất Các đặc điểm khuôn mặt, hay mắt cũng được sử dụng Các kiểu máy quét dấu vân tay Máy quét dấu vân tay tĩnh Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file Máy quét dấu vân tay động Sử dụng các khe hở nhỏ 33Bài 7 - Xác thực và quản lý tài khoản
  34. 34. Máy quét dấu vân tay động 34Bài 7 - Xác thực và quản lý tài khoản
  35. 35. Bạn là ai: Sinh trắc học (2) Nhược điểm của sinh trắc học tiêu chuẩn Chi phí cho thiết bị quét phần cứng Các bộ đọc luôn có những lỗi nhất định Từ chối người dùng hợp lệ Chấp nhận những người dùng không hợp lệ Sinh trắc học hành vi Xác thực dựa trên những hành vi thông thường mà người dùng thực hiện Động lực học gõ phím Nhận dạng giọng nói Theo dấu chân máy tính (Computer footprinting) Nhược điểm của sinh trắc học tiêu chuẩn Chi phí cho thiết bị quét phần cứng Các bộ đọc luôn có những lỗi nhất định Từ chối người dùng hợp lệ Chấp nhận những người dùng không hợp lệ Sinh trắc học hành vi Xác thực dựa trên những hành vi thông thường mà người dùng thực hiện Động lực học gõ phím Nhận dạng giọng nói Theo dấu chân máy tính (Computer footprinting) 35Bài 7 - Xác thực và quản lý tài khoản
  36. 36. Bạn là ai: Sinh trắc học (3) Động lực học gõ phím Cố gắng nhận dạng nhịp độ bấm phím của người dùng Mỗi người dùng có một tốc độ gõ phím khác nhau Đạt được độ chính xác lên tới 98% Sử dụng hai biến đơn nhất Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc nhả phím) Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ phím) Động lực học gõ phím Cố gắng nhận dạng nhịp độ bấm phím của người dùng Mỗi người dùng có một tốc độ gõ phím khác nhau Đạt được độ chính xác lên tới 98% Sử dụng hai biến đơn nhất Thời gian dừng (dwell time) (thời gian từ lúc nhấn cho tới lúc nhả phím) Thời gian chuyển (flight time) (thời gian giữa hai thao tác gõ phím) 36Bài 7 - Xác thực và quản lý tài khoản
  37. 37. Mẫu đánh máy 37Bài 7 - Xác thực và quản lý tài khoản
  38. 38. Xác thực dựa trên tốc độ thao tác bàn phím 38Bài 7 - Xác thực và quản lý tài khoản
  39. 39. Bạn là ai: Sinh trắc học (4) Nhận dạng giọng nói Có một số đặc tính tạo nên giọng nói riêng của mỗi người Mẫu giọng nói có thể được tạo ra Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi âm của người dùng Âm điệu phát âm của các từ đặt cạnh nhau là một phần của mẫu giọng nói thực sự Nhận dạng giọng nói Có một số đặc tính tạo nên giọng nói riêng của mỗi người Mẫu giọng nói có thể được tạo ra Kẻ tấn công sẽ rất khó để xác thực thông qua một bản ghi âm của người dùng Âm điệu phát âm của các từ đặt cạnh nhau là một phần của mẫu giọng nói thực sự 39Bài 7 - Xác thực và quản lý tài khoản
  40. 40. Bạn là ai: Sinh trắc học (5) Theo dấu chân máy tính (Computer footprinting) Dựa vào các mẫu truy cập điển hình Vị trí địa lý Thời gian trong ngày Nhà cung cấp dịch vụ Internet Cấu hình PC cơ bản Theo dấu chân máy tính (Computer footprinting) Dựa vào các mẫu truy cập điển hình Vị trí địa lý Thời gian trong ngày Nhà cung cấp dịch vụ Internet Cấu hình PC cơ bản 40Bài 7 - Xác thực và quản lý tài khoản
  41. 41. Bạn là ai: Sinh trắc học (6) Sinh trắc học nhận thức Liên quan đến nhận thức, quá trình tư duy và sự hiểu biết của người dùng Dễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệm trong cuộc sống của người dùng Kẻ tấn công khó bắt chước Ví dụ: nhận dạng một khuôn mặt cụ thể Ví dụ: người dùng chọn các sự kiện đáng nhớ trong đời và được yêu cầu cung cấp thông tin chi tiết về những sự kiện đó Được dự đoán sẽ trở thành một yếu tố xác thực quan trọng trong tương lai Sinh trắc học nhận thức Liên quan đến nhận thức, quá trình tư duy và sự hiểu biết của người dùng Dễ dàng ghi nhớ hơn vì nó dựa trên những trải nghiệm trong cuộc sống của người dùng Kẻ tấn công khó bắt chước Ví dụ: nhận dạng một khuôn mặt cụ thể Ví dụ: người dùng chọn các sự kiện đáng nhớ trong đời và được yêu cầu cung cấp thông tin chi tiết về những sự kiện đó Được dự đoán sẽ trở thành một yếu tố xác thực quan trọng trong tương lai 41Bài 7 - Xác thực và quản lý tài khoản
  42. 42. Mô hình đăng nhập đơn nhất Quản lý định danh Sử dụng một chứng chỉ chứng thực duy nhất chung cho nhiều mạng Được gọi là quản lý định danh liên kết (FIM) khi các mạng thuộc sở hữu của các tổ chức khác nhau Mô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảm gánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ còn một lần duy nhất Quản lý định danh Sử dụng một chứng chỉ chứng thực duy nhất chung cho nhiều mạng Được gọi là quản lý định danh liên kết (FIM) khi các mạng thuộc sở hữu của các tổ chức khác nhau Mô hình đăng nhập đơn nhất (SSO) hứa hẹn sẽ giúp giảm gánh nặng ghi nhớ tên đăng nhập và mật khẩu chỉ còn một lần duy nhất 42Bài 7 - Xác thực và quản lý tài khoản
  43. 43. Windows Live ID (1) Được giới thiệu vào năm 1999 với tên gọi là .NET passport Sau đó được đổi tên thành Microsoft Passport Network, và cuối cùng là Windows Live ID Được thiết kế như một giải pháp SSO cho Web site thương mại Quá trình xác thực Người dùng nhập tên đăng nhập và mật khẩu Người dùng được cung cấp một cookie “global” tồn tại trong một khoảng thời gian hữu hạn, và được lưu trữ trên máy tính cùng với thẻ ID mã hóa Thẻ ID được gửi tới Web site Được giới thiệu vào năm 1999 với tên gọi là .NET passport Sau đó được đổi tên thành Microsoft Passport Network, và cuối cùng là Windows Live ID Được thiết kế như một giải pháp SSO cho Web site thương mại Quá trình xác thực Người dùng nhập tên đăng nhập và mật khẩu Người dùng được cung cấp một cookie “global” tồn tại trong một khoảng thời gian hữu hạn, và được lưu trữ trên máy tính cùng với thẻ ID mã hóa Thẻ ID được gửi tới Web site 43Bài 7 - Xác thực và quản lý tài khoản
  44. 44. Windows Live ID (2) Quá trình xác thực (tiếp.) Web site sử dụng thẻ ID để xác thực Web site lưu trữ cookie “local” được mã hóa, có thời gian tồn tại hữu hạn trên máy tính người dùng Windows Live ID không được hỗ trợ rộng rãi Hiện tại đang được sử dụng để xác thực cho: Windows Live, Office Live, Xbox Live, MSN, vàother các dịch vụ trực tuyến của Microsoft Quá trình xác thực (tiếp.) Web site sử dụng thẻ ID để xác thực Web site lưu trữ cookie “local” được mã hóa, có thời gian tồn tại hữu hạn trên máy tính người dùng Windows Live ID không được hỗ trợ rộng rãi Hiện tại đang được sử dụng để xác thực cho: Windows Live, Office Live, Xbox Live, MSN, vàother các dịch vụ trực tuyến của Microsoft 44Bài 7 - Xác thực và quản lý tài khoản
  45. 45. OpenID (1) Quản lý định danh liên kết phân tán nguồn mở (Decentralized open source FIM) Không yêu cầu phải cài đặt bất cứ phần mềm nào trên máy tính desktop Hệ thống nhận dạng dựa trên URL OpenID cung cấp phương tiện để chứng minh một người sử dụng là chủ sở hữu của một URL Quá trình xác thực Người dùng truy cập vào một web site miễn phí và được cung cấp một tài khoản OpenID của Me.myopenID.com Quản lý định danh liên kết phân tán nguồn mở (Decentralized open source FIM) Không yêu cầu phải cài đặt bất cứ phần mềm nào trên máy tính desktop Hệ thống nhận dạng dựa trên URL OpenID cung cấp phương tiện để chứng minh một người sử dụng là chủ sở hữu của một URL Quá trình xác thực Người dùng truy cập vào một web site miễn phí và được cung cấp một tài khoản OpenID của Me.myopenID.com 45Bài 7 - Xác thực và quản lý tài khoản
  46. 46. OpenID (2) Quá trình xác thực (tiếp.) Người dùng truy cập vào Web site thương mại hoặc một web site khác và đăng nhập với tài khoản Open ID Web site đó sẽ chuyển hướng người dùng tới MyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xác thực MyOpenID.com chuyển hướng người dùng quay trở lại Web site thương mại và người dùng đã được xác thực Yếu điểm bảo mật Phụ thuộc vào DNS có thể có những điểm yếu của riêng Được đánh giá là chưa đủ mạnh để áp dụng cho các Web site ngân hàng và Web site thương mại điện tử Quá trình xác thực (tiếp.) Người dùng truy cập vào Web site thương mại hoặc một web site khác và đăng nhập với tài khoản Open ID Web site đó sẽ chuyển hướng người dùng tới MyOpenID.com, nơi anh ta cần phải nhập mật khẩu để xác thực MyOpenID.com chuyển hướng người dùng quay trở lại Web site thương mại và người dùng đã được xác thực Yếu điểm bảo mật Phụ thuộc vào DNS có thể có những điểm yếu của riêng Được đánh giá là chưa đủ mạnh để áp dụng cho các Web site ngân hàng và Web site thương mại điện tử 46Bài 7 - Xác thực và quản lý tài khoản
  47. 47. Ủy quyền mở (OAuth) Cho phép người dùng chia sẻ tài nguyên lưu trên một Web site với một Web site thứ hai Không cần phải chuyển tiếp các thông tin xác thực Cho phép chia sẻ dữ liệu liên tục giữa các Web site Phụ thuộc vào các thông tin thẻ xác thực Thay thế cho nhu cầu chuyển giao tên đăng nhập và mật khẩu Các thẻ xác thực dành riêng cho các tài nguyên cụ thể trên một Web site Trong một khoảng thời gian hữu hạn Cho phép người dùng chia sẻ tài nguyên lưu trên một Web site với một Web site thứ hai Không cần phải chuyển tiếp các thông tin xác thực Cho phép chia sẻ dữ liệu liên tục giữa các Web site Phụ thuộc vào các thông tin thẻ xác thực Thay thế cho nhu cầu chuyển giao tên đăng nhập và mật khẩu Các thẻ xác thực dành riêng cho các tài nguyên cụ thể trên một Web site Trong một khoảng thời gian hữu hạn 47Bài 7 - Xác thực và quản lý tài khoản
  48. 48. Quản lý tài khoản Quản lý mật khẩu người dùng Có thể được thực hiện bằng cách thiết lập các quy tắc mật khẩu Quá cồng kềnh để có thể quản lý từng người dùng một Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót Phương pháp ưa dùng hơn: gán đặc quyền theo nhóm Các thiết lập mật khẩu nhóm trong Microsoft Windows Các thiết lập chính sách về mật khẩu (Pasword Policy Settings) Chính sách khóa tài khoản (Account Lockout Policy) Quản lý mật khẩu người dùng Có thể được thực hiện bằng cách thiết lập các quy tắc mật khẩu Quá cồng kềnh để có thể quản lý từng người dùng một Nguy cơ bảo mật nếu thiết lập của một người dùng bị bỏ sót Phương pháp ưa dùng hơn: gán đặc quyền theo nhóm Các thiết lập mật khẩu nhóm trong Microsoft Windows Các thiết lập chính sách về mật khẩu (Pasword Policy Settings) Chính sách khóa tài khoản (Account Lockout Policy) 48Bài 7 - Xác thực và quản lý tài khoản
  49. 49. Thuộc tính Mô tả Thiết lập được khuyến cáo Áp đặt lịch sử mật khẩu Số mật khẩu khác nhau phải sử dụng trước khi sử dụng lại mật khẩu cũ (0 đến 24) Nên thiết lập là 24 mật khẩu mới Tuổi cực đại của mật khẩu Số ngày mật khẩu được dùng trước khi người dùng đổi sang mật khẩu mới (0 đến 999) 60 ngày Tuổi cực tiểu của mật khẩu Số ngày một mật khẩu mới được lưu giữ trước khi người dùng có thể thay đổi (0 đến 999); 1 ngày Các thiết lập chính sách về mật khẩu 49 Dộ dài nhoe nhất của mật khẩu Số ký tự tối thiểu của một mật khẩu (0 đến 28) 12 ký tự Mật khẩu cần đáp ứng yêu cầu về độ phức tạp Mật khẩu không chứa tên tài khoản người dùng, hoặc một dãy nhiều hơn 2 ký tự liên tiếp, có mặt trong tên đầy đủ của người dùng; … Lưu trữ mật khẩu sử dụng mã hóa ngược Việc lưu trữ mật khẩu sử dụng mã hóa ngược cơ bản giống với việc lưu trữ các phiên bản mật khẩu thô Disabled Bài 7 - Xác thực và quản lý tài khoản
  50. 50. Thuộc tính Mô tả Thiết lập được khuyến cáo Nhận xét Thời hạn khóa tài khoản Khoảng thời gian tài khoản bị khóa không thể truy cập được trước khi người dùng có thể đăng nhập trở lại 15 phút Thiết lập thuộc tính này quá cao có thể làm tăng cuộc gọi yêu cầu trợ giúp. Ngưỡng khóa tài khoản Số lần được phép đăng nhập thất bại trước khi tài khoản bị khóa 30 lần Thiết lập thuộc tính quá thấp có thể dẫn tới việc kẻ tấn công lợi dụng trạng thái khóa tài khoản như một kiểu tấn công chặn dịch vụ (DoS) Các thiết lập chính sách khóa tài khoản 50 Ngưỡng khóa tài khoản Số lần được phép đăng nhập thất bại trước khi tài khoản bị khóa 30 lần Thiết lập thuộc tính quá thấp có thể dẫn tới việc kẻ tấn công lợi dụng trạng thái khóa tài khoản như một kiểu tấn công chặn dịch vụ (DoS) Đặt lại biến đếm khóa tài khoản sau Độ dài thời gian trước khi thiết lập ngưỡng khóa tài khoản được thiết lập về 0 15 phút Thời gian thiết lập lại phải nhỏ hơn hoặc bằng giá trị khoảng thời gian khóa tài khoản Bài 7 - Xác thực và quản lý tài khoản
  51. 51. Các hệ điều hành được tin cậy (1/2) Những lỗ hổng cơ bản của hệ điều hành Kích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra các lỗ hổng trở nên khó khăn Một ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộ máy tính Các ứng dụng không thể tự xác thực bản thân với các ứng dụng khác Không có đường dẫn tin cậy giữa người dùng và ứng dụng Hệ điều hành không áp dụng nguyên tắc đặc quyền tối thiểu Những lỗ hổng cơ bản của hệ điều hành Kích cỡ: hàng triệu dòng mã làm cho việc phát hiện ra các lỗ hổng trở nên khó khăn Một ứng dụng bị xâm hại có thể ảnh hưởng tới toàn bộ máy tính Các ứng dụng không thể tự xác thực bản thân với các ứng dụng khác Không có đường dẫn tin cậy giữa người dùng và ứng dụng Hệ điều hành không áp dụng nguyên tắc đặc quyền tối thiểu 51Bài 7 - Xác thực và quản lý tài khoản
  52. 52. Các hệ điều hành được tin cậy (2/2) Hệ điều hành được tin cậy (trusted OS) OS được thiết kế để bảo mật ngay từ ban đầu Có thể ngăn không cho kẻ tấn công truy cập tới các phần nhạy cảm của hệ thống Có thể ngăn cản quản trị viên vô tình thực hiện những thay đổi gây hại Các nhà cung cấp hệ điều hành được tin cậy Tập trung vào việc bảo mật các thành phần hệ điều hành và các yếu tố nền tảng khác Phương pháp: phân chia các dịch vụ trong hệ điều hành được tin cậy cho từng khách hàng riêng Hệ điều hành được tin cậy (trusted OS) OS được thiết kế để bảo mật ngay từ ban đầu Có thể ngăn không cho kẻ tấn công truy cập tới các phần nhạy cảm của hệ thống Có thể ngăn cản quản trị viên vô tình thực hiện những thay đổi gây hại Các nhà cung cấp hệ điều hành được tin cậy Tập trung vào việc bảo mật các thành phần hệ điều hành và các yếu tố nền tảng khác Phương pháp: phân chia các dịch vụ trong hệ điều hành được tin cậy cho từng khách hàng riêng 52Bài 7 - Xác thực và quản lý tài khoản
  53. 53. Tổng kết (1/2) Xác thực thông tin có thể được chia thành ba nhóm: bạn biết những gì, bạn có những gì và bạn là ai Mật khẩu chỉ mang lại mức độ bảo mật yếu Phụ thuộc vào trí nhớ của con người Hầu hết các cuộc tấn công mật khẩu hiện nay đều sử dụng kỹ thuật phá khóa ngoại tuyến Kẻ tấn công đánh cắp file mật khẩu mã hóa Thẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựa trên thuật toán sau khoảng 30 hoặc 60 giây Xác thực thông tin có thể được chia thành ba nhóm: bạn biết những gì, bạn có những gì và bạn là ai Mật khẩu chỉ mang lại mức độ bảo mật yếu Phụ thuộc vào trí nhớ của con người Hầu hết các cuộc tấn công mật khẩu hiện nay đều sử dụng kỹ thuật phá khóa ngoại tuyến Kẻ tấn công đánh cắp file mật khẩu mã hóa Thẻ xác thực là một thiết bị nhỏ, sinh ra một mã dựa trên thuật toán sau khoảng 30 hoặc 60 giây 53Bài 7 - Xác thực và quản lý tài khoản
  54. 54. Tổng kết (2/2) Sinh trắc học Sinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinh trắc học nhận thức Mô hình đăng nhập đơn nhất cho phép sử dụng một tên đăng nhập và mật khẩu duy nhất để truy cập vào tất cả các tài khoản Các thiết lập Chính sách nhóm cho phép quản trị viên thiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùng một lúc Các hệ điều hành được tin cậy được thiết kế với mục đích bảo mật ngay từ ban đầu Sinh trắc học Sinh trắc học tiêu chuẩn, sinh trắc học hành vi, và sinh trắc học nhận thức Mô hình đăng nhập đơn nhất cho phép sử dụng một tên đăng nhập và mật khẩu duy nhất để truy cập vào tất cả các tài khoản Các thiết lập Chính sách nhóm cho phép quản trị viên thiết lập giới hạn mật khẩu cho toàn bộ một nhóm cùng một lúc Các hệ điều hành được tin cậy được thiết kế với mục đích bảo mật ngay từ ban đầu 54Bài 7 - Xác thực và quản lý tài khoản

×