BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà KHOA CÔNG NGHỆ THÔNG TIN -��� - BÀI TẬP LỚN MƠN CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI: TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CƠNG CỤ QUẢN LÍ MẬT KHẨU Ngành: An tồn thơng tin Sinh viên thực hiện: Vũ Hoàng Long (AT150431) Lê Thị Ngọc Hà (AT150414) Người hướng dẫn: Nguyễn Mạnh Thắng Hà Nội, 2021 LỜI CẢM ƠN Dưới toàn đề tài “TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CƠNG CỤ QUẢN LÍ MẬT KHẨU” Để hồn thành tốt đề tài chúng em xin chân thành gửi lời cảm ơn đến thầy Nguyễn Mạnh Thắng dành nhiều thời gian tâm huyết để hướng dẫn nhóm chúng em để hồn thành đề tài Do quy mô đề tài, thời gian kiến thức cịn hạn chế nên nhóm chúng em khơng tránh khỏi sai sót Kính mong thầy đóng góp ý kiến để nhóm em củng cố , bổ sung hoàn thiện them kiến thức cho Chúng em mong nhận ý kiến đóng góp thầy giáo bạn bè để chúng em có thêm kinh nghiệm tiếp tục hồn thiện đồ án Chúng em xin chân thành cảm ơn! Mục Lục LỜI CẢM ƠN Mục Lục DANH SÁCH HÌNH ẢNH CHƯƠNG I TỔNG QT Thực Trạng Cơng Cụ Quản Lí Mật Khẩu Là Gì? Tại Sao Khơng Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Loại 1: Công cụ quản lí mật offline (cục bộ) Loại 2: Lưu trữ mật trực tuyến (online) Loại 3: Lưu trữ mật dựa token hay stateless 11 CHƯƠNG III CÁC CÔNG CỤ QUẢN LÝ MẬT KHẨU Mà HÓA DỮ KIỆU NHƯ THẾ NÀO? 12 Dẫn xuất khóa (Key Derivation Function - KDF) 13 Băm chậm (Slow hashing) 14 Khóa dẫn xuất cặp (Two-secret Key Derivation - 2SKD) 14 CHƯƠNG IV ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC LOẠI CÔNG CỤ QUẢN LÝ MẬT KHẨU 14 Ưu Điểm Chung Của Các Loại Cơng Cụ Quản Lí Mật Khẩu 15 Ưu nhược loại công cụ quản lí mật 15 4.2.1 Cơng cụ quản lí mật offline 15 4.2.2 Cơng cụ quản lí mật online: 16 4.2.3 Cơng cụ quản lí mật stateless hay token 16 CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CÔNG CỤ QUẢN LÝ MẬT KHẨU TỐT 16 Ưu nhược điểm: Mọi cơng cụ quản lí mật có ưu nhược điểm riêng, số nhược điểm không thành vấn đề chung không ảnh hưởng tới trải nghiệm người dùng mà đảm bảo độ bảo mật 16 Giá: Giá hợp lí điều người dùng quan tâm lựa chọn cho dịch vụ tốt 16 Khả bảo mật riêng tư: Ngồi tính bảo mật tốt người dùng quan tâm tới vấn đề riêng tư họ sử dụng Tránh bị bên thứ thu thập hành vi người dùng lợi dụng chúng cho mục đích xấu 17 Khả đa tảng: Một dịch vụ cung cấp tính đa tảng cho sản phẩm ưu tiên hàng đầuiv 17 CHƯƠNG VI TIẾNG ĐÁNH GIÁ CHI TIẾT CÁC PHẦN MỀM QUẢN LÍ MẬT KHẨU NỔI 17 1Password - online (thuộc AgileBits) 17 6.1.1 Ưu nhược điểm: 17 6.1.2 Giá: 18 6.1.3 Khả bảo mật riêng tư: 18 6.1.4 Đa tảng: 19 6.1.5 Tổng kết: 19 Keepass XC – offline 20 6.2.1.Ưu nhược điểm: 20 6.2.2.Giá: Miễn phí hồn tồn 21 6.2.3.Khả bảo mật riêng tư: 21 6.2.4.Đa tảng: 22 6.2.5.Tổng kết: 22 Onlykey 6.3.1 Ưu nhược điểm: 22 23 6.3.2 Giá: 23 6.3.3 Khả bảo mật riêng tư: 24 6.3.4Đa tảng: 25 6.3.5Tổng kết: 25 CHƯƠNG VII Keepass Phân tích sâu phương thức bảo mật 1Password 25 1Password 26 7.1.1 Master Password, Secret Key Emergency Kit 26 7.1.2 Đi sâu Khóa cách user truy cập vào vault 27 7.1.3 Cách kho lưu trữ mật (Vault) bảo mật 31 7.1.4 Tổng kết 31 Keepass 31 7.2.1 Cấu trúc file KDBX 32 7.2.2 Q trình tạo khóa, mã hóa giải mã Keepass 34 CHƯƠNG VIII CÁCH SỬ DỤNG 36 Cơng cụ quản lí mật offline 36 Cơng cụ quản lí mật online 43 CHƯƠNG IX TỔNG KẾT 48 DANH SÁCH HÌNH ẢNH Hình 0.1 Phần mền quản lí mật offline KeePass Hình 0.2 Lưu trữ mật offline Hình 0.3 Lưu trữ Mật Khẩu Trực Tuyến Hình 0.4 Đồng liệu thiết bị Hình 0.5 Token Staleless Hình 0.6 Mã hóa Hình 0.7 Khu vực lưu trữ mật Hình 0.8 Onlykey Hình 0.9 Tạo database Hình 0.10 Điền tên ghi database Hình 0.11 Tùy chọn mã hóa database Hình 0.12 Nhập masterpassword Hình 0.13 Mở database Hình 0.14 Nhập masterpassword để truy cập Hình 0.15 Giao diện database Hình 0.16 Thêm mật Hình 0.17 Tạo đăng kí tài khoản online Hình 0.18 Mật Khẩu dự phịng Hình 0.19 Thêm mật 10 11 11 13 19 31 34 34 35 36 36 37 38 38 40 41 42 CHƯƠNG I TỔNG QUÁT Thực Trạng Ngày phần lớn người sử dụng nhiều dịch vụ trực tuyến, mạng xã hội,… Nên không tránh khỏi việc đặt lặp lại liên tục mật giống cho dịch vụ khác nhau, hay phải nhớ nhiều mật lúc gây khó khăn cho người dùng Và việc sử dụng lặp lại mật cho tài khoản dễ xảy rủi ro bị lộ mật khẩu, điều dẫn tới việc tất tài khoản bạn bị truy cập cách trái phép dẫn đến việc bạn bị đánh cắp thông tin tệ bị ăn cắp thơng tin tài khoản ngân hàng Vì mà cơng cụ quản lí mật đời để đáp ứng nhu cầu thiết yếu người dùng Cơng Cụ Quản Lí Mật Khẩu Là Gì? Chúng đơn giản ứng dụng giúp người dùng khơng lưu trữ mật khẩu, mà cịn tạo mật phức tạp, cho phép người dùng lưu trữ cục thiết bị lưu trữ cục trực tuyến điện toán đám mây bên cung cấp dịch vụ Ngoài việc lưu tạo mật chúng cho phép người dùng lưu trữ thông tin mật khác số tài khoản banking, chứng minh thư, ghi chú,… Và chúng giúp người dùng truy cập vào tài khoản cách tự động Đồng thời chúng mã hóa tồn mật người dùng để tránh rủi ro bị cắp hay truy cập trái phép Và người dùng truy cập vào ứng dụng master password (mật chính) Tại Sao Khơng Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? Thời gian năm trở lại tất trình duyệt web tiếng Firefox, Chrome, Brave,… tích hợp tính lưu trữ mật Nhưng chúng khơng mã hóa, sử dụng máy tính bạn đánh cắp thông tin tài khoản bạn Trên trình duyệt Firefox có mã hóa mật cho bạn cung cấp cho bạn master password, nhiên chúng khơng đảm bảo tuyệt đối an tồn cho tài khoản bạn, cịn thiếu nhiều tính cần thiết khác Ngồi gần Firefox hay Chrome phải vá lỗi cho lỗ hổng Zeroday trình quản lí mật trình duyệt web họ Nhìn chung trình lưu trữ mật trình duyệt web khơng thể so sánh cơng cụ quản lí mật thống CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Để sâu vào cách mà cơng cụ quản lí mật ta chia làm loại: Loại 1: Cơng cụ quản lí mật offline (cục bộ) Như tên gọi cơng cụ quản lí mật cục cho phép ta lưu trữ mật thiết bị mà ta cài ứng dụng Nó điện thoại, máy tính, máy tính bảng v v Bạn tìm thấy tất thơng tin tài khoản mã hóa, tách biệt với ứng dụng quản lí mật Một số ứng dụng cịn cho phép lưu thơng tin tài khoản (bao gồm tên tài khoản – mật khẩu) thành file riêng biệt, điều giúp tăng tính an tồn cho bạn Hình 0.1 Phần mền quản lí mật offline KeePass Bạn cần master password để truy cập vào kho lưu trữ mật Và chắn master password phải đủ mạnh (mật dài, ký tự số, ký tự đặc biệt), điều giảm tối đa khả người khác có hội ăn cắp mật bạn bị cơng brute-force cần nhiều thời gian bẻ khóa master password bạn Để ăn cắp mật bạn khơng cịn cách khác phải ăn cắp thiết bị bạn Hình 0.2 Lưu trữ mật offline Việc lưu trữ mật offline kèm với số điểm yếu sau Đó việc phải đồng mật Việc bạn chọn thiết bị bạn lưu trữ thơng tin tài khoản bạn thiết bị đó, để đồng sang thiết bị khác thời gian Ví dụ, bạn lưu mật điện thoại bạn, bạn muốn truy cập nhanh mật laptop, bạn lại phải đồng mật từ điện thoại qua laptop Và để đồng mật chúng bắt buộc phải dùng qua mạng Để cẩn thận hơn, bạn tách mật thành files mã hóa cấp cho chúng khóa riêng biệt Loại 2: Lưu trữ mật trực tuyến (online) Hình 0.3 Lưu trữ Mật Khẩu Trực Tuyến Loại lưu trữ mật trực tuyến loại phổ biến Lưu trữ mật trực tuyến tức bạn lưu thông tin tài khoản – mật bạn server bên cung cấp dịch vụ cho bạn Ví dụ, bạn dùng cơng cụ quản lí mật cơng ty A cơng ty A giúp bạn lưu trữ liệu bạn server họ Và điều đồng nghĩa với việc bạn truy cập quản lí mật nơi, thiết bị Ngồi việc phải đăng nhập vào website quản lí mật khẩu, họ cịn cung cấp ứng dụng laptop, điện thoại, tích hợp extension (add-on) trình duyệt web Và để đảm bảo liệu bạn an tồn, cơng ty dịch vụ uy tín ln đặt lên hàng đầu Hiện nay, công ty dùng công nghệ zero-knowledge (tức bạn thực xong phép tốn khơng cần người khác phải thực lại phép tồn nữa, từ bạn khẳng định mệnh đề 100% khơng tiết lộ cho khác biết nữa), điều có nghĩa liệu bạn mã hóa trước chúng gửi lên server, đồng nghĩa với việc bên cung cấp dịch vụ phải chắn dịch vụ trực tuyến 24/7 để người dùng truy cập vào liệu họ lúc Mọi thứ số khơng thiết bị dính keylogger (một chương trình máy tính viết nhằm mục đích theo dõi ghi lại thao tác thực bàn phím) bạn khơng dùng 2FA (bảo mật lớp) Hình 0.4 Đồng liệu thiết bị Đi kèm với tiện lợi vậy, bạn phải trả phí cho tiện tích mà họ cung cấp Tất nhiên, có dịch vụ quản lí mật online miễn phí, chúng thiếu nhiều tính giới hạn số mật lưu Việc quản lí mật online đồng nghĩa với việc đồng liệu với thiết bị tốt Miễn bạn giữ master password mà không cần cài ứng dụng Trên laptop bạn cần extension cho trình duyệt web đủ, bạn truy cập vào ứng dụng web bên dịch vụ Loại 3: Lưu trữ mật dựa token hay stateless Hình 0.5 Token Staleless 10 RandomStreamlD: Phương pháp số sử dụng Body để mã hóa giải mã � Cấu trúc phần Body Gồm thành phần mã hóa với AES/CBC/PKCS5, chúng khóa để xác nhận mật người dùng Các thành phần gồm: ● StoredStartBytes(32 bytes): ● Được sử dụng để xác thực đăng nhập việc so sánh 32 bytes StartBytes phần Header để xem việc login có hay khơng Việc đăng nhập thành công đồng nghĩa với việc giá trị ● Giải thích chuỗi giá trị GZIP: ● Chuỗi liệu kết thuật toán nén liệu GZIP, có nội dung gốc định dạng XML, thuộc tính phần bảo vệ nội dung thành phần sử dụng thuật tốn Salsa20 thuật tốn khác dịch ngược để mã hóa sau xử lý Base64 Figure 2Cấu trúc Body file Figure 3Cấu trúc Header file 7.2.2 Q trình tạo khóa, mã hóa giải mã Keepass 33 � Tạo khóa Tài khoản mật coi input Sử dụng thuật tốn băm SHA-256 Thuật tốn mã hóa AES/Twofish Hiện Keepass sử dụng AES: ● Pkey = SHA-256 (password); ● PbRaw=SHA-256 (Pwkey) ● TransformKey=Encrypt(PbRaw, TransformSeed, TransformRound) ; ● TransformSeed TransformRound đọc từ Header file mã hóa chế độ ECB ECB chế độ mã hóa đơn giản chế độ sổ mã điện tử (ECB) Là chế độ mã hóa khối bit độc lập Với khóa mã K, khối plaintext ứng với giá trị ciphertext cố định ngược lại Tin nhắn chia thành khối khối mã hóa riêng biệt ● TransformMasterKey=SHA-256 (TransformKey); ● Key=SHA-256(TransformMasterKey+ MasterSeed); � Mã hóa Hiện Keepass sử dụng AES để mã hóa liệu ● Tạo chuỗi ngẫu nhiên (StartBytes) ● Chuỗi đọc từ Header file ● Tạo key1 password ● Chế độ mã hóa CBC EncryptionlV (vector khởi tạo) salt, đọc từ Header file CBC : Trong trình xâu chuỗi khối mật mã, liệu mã hóa khối cụ thể, khối phụ thuộc vào khối trước cho giải mã Việc sử dụng trình gọi vector khởi tạo để giúp đỡ buộc khối liệu mã hóa với 34 ● EncryptedVerifier=Encrypt(verifier, key 1, EncryptionlV); ● Lưu EncryptedVerifier vào Encryptionlnfo � Giải mã Vì AES thuật tốn mã hóa đối xứng nên khóa đựa sử dụng để mã hóa giải mã giống ● verifzer1 =Decrypt(EncryptedVerifier,key, Encryptionl V); ● verifier2= StartBytes; ● So sánh verifie1 and verifier2, mật giá trị băm Tổng kết Việc xác thực đăng nhập vào Vault Keepass tương đương với lần xử lý SHA-256 mặc định 6000 vòng mã hóa qua AES, việc khiến brute-force attack trở nên khó khăn Khóa có độ dài 256 bytes nên việc sử dụng việc công vét cạn gần khơng thể Bởi thuật tốn mã hóa AES thuật tốn mật mã bảo mật CHƯƠNG VIII CÁCH SỬ DỤNG Cơng cụ quản lí mật offline KeepassXC a Cài đặt ● Download phần mềm Website: https://keepassxc.org/ Download cài đặt phần mềm b Tạo database ● Ở bạn khởi tạo database 35 Hình 0.9 Tạo database ● Điền tên database ghi chú(tùy chọn) Hình 0.10 Điền tên ghi database 36 ● Tùy chọn mã hóa (Nên để nguyên, bạn cần bảo mật kéo ngang lên maximum, đồng nghĩa với việc nhiều thời gian mở lại database) Hình 0.11 Tùy chọn mã hóa database ● Nhập masterpassword (A-Tạo password ngẫu nhiên; B-Nhìn mật khẩu) 37 Hình 0.12 Nhập masterpassword ● Mở database vừa tạo có kdbx Hình 0.13 Mở database 38 ● Nhập masterpassword để truy cập vào database (Tùy chọn tạo thêm key file bạn cần thêm lớp xác thực) Hình 0.14 Nhập masterpassword để truy cập ● Click OK để vào database 39 Hình 0.15 Giao diện database (A) – Phân loại thư mục mật phục vụ cho mục đích cá nhân (B) – Thông tin dịch vụ người dùng (C) - Thông tin chi tiết dịch vụ người dùng c Thêm mật Hình 0.16 Thêm mật (A) Cơ sở liệu - Mở Cơ sở liệu, Lưu Cơ sở liệu (B) Mục nhập - Tạo, chỉnh sửa, (C) Dữ liệu mục nhập - Sao chép tên người dùng, chép mật khẩu, chép URL, thực tự động nhập (D) Khóa tất sở liệu (E) Cơng cụ - Trình tạo mật khẩu, Cài đặt ứng dụng 40 (F) Tìm kiếm Tittle: Tên dịch vụ Username: Email/Username tài khoản bạn Password: Mật URL: Trang web d File File chứa liệu bạn mã hóa 41 Cơng cụ quản lí mật online 1Password a Đăng kí Hình 0.17 Tạo đăng kí tài khoản online Truy cập vào trang chủ 1password.com tiến hành đăng kí dịch vụ khác 1Password cho phép bạn dùng thử miễn phí 14 ngày trước tính phí Lưu ý: Sau đăng kí xong, 1Password cung cấp cho bạn key khẩn cấp, dùng trường hợp bạn quên mật khẩu, hay phòng rủi ro khác bạn khơng truy cập vào tài khoản Hoặc đăng nhập mà ko cần mật Key có dạng sau: 42 Hình 0.18 Mật Khẩu dự phịng b Thêm mật Tại hình chính, bạn ấn trực tiếp vào Personal Vault(Kho cá nhân) tạo kho lưu trữ mật việc nhấn vào Add Vault 43 Hình 0.19 Thêm mật 44 Figure 0.1 Thêm mật thành công Ở phần hình thêm mật khẩu, tương tự với cơng cụ quản lí mật offline Ngồi ra, 1Password cung cấp tính hữu ích khác nhằm tăng khả bảo mật cho tài khoản bạn Trong tiện ích Watchtower thấy 1Password đưa mật mà bạn sử dụng lại nhiều, mật yếu mật không bảo mật để đưa cảnh báo cho bạn 45 1Password cung cấp ứng dụng cho tảng khác Windows, IOS, Android, bạn tải cài đặt thiết bị để thuận tiện cho việc sử dụng CHƯƠNG IX.TỔNG KẾT Trình quản lí mật cứu tinh internet Những mật đơn giản "123456" "password" — hai mật sử dụng phổ biến web Vấn đề là, hầu hết người khơng biết điều tạo nên mật tốt nhớ hàng trăm mật lúc Hiện có nhiều người làm việc nhà, bên mạng nội văn phịng, số lượng mật bạn cần tăng lên đáng kể Cách an tồn (có thể điên rồ nhất) để lưu trữ chúng ghi nhớ tất (Hãy chắn chúng dài, đủ mạnh an tồn!) Điều hiệu với người có đầu óc thiên phú, hầu hết khơng có khả làm tuyệt vời Chúng ta cần giảm tải công việc cho trình quản lý mật khẩu, cơng ty cung cấp kho bảo mật lưu giữ mật phức tạp Trình quản lý mật mang lại tiện lợi quan trọng giúp bạn tạo mật tốt hơn, giúp bạn duyệt web bị cơng dựa mật Khơng có bảo mật 100%, chủ động, học hỏi để giảm thiểu tối đa bị kẻ khác xâm hại Tài liệu tham kham khảo: https://www.pcmag.com/picks/the-best-password-managers https://www.pcmag.com/reviews/yubico-onlykey-5c-nfc 46 https://1password.com/files/1Password-White-Paper.pdf 47 ... ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC LOẠI CÔNG CỤ QUẢN LÝ MẬT KHẨU 14 Ưu Điểm Chung Của Các Loại Cơng Cụ Quản Lí Mật Khẩu 15 Ưu nhược loại cơng cụ quản lí mật 15 4.2.1 Cơng cụ quản lí mật offline... so sánh cơng cụ quản lí mật thống CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Để sâu vào cách mà cơng cụ quản lí mật ta chia làm loại: Loại 1: Công cụ quản lí mật offline (cục bộ)... 4.2.2 Cơng cụ quản lí mật online: 16 4.2.3 Cơng cụ quản lí mật stateless hay token 16 CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CƠNG CỤ QUẢN LÝ MẬT KHẨU TỐT 16 Ưu nhược điểm: Mọi cơng cụ quản lí mật có