BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN -🙠🕮🙢 - BÀI TẬP LỚN MƠN CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI: TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CƠNG CỤ QUẢN LÍ MẬT KHẨU Ngành: An tồn thơng tin     Người hướng dẫn: Nguyễn Mạnh Thắng LỜI CẢM ƠN Dưới tồn đề tài “TÌM HIỂU VÀ ĐÁNH GIÁ CÁC CƠNG CỤ QUẢN LÍ MẬT KHẨU” Để hồn thành tốt đề tài chúng em xin chân thành gửi lời cảm ơn đến thầy Nguyễn Mạnh Thắng dành nhiều thời gian tâm huyết để hướng dẫn nhóm chúng em để hồn thành đề tài Do quy mơ đề tài, thời gian kiến thức cịn hạn chế nên nhóm chúng em khơng tránh khỏi sai sót Kính mong thầy đóng góp ý kiến để nhóm em củng cố , bổ sung hồn thiện them kiến thức cho Chúng em mong nhận ý kiến đóng góp thầy giáo bạn bè để chúng em có thêm kinh nghiệm tiếp tục hồn thiện đồ án Chúng em xin chân thành cảm ơn! Mục Lục LỜI CẢM ƠN Mục Lục DANH SÁCH HÌNH ẢNH CHƯƠNG I TỔNG QUÁT Thực Trạng Cơng Cụ Quản Lí Mật Khẩu Là Gì? Tại Sao Khơng Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Loại 1: Cơng cụ quản lí mật offline (cục bộ) Loại 2: Lưu trữ mật trực tuyến (online) Loại 3: Lưu trữ mật dựa token hay stateless 11 CHƯƠNG III CÁC CƠNG CỤ QUẢN LÝ MẬT KHẨU MÃ HĨA DỮ KIỆU NHƯ THẾ NÀO? 12 Dẫn xuất khóa (Key Derivation Function - KDF) 13 Băm chậm (Slow hashing) 14 Khóa dẫn xuất cặp (Two-secret Key Derivation - 2SKD) 14 CHƯƠNG IV ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC LOẠI CÔNG CỤ QUẢN LÝ MẬT KHẨU 14 Ưu Điểm Chung Của Các Loại Công Cụ Quản Lí Mật Khẩu 15 Ưu nhược loại cơng cụ quản lí mật 15 4.2.1 Cơng cụ quản lí mật offline 15 4.2.2 Cơng cụ quản lí mật online: 16 4.2.3 Cơng cụ quản lí mật stateless hay token 16 CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CƠNG CỤ QUẢN LÝ MẬT KHẨU TỐT 16 Ưu nhược điểm: Mọi công cụ quản lí mật có ưu nhược điểm riêng, số nhược điểm không thành vấn đề chung không ảnh hưởng tới trải nghiệm người dùng mà đảm bảo độ bảo mật 16 Giá: Giá hợp lí điều người dùng quan tâm lựa chọn cho dịch vụ tốt 16 3 Khả bảo mật riêng tư: Ngồi tính bảo mật tốt người dùng quan tâm tới vấn đề riêng tư họ sử dụng Tránh bị bên thứ thu thập hành vi người dùng lợi dụng chúng cho mục đích xấu 17 Khả đa tảng: Một dịch vụ cung cấp tính đa tảng cho sản phẩm ưu tiên hàng đầuiv 17 CHƯƠNG VI TIẾNG ĐÁNH GIÁ CHI TIẾT CÁC PHẦN MỀM QUẢN LÍ MẬT KHẨU NỔI 17 1Password - online (thuộc AgileBits) 17 6.1.1 Ưu nhược điểm: 17 6.1.2 Giá: 18 6.1.3 Khả bảo mật riêng tư: 18 6.1.4 Đa tảng: 19 6.1.5 Tổng kết: 19 Keepass XC – offline 20 6.2.1.Ưu nhược điểm: 20 6.2.2.Giá: Miễn phí hồn tồn 21 6.2.3.Khả bảo mật riêng tư: 21 6.2.4.Đa tảng: 22 6.2.5.Tổng kết: 22 Onlykey 22 6.3.1 Ưu nhược điểm: 23 6.3.2 Giá: 23 6.3.3 Khả bảo mật riêng tư: 24 6.3.4Đa tảng: 25 6.3.5Tổng kết: 25 CHƯƠNG VII Keepass Phân tích sâu phương thức bảo mật 1Password 25 1Password 26 7.1.1 Master Password, Secret Key Emergency Kit 26 7.1.2 Đi sâu Khóa cách user truy cập vào vault 27 7.1.3 Cách kho lưu trữ mật (Vault) bảo mật 31 7.1.4 Tổng kết 31 Keepass 31 7.2.1 Cấu trúc file KDBX 32 7.2.2 Q trình tạo khóa, mã hóa giải mã Keepass 34 CHƯƠNG VIII CÁCH SỬ DỤNG 36 Cơng cụ quản lí mật offline 36 Cơng cụ quản lí mật online 43 CHƯƠNG IX TỔNG KẾT 48 DANH SÁCH HÌNH ẢNH Hình 0.1 Phần mền quản lí mật offline KeePass Hình 0.2 Lưu trữ mật offline Hình 0.3 Lưu trữ Mật Khẩu Trực Tuyến Hình 0.4 Đồng liệu thiết bị Hình 0.5 Token Staleless Hình 0.6 Mã hóa Hình 0.7 Khu vực lưu trữ mật Hình 0.8 Onlykey Hình 0.9 Tạo database Hình 0.10 Điền tên ghi database Hình 0.11 Tùy chọn mã hóa database Hình 0.12 Nhập masterpassword Hình 0.13 Mở database Hình 0.14 Nhập masterpassword để truy cập Hình 0.15 Giao diện database Hình 0.16 Thêm mật Hình 0.17 Tạo đăng kí tài khoản online Hình 0.18 Mật Khẩu dự phịng Hình 0.19 Thêm mật 10 11 11 13 19 31 34 34 35 36 36 37 38 38 40 41 42 CHƯƠNG I TỔNG QUÁT Thực Trạng Ngày phần lớn người sử dụng nhiều dịch vụ trực tuyến, mạng xã hội,… Nên không tránh khỏi việc đặt lặp lại liên tục mật giống cho dịch vụ khác nhau, hay phải nhớ nhiều mật lúc gây khó khăn cho người dùng Và việc sử dụng lặp lại mật cho tài khoản dễ xảy rủi ro bị lộ mật khẩu, điều dẫn tới việc tất tài khoản bạn bị truy cập cách trái phép dẫn đến việc bạn bị đánh cắp thông tin tệ bị ăn cắp thông tin tài khoản ngân hàng Vì mà cơng cụ quản lí mật đời để đáp ứng nhu cầu thiết yếu người dùng Công Cụ Quản Lí Mật Khẩu Là Gì? Chúng đơn giản ứng dụng giúp người dùng không lưu trữ mật khẩu, mà tạo mật phức tạp, cho phép người dùng lưu trữ cục thiết bị lưu trữ cục trực tuyến điện toán đám mây bên cung cấp dịch vụ Ngồi việc lưu tạo mật chúng cịn cho phép người dùng lưu trữ thông tin mật khác số tài khoản banking, chứng minh thư, ghi chú,… Và chúng giúp người dùng truy cập vào tài khoản cách tự động Đồng thời chúng mã hóa tồn mật người dùng để tránh rủi ro bị cắp hay truy cập trái phép Và người dùng truy cập vào ứng dụng master password (mật chính) Tại Sao Khơng Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? Thời gian năm trở lại tất trình duyệt web tiếng Firefox, Chrome, Brave,… tích hợp tính lưu trữ mật Nhưng chúng khơng mã hóa, sử dụng máy tính bạn đánh cắp thơng tin tài khoản bạn Trên trình duyệt Firefox có mã hóa mật cho bạn cung cấp cho bạn master password, nhiên chúng khơng đảm bảo tuyệt đối an toàn cho tài khoản bạn, cịn thiếu nhiều tính cần thiết khác Ngồi gần Firefox hay Chrome phải vá lỗi cho lỗ hổng Zeroday trình quản lí mật trình duyệt web họ Nhìn chung trình lưu trữ mật trình duyệt web khơng thể so sánh cơng cụ quản lí mật thống CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Để sâu vào cách mà cơng cụ quản lí mật ta chia làm loại: Loại 1: Cơng cụ quản lí mật offline (cục bộ) Như tên gọi cơng cụ quản lí mật cục cho phép ta lưu trữ mật thiết bị mà ta cài ứng dụng Nó điện thoại, máy tính, máy tính bảng v v Bạn tìm thấy tất thơng tin tài khoản mã hóa, tách biệt với ứng dụng quản lí mật Một số ứng dụng cịn cho phép lưu thông tin tài khoản (bao gồm tên tài khoản – mật khẩu) thành file riêng biệt, điều giúp tăng tính an tồn cho bạn Hình 0.1 Phần mền quản lí mật offline KeePass Bạn cần master password để truy cập vào kho lưu trữ mật Và chắn master password phải đủ mạnh (mật dài, ký tự số, ký tự đặc biệt), điều giảm tối đa khả người khác có hội ăn cắp mật bạn bị công brute-force cần nhiều thời gian bẻ khóa master password bạn Để ăn cắp mật bạn khơng cịn cách khác phải ăn cắp thiết bị bạn Hình 0.2 Lưu trữ mật offline Việc lưu trữ mật offline kèm với số điểm yếu sau Đó việc phải đồng mật Việc bạn chọn thiết bị bạn lưu trữ thông tin tài khoản bạn thiết bị đó, để đồng sang thiết bị khác thời gian Ví dụ, bạn lưu mật điện thoại bạn, bạn muốn truy cập nhanh mật laptop, bạn lại phải đồng mật từ điện thoại qua laptop Và để đồng mật chúng bắt buộc phải dùng qua mạng Để cẩn thận hơn, bạn tách mật thành files mã hóa cấp cho chúng khóa riêng biệt Loại 2: Lưu trữ mật trực tuyến (online) Hình 0.3 Lưu trữ Mật Khẩu Trực Tuyến Loại lưu trữ mật trực tuyến loại phổ biến Lưu trữ mật trực tuyến tức bạn lưu thông tin tài khoản – mật bạn server bên cung cấp dịch vụ cho bạn Ví dụ, bạn dùng cơng cụ quản lí mật cơng ty A cơng ty A giúp bạn lưu trữ liệu bạn server họ Và điều đồng nghĩa với việc bạn truy cập quản lí mật nơi, thiết bị Ngoài việc phải đăng nhập vào website quản lí mật khẩu, họ cịn cung cấp ứng dụng laptop, điện thoại, tích hợp extension (add-on) trình duyệt web Và để đảm bảo liệu bạn an tồn, cơng ty dịch vụ uy tín ln đặt lên hàng đầu Hiện nay, công ty dùng công nghệ zero-knowledge (tức bạn thực xong phép tốn khơng cần người khác phải thực lại phép tồn nữa, từ bạn khẳng định mệnh đề 100% không tiết lộ cho khác biết nữa), điều có nghĩa liệu bạn mã hóa trước chúng gửi lên server, đồng nghĩa với việc bên cung cấp dịch vụ phải chắn dịch vụ trực tuyến 24/7 để người dùng truy cập vào liệu họ lúc Mọi thứ số khơng thiết bị dính keylogger (một chương trình máy tính viết nhằm mục đích theo dõi ghi lại thao tác thực bàn phím) bạn không dùng 2FA (bảo mật lớp) 10 ... ĐIỂM MẠNH VÀ ĐIỂM YẾU CHUNG CỦA CÁC LOẠI CÔNG CỤ QUẢN LÝ MẬT KHẨU 14 Ưu Điểm Chung Của Các Loại Cơng Cụ Quản Lí Mật Khẩu 15 Ưu nhược loại cơng cụ quản lí mật 15 4.2.1 Cơng cụ quản lí mật offline... 4.2.2 Cơng cụ quản lí mật online: 16 4.2.3 Cơng cụ quản lí mật stateless hay token 16 CHƯƠNG V TIÊU CHÍ ĐÁNH GIÁ MỘT CƠNG CỤ QUẢN LÝ MẬT KHẨU TỐT 16 Ưu nhược điểm: Mọi cơng cụ quản lí mật có ưu... Quản Lí Mật Khẩu Là Gì? Tại Sao Khơng Nên Sử Dụng Trình Lưu Mật Khẩu Có Sẵn Trên Web browser? CHƯƠNG II CƠ CHẾ HOẠT ĐỘNG CỦA CÔNG CỤ QUẢN LÝ MẬT KHẨU Loại 1: Công cụ quản lí mật offline (cục bộ)