Bài 7: Xác thực và quản lý tài khoản Củng cố lại bài 6 Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều khiển truy cập Mô tả các phương pháp điều khiển truy cập lô gíc Giải thích các kiểu điều khiển truy cập vật lý khác nhau Định nghĩa các dịch vụ xác thực Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều khiển truy cập Mô tả các phương pháp điều khiển truy cập lô gíc Giải thích các kiểu điều khiển truy cập vật lý khác nhau Định nghĩa các dịch vụ xác thực Bài 7 - Xác thực và quản lý tài khoản 2 Mục tiêu của bài học Mô tả ba kiểu xác thực thông tin Giải thích những gì mà mô hình đăng nhập đơn nhất có thể thực hiện 3 Liệt kê các thủ tục quản lý tài khoản để bảo mật mật khẩu Định nghĩa các hệ điều hành được tin cậy Bài 7 - Xác thực và quản lý tài khoản Giới thiệu Xác thực thông tin Quá trình nhằm đảm bảo một người đang có ý định truy cập tới tài nguyên là đáng tin cậy Các chủ đề sẽ đề cập trong bài Xác thực và quản lý bảo mật tài khoản người dùng Các kiểu xác thực thông tin khác nhau Mô hình đăng nhập đơn nhất Các kỹ thuật và công nghệ quản lý bảo mật tài khoản người dùng Các hệ điều hành được tin cậy Xác thực thông tin Quá trình nhằm đảm bảo một người đang có ý định truy cập tới tài nguyên là đáng tin cậy Các chủ đề sẽ đề cập trong bài Xác thực và quản lý bảo mật tài khoản người dùng Các kiểu xác thực thông tin khác nhau Mô hình đăng nhập đơn nhất Các kỹ thuật và công nghệ quản lý bảo mật tài khoản người dùng Các hệ điều hành được tin cậy 4 Bài 7 - Xác thực và quản lý tài khoản Xác thực thông tin Các kiểu xác thực thông tin Bạn có những gì? Ví dụ: khóa từ xe ô tô Bạn là ai? Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp viên của câu lạc bộ sức khỏe Bạn biết những gì? Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc bộ sức khỏe Các kiểu xác thực thông tin Bạn có những gì? Ví dụ: khóa từ xe ô tô Bạn là ai? Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp viên của câu lạc bộ sức khỏe Bạn biết những gì? Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc bộ sức khỏe 5 Bài 7 - Xác thực và quản lý tài khoản Xác thực thông tin 6 Bài 7 - Xác thực và quản lý tài khoản Bạn biết những gì: Mật khẩu Khi người dùng đăng nhập vào hệ thống Được yêu cầu xác định danh tính Người dùng nhập tên đăng nhập (username) Người dùng được yêu cầu cung cấp thông tin để xác thực Người dùng nhập mật khẩu Mật khẩu là kiểu xác thực phổ biến nhất hiện nay Mật khẩu chỉ đem lại sự bảo vệ mức yếu Khi người dùng đăng nhập vào hệ thống Được yêu cầu xác định danh tính Người dùng nhập tên đăng nhập (username) Người dùng được yêu cầu cung cấp thông tin để xác thực Người dùng nhập mật khẩu Mật khẩu là kiểu xác thực phổ biến nhất hiện nay Mật khẩu chỉ đem lại sự bảo vệ mức yếu 7 Bài 7 - Xác thực và quản lý tài khoản Những yếu điểm của mật khẩu (1/2) Yếu điểm của mật khẩu có liên quan đến trí nhớ của con người Con người chỉ có thể nhớ được một số lượng bản ghi hữu hạn Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất Nhưng cũng khó nhớ nhất Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản khác nhau Các chính sách bảo mật qui định mật khẩu hết hiệu lực sau một khoảng thời gian Người dùng phải ghi nhớ mật khẩu nhiều lần Yếu điểm của mật khẩu có liên quan đến trí nhớ của con người Con người chỉ có thể nhớ được một số lượng bản ghi hữu hạn Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất Nhưng cũng khó nhớ nhất Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản khác nhau Các chính sách bảo mật qui định mật khẩu hết hiệu lực sau một khoảng thời gian Người dùng phải ghi nhớ mật khẩu nhiều lần 8 Bài 7 - Xác thực và quản lý tài khoản Những yếu điểm của mật khẩu (2/2) Người dùng thường chọn đường tắt Sử dụng mật khẩu yếu Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản Người dùng thường chọn đường tắt Sử dụng mật khẩu yếu Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá nhân Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản 9 Bài 7 - Xác thực và quản lý tài khoản Tấn công vào mật khẩu (1/) Kỹ nghệ xã hội Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác Chụp nén Trình theo dõi thao tác bàn phím, trình phân tích giao thức Tấn công kiểu “người đứng giữa” và tấn công tái chuyển Cài đặt lại mật khẩu Kẻ tấn công đạt được truy cập vật lý vào các máy tính và cài đặt lại mật khẩu Đoán trực tuyến Không thực sự thiết thực Kỹ nghệ xã hội Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác Chụp nén Trình theo dõi thao tác bàn phím, trình phân tích giao thức Tấn công kiểu “người đứng giữa” và tấn công tái chuyển Cài đặt lại mật khẩu Kẻ tấn công đạt được truy cập vật lý vào các máy tính và cài đặt lại mật khẩu Đoán trực tuyến Không thực sự thiết thực 10 Bài 7 - Xác thực và quản lý tài khoản [...]... khẩu Mã thẻ xác thực thay đổi thường xuyên Kẻ tấn công cần phải phá được mã trong một khoảng thời gian hữu hạn Bài 7 - Xác thực và quản lý tài khoản 28 Sinh mã và so sánh mã Bài 7 - Xác thực và quản lý tài khoản 29 Bạn có những gì: Thẻ xác thực và thẻ từ (3/) Những ưu điểm của thẻ xác thực so với mật khẩu (tiếp.) Người dùng có thể không cần quan tâm việc mật khẩu đã bị đánh cắp Nếu thẻ xác thực bị đánh... giây Bài 7 - Xác thực và quản lý tài khoản 27 Bạn có những gì: Thẻ xác thực và thẻ từ (2/) Các bước đăng nhập người dùng sử dụng thẻ xác thực Người dùng nhập tên đăng nhập và mã do thẻ xác thực cung cấp Máy chủ xác thực sẽ tìm kiếm thuật toán gắn liền với người dùng, sinh ra mã của mình, và so sánh với mã của người dùng Nếu hai mã trùng khớp, người dùng sẽ được xác thực Những ưu điểm của thẻ xác thực. .. Không đòi hỏi truy cập vật lý tới thẻ Các thẻ truy cập chung (common access card - CAC) Do Bộ quốc phòng Mỹ ban hành Chứa mã vạch, dải từ, và ảnh của chủ thẻ Bài 7 - Xác thực và quản lý tài khoản 31 Thẻ thông minh Bài 7 - Xác thực và quản lý tài khoản 32 Bạn là ai: Sinh trắc học (1) Sinh trắc học tiêu chuẩn Sử dụng các đặc điểm vật lý mang tính cá biệt của con người để xác thực Máy quét dấu vân tay... bị đánh cắp, nó sẽ trở nên rõ ràng Cần có các bước để vô hiệu hóa tài khoản Các biến thể của hệ thống sử dụng thẻ xác thực Một số hệ thống chỉ sử dụng mã thẻ xác thực Một số khác sử dụng mã thẻ xác thực kết hợp với mật khẩu Một số kết hợp mã PIN với mã thẻ xác thực Bài 7 - Xác thực và quản lý tài khoản 30 Bạn có những gì: Thẻ xác thực và thẻ từ (4/) Thẻ từ (Card) Thẻ thông minh chứa mạch tích hợp (Chip)... nhất Bài 7 - Xác thực và quản lý tài khoản 11 Tấn công vào mật khẩu (3/) Các tham số của chương trình tấn công mật khẩu kiểu bạo lực tự động Độ dài mật khẩu Bộ ký tự Ngôn ngữ Mẫu mật khẩu Bước nhảy Tấn công dùng từ điển Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông dụng trong từ điển So sánh với file mật khẩu đánh cắp được Bài 7 - Xác thực và quản lý tài khoản 12 Tấn công dùng từ điển Bài 7 - Xác. .. nối vào một mạng không dây chưa được mã hóa Bài 7 - Xác thực và quản lý tài khoản 21 Bảo vệ mật khẩu (6/) Một số chỉ dẫn khác Sử dụng các ký tự không có trên bàn phím Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím số Bổ sung mật khẩu Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một ghánh nặng với người dùng Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật khẩu Bài 7 - Xác thực và. .. từ điển Yêu cầu ít bộ nhớ máy tính hơn Bài 7 - Xác thực và quản lý tài khoản 16 Bảo vệ mật khẩu (1/) Tạo và sử dụng các mật khẩu mạnh Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông qua việc nghiên cứu các phương thức tấn công mật khẩu Hầu hết các mật khẩu đều gồm hai phần: Phần gốc Phần đính kèm Tiền tố hoặc hậu tố Bài 7 - Xác thực và quản lý tài khoản 17 Bảo vệ mật khẩu (2/) Phương thức của... mặt, hay mắt cũng được sử dụng Các kiểu máy quét dấu vân tay Máy quét dấu vân tay tĩnh Chụp ảnhh dấu vân tay và đối chiếu với hình ảnh trong file Máy quét dấu vân tay động Sử dụng các khe hở nhỏ Bài 7 - Xác thực và quản lý tài khoản 33 Máy quét dấu vân tay động Bài 7 - Xác thực và quản lý tài khoản 34 Bạn là ai: Sinh trắc học (2) Nhược điểm của sinh trắc học tiêu chuẩn Chi phí cho thiết bị quét phần... Lưu trữ trên Internet Ứng dụng và/ hoặc file được lưu trữ trực tuyến Có thể truy cập chương trình và/ hoặc filetừ bất cứ máy tính nào Việc lưu trữ mật khẩu trực tuyên có thể bị xâm hại bởi những kẻ tấn công Bài 7 - Xác thực và quản lý tài khoản 26 Bạn có những gì: Thẻ xác thực và thẻ từ (1/) Thẻ xác thực (token) Thiết bị nhỏ có màn hình hiển thị Đồng bộ với một máy chủ xác thực Mã được sinh ra từ một thuật... pháp quản lý mật khẩu tối ưu Thay đổi mật khẩu thường xuyên Không sử dụng lại các mật khẩu cũ Bài 7 - Xác thực và quản lý tài khoản 20 Bảo vệ mật khẩu (5/) Các thủ tục quản lý mật khẩu tối ưu (tiếp.) Không bao giờ được viết ra mật khẩu Sử dụng các mật khẩu riêng cho từng tài khoản Thiết lập mật khẩu tạm thời cho việc truy cập của người dùng khác Không cho phép chế độ tự động đăng nhập vào một tài khoản . khỏe 5 Bài 7 - Xác thực và quản lý tài khoản Xác thực thông tin 6 Bài 7 - Xác thực và quản lý tài khoản Bạn biết những gì: Mật khẩu Khi người dùng đăng nhập vào hệ thống Được yêu cầu xác định. sánh với file mật khẩu đánh cắp được 12 Bài 7 - Xác thực và quản lý tài khoản Tấn công dùng từ điển 13 Bài 7 - Xác thực và quản lý tài khoản Tấn công vào mật khẩu (4/) Tấn công lai ghép Thay. một mật khẩu cho nhiều tài khoản khác nhau Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm hại được một tài khoản 9 Bài 7 - Xác thực và quản lý tài khoản Tấn công vào mật khẩu (1/) Kỹ