Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 32 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
32
Dung lượng
1,35 MB
Nội dung
Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 1 ĐỒ ÁN MÔN HỌC: BẢO MẬT THÔNG TIN TÌM HIỂU VỀ PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 1. 2. 3. Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 2 Mở đầu , n c. c ngày càng password là máy tính, trong . Vì password vàcác liênquan xác thực, cracking password, cũng như đánh giá độ mạnh của một password Tháng 11-2009 PASSWORD VÀ CÁCVẤNĐỀLIÊNQUAN 3 I.SƠ LƢỢC VỀ VẤNĐỀ XÁC THỰC: xác thực là một quá trình nhận dạng người dùng. chính x ph o o o A.Xác thực bằng username và password: 1.HTTP Authentications a.Basic Authentication Web.Nó s Tháng 11-2009 PASSWORD VÀ CÁCVẤNĐỀLIÊNQUAN 4 b. Degest Authentication Authentication -Response me Password tr 2.Kết hợp với phƣơng thức xác thực NTLM của Windows: Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 5 3.Negotiate Authentication – Thỏa thuận xác thực: Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 6 B.Xác thực dựa vào smartcard và cirtificate: 1. Xác thực dựa vào Certificate: S -factor. Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 7 2.Xác thực dựa vào Forms: Nó . Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 8 3.Xác thực dựa vào RSA Secure Token: Vé, card). Có i 60 giây và Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 9 C.Xác thực dựa vào Sinh trắc học: Card. hacker thông tin. Từ sự phân tích trên cho ta thấy rằng giải pháp sử dụng password luôn là một giải pháp hiệu quả khi chi phí thấp vàdễ dàng sử dụng với độ bảo mật chấp nhận được, có thể nó sẽ rất hiệu quả nếu chúng ta có những chính sách hợp lý. Do vậy, chúng ta sẽ tập trung thảo luậnvà nghiên cứu về passwordvà những vấnđề bảo mật liên quan. Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN 10 II. PASSWORDvàVẤNĐỀ CRACKING PASSWORD: Ngày nay, vi s phát trin không ngng c t máy tính, hacker tn công vào h th, v password ngày càng tr nên phc tp, gi n là mt chui kí t bí mt ca riêng users, mà nó luôn trong i dùng cn có nhng kin thc mi v password. Vậy password là gì? Password ( tm dch là mã xác nhn), là mt t hoc mt chui kí t bí mc s d xác thc, chng minh hoc nhn di s dng truy cp tài nguyên. Tại sao password lại cần thiết? o n vic xâm nhp trái phép vào h thng, bo v thông tin, và giúp ta xác nhn duy nhp h tht li nhng ca h trên d liu. o Bt c h thng nào, mi dùng nhnh có nhc quyn mà nhi khác không có. Bng cách nhn dng chính bn trên chính máy tính ca bn hoc các website, bc tip cng làm vic ca riêng bn vàcác d liu các nhân ca bn, nhng tài liu này là các d liu nhy cm và không mun công khai. Các hiểm họa đến từ password: o Trong khi phn ln các t chi dùng ti gia vn ph thut hình thc nhn di vi các d liu nhy c bo [...]... biết đƣợc Password trên máy bạn đang logon Rất nhiều phần mềm có thể Exports đoạn mã hoá của Password ra thành một File điển hình là PasswordDump, WinPasswordPro, trong bài viết này tôi trình bày với các bạn sử dụng WinPasswordPro Bật chƣơng trình WinPasswordPro lên Import Password từ máy Local Sau Khi Import Password từ file SAM vào sẽ đƣợc 15 Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN Sau đó... Đừng quên rằng dấu vết sẽ lần lại tài khoản của bạn và do đó bạn không tránh khỏi liênquan Vậy tấn công password là gi? Tấn công password là ta tìm cách có được password của môt userID nào đó để xâm nhập vào hệ thống của họ Một password có thể bị tấn công với rất nhiều hình thức khác nhau: 11 Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN o Lỗ hổng bảo mật vật lý: một lỗ hổng vật lý của... VÀ CÁCVẤNĐỀLIÊNQUAN Website.Với phần mềm này bạn có thể tìm kiếm các Cookies đƣợc lƣu dữ trong hệ thống và giải mã chúng để tìm Username Password Từ những phương thức tấn công được trình bày ở trên, ta có thể rút ra những nguyên tắc thiết lập và sử dụng password khả dĩ giúp ta tự bảo vệ password của mình trước hầu hết các kiểu tấn công thông dụng Đó sẽ là vấnđề tiếp theo mà ta nghiên cứu III PASSWORD. .. B.XÁC THỰC DỰA VÀO SMARTCARD VÀ CERTIFICATE 6 1 Xác thực dựa vào Certificate 6 2.Xác thực dựa vào Forms 7 3.Xác thực dựa vào RSA Secure Token 8 C.XÁC THỰC DỰA VÀO SINH TRẮC HỌC 9 II PASSWORDVÀVẤNĐỀ CRACKING PASSWORD: 10 VẬY PASSWORD LÀ GÌ? 10 TẠI SAO PASSWORD LẠI CẦN THIẾT? 10 CÁC HIỂM HỌA ĐẾN TỪ PASSWORD 10 NHỮNG NGUY HIỂM KHI PASSWORD BỊ LỘ... kí tự “]” nên L(“_”)160 (nhƣ các kí tự tiếng việt) 31 Tháng 11-2009 PASSWORD VÀ CÁCVẤNĐỀLIÊNQUAN MỤC LỤC I.SƠ LƯỢC VỀ VẤNĐỀ XÁC THỰC: 3 A.XÁC THỰC BẰNG USERNAME VÀPASSWORD 3 1.HTTP Authentications ... là tuỳ thuộc vào chúng ta Giải pháp phòng chống hình thức tấn công này: + Đề phòng những ngƣời truy cập vào máy tính của chúng ta 19 Tháng 11-2009 PASSWORD VÀ CÁCVẤNĐỀLIÊNQUAN + Đặt Password dài trên 14 ký tự và có đầy đủ các ký tự: Đặc biệt, hoa, số, thƣờng + Enable Firewall lên để chống PasswordDUMP, Cài đặt và cập nhật các bản vá lỗi mới nhất từ nhà sản xuất + Cài đặt tối thiểu một chƣơng trình... danh sách User vàPassword đã đƣợc mã hoá ra một file txt và gửi vào Mail của chúng ta, sang máy chúng ta cũng dung phần mềm này để giải mã ngƣợc lại Mở file TXT đã exports ra ta có dữ liệu password đã đƣợc mã hoá 16 Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN Sau khi lấy đƣợc dữ liệu User – Password đã mã hoá ta Uninstall chƣơng trình này trên máy nạn nhân để khỏi lộ - rồi gửi file đó vào Mail để... PASSWORDvàVẤNĐỀ BẢO MẬT PASSWORD: 1.Độ mạnh yếu của password: a.Thế nào là password yếu? Một password yếu là một password ngắn, phổ biến, một mặc định của hệ thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng bằng cách thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật khẩu khả dĩ, nhƣ các từ trong từ điển, tên riêng, những từ dựa trên tên ngƣời 21 Tháng 11-2009 PASSWORDVÀ CÁC... biệt, không số, không hoa và 9 ký tự) Kết thúc quá trình tôi đã giải mã đƣợc file Password đã đƣợc mã hoá với: user administrator vàPassword là vnexperts 18 Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN b Tấn công máy từ xa - Khi chúng ta đƣợc ngồi trên máy nạn nhân để Exports Password đƣợc mã hoá là đơn giản nhƣng thực tế sẽ rất ít khi thực hiện đƣợc phƣơng thức này - Dùng Password Dump chúng ta sẽ... trong 9510 khả năng, và sẽ phải tốn khoảng 632.860 năm để tìm ra với giả sử mật khẩu đó đƣợc tạo ra ngẫu nhiên Một mật khẩu chứa mƣời lăm chữ cái viết hoa ngẫy nhiên sẽ chỉ an toàn tƣơng đƣơng (với điều kiện hệ thống đang bàn tới là có phân biệt 25 Tháng 11-2009 PASSWORDVÀCÁCVẤNĐỀLIÊNQUAN hoa thƣờng và cho phép dùng ký hiệu) và có thể dễ hơn đối với vài ngƣời để nhớ và gõ vào Tuy nhiên, phƣơng . tập trung thảo luận và nghiên cứu về password và những vấn đề bảo mật liên quan. Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 10 II. PASSWORD và VẤN ĐỀ CRACKING PASSWORD: Ngày. 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 1 ĐỒ ÁN MÔN HỌC: BẢO MẬT THÔNG TIN TÌM HIỂU VỀ PASSWORD VÀ CÁC VẤN ĐỀ LIÊN. Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 6 B.Xác thực dựa vào smartcard và cirtificate: 1. Xác thực dựa vào Certificate: S