Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 1   ĐỒ ÁN MÔN HỌC: BẢO MẬT THÔNG TIN TÌM HIỂU VỀ PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN   1.  2.  3.  Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 2 Mở đầu   , n                    c.    c ngày càng           password là   máy tính, trong  . Vì password và các   liên quan xác thực, cracking password, cũng như đánh giá độ mạnh của một password            Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 3 I.SƠ LƢỢC VỀ VẤN ĐỀ XÁC THỰC: xác thực là một quá trình nhận dạng người dùng.  chính x   ph o  o  o  A.Xác thực bằng username và password: 1.HTTP Authentications a.Basic Authentication   Web.Nó s              Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 4               b. Degest Authentication              Authentication  -Response             me Password tr 2.Kết hợp với phƣơng thức xác thực NTLM của Windows:                    Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 5    3.Negotiate Authentication – Thỏa thuận xác thực:          Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 6 B.Xác thực dựa vào smartcard và cirtificate: 1. Xác thực dựa vào Certificate:  S   -factor.        Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 7 2.Xác thực dựa vào Forms:  Nó .       Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 8 3.Xác thực dựa vào RSA Secure Token:   Vé, card). Có i 60 giây và     Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 9 C.Xác thực dựa vào Sinh trắc học:        Card.     hacker         thông tin. Từ sự phân tích trên cho ta thấy rằng giải pháp sử dụng password luôn là một giải pháp hiệu quả khi chi phí thấp và dễ dàng sử dụng với độ bảo mật chấp nhận được, có thể nó sẽ rất hiệu quả nếu chúng ta có những chính sách hợp lý. Do vậy, chúng ta sẽ tập trung thảo luận và nghiên cứu về password và những vấn đề bảo mật liên quan. Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 10 II. PASSWORD và VẤN ĐỀ CRACKING PASSWORD: Ngày nay, vi s phát trin không ngng c t máy tính,  hacker tn công vào h th, v password ngày càng tr nên phc tp, gi  n là mt chui kí t bí mt ca riêng users, mà nó luôn  trong  i dùng cn có nhng kin thc mi v password. Vậy password là gì? Password ( tm dch là mã xác nhn), là mt t hoc mt chui kí t bí mc s d xác thc, chng minh hoc nhn di s dng truy cp tài nguyên. Tại sao password lại cần thiết? o n vic xâm nhp trái phép vào h thng, bo v thông tin, và giúp ta xác nhn duy nhp h tht li nhng ca h trên d liu. o Bt c h thng nào, mi dùng nhnh có nhc quyn mà nhi khác không có. Bng cách nhn dng chính bn trên chính máy tính ca bn hoc các website, bc tip cng làm vic ca riêng bn và các d liu các nhân ca bn, nhng tài liu này là các d liu nhy cm và không mun công khai. Các hiểm họa đến từ password: o Trong khi phn ln các t chi dùng ti gia vn ph thut hình thc nhn di vi các d liu nhy c bo [...]... biết đƣợc Password trên máy bạn đang logon  Rất nhiều phần mềm có thể Exports đoạn mã hoá của Password ra thành một File điển hình là PasswordDump, WinPasswordPro, trong bài viết này tôi trình bày với các bạn sử dụng WinPasswordPro Bật chƣơng trình WinPasswordPro lên Import Password từ máy Local Sau Khi Import Password từ file SAM vào sẽ đƣợc 15 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN Sau đó... Đừng quên rằng dấu vết sẽ lần lại tài khoản của bạn và do đó bạn không tránh khỏi liên quan  Vậy tấn công password là gi? Tấn công password là ta tìm cách có được password của môt userID nào đó để xâm nhập vào hệ thống của họ Một password có thể bị tấn công với rất nhiều hình thức khác nhau: 11 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN o Lỗ hổng bảo mật vật lý: một lỗ hổng vật lý của... VÀ CÁC VẤN ĐỀ LIÊN QUAN Website.Với phần mềm này bạn có thể tìm kiếm các Cookies đƣợc lƣu dữ trong hệ thống và giải mã chúng để tìm Username Password Từ những phương thức tấn công được trình bày ở trên, ta có thể rút ra những nguyên tắc thiết lập và sử dụng password khả dĩ giúp ta tự bảo vệ password của mình trước hầu hết các kiểu tấn công thông dụng Đó sẽ là vấn đề tiếp theo mà ta nghiên cứu III PASSWORD. .. B.XÁC THỰC DỰA VÀO SMARTCARD VÀ CERTIFICATE 6 1 Xác thực dựa vào Certificate 6 2.Xác thực dựa vào Forms 7 3.Xác thực dựa vào RSA Secure Token 8 C.XÁC THỰC DỰA VÀO SINH TRẮC HỌC 9 II PASSWORD VÀ VẤN ĐỀ CRACKING PASSWORD: 10 VẬY PASSWORD LÀ GÌ? 10 TẠI SAO PASSWORD LẠI CẦN THIẾT? 10 CÁC HIỂM HỌA ĐẾN TỪ PASSWORD 10 NHỮNG NGUY HIỂM KHI PASSWORD BỊ LỘ... kí tự “]” nên L(“_”)160 (nhƣ các kí tự tiếng việt) 31 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN MỤC LỤC I.SƠ LƯỢC VỀ VẤN ĐỀ XÁC THỰC: 3 A.XÁC THỰC BẰNG USERNAME VÀ PASSWORD 3 1.HTTP Authentications ... là tuỳ thuộc vào chúng ta Giải pháp phòng chống hình thức tấn công này: + Đề phòng những ngƣời truy cập vào máy tính của chúng ta 19 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN + Đặt Password dài trên 14 ký tự và có đầy đủ các ký tự: Đặc biệt, hoa, số, thƣờng + Enable Firewall lên để chống PasswordDUMP, Cài đặt và cập nhật các bản vá lỗi mới nhất từ nhà sản xuất + Cài đặt tối thiểu một chƣơng trình... danh sách User và Password đã đƣợc mã hoá ra một file txt và gửi vào Mail của chúng ta, sang máy chúng ta cũng dung phần mềm này để giải mã ngƣợc lại Mở file TXT đã exports ra ta có dữ liệu password đã đƣợc mã hoá 16 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN Sau khi lấy đƣợc dữ liệu User – Password đã mã hoá ta Uninstall chƣơng trình này trên máy nạn nhân để khỏi lộ - rồi gửi file đó vào Mail để... PASSWORD và VẤN ĐỀ BẢO MẬT PASSWORD: 1.Độ mạnh yếu của password: a.Thế nào là password yếu? Một password yếu là một password ngắn, phổ biến, một mặc định của hệ thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng bằng cách thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật khẩu khả dĩ, nhƣ các từ trong từ điển, tên riêng, những từ dựa trên tên ngƣời 21 Tháng 11-2009 PASSWORD VÀ CÁC... biệt, không số, không hoa và 9 ký tự) Kết thúc quá trình tôi đã giải mã đƣợc file Password đã đƣợc mã hoá với: user administrator và Password là vnexperts 18 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN b Tấn công máy từ xa - Khi chúng ta đƣợc ngồi trên máy nạn nhân để Exports Password đƣợc mã hoá là đơn giản nhƣng thực tế sẽ rất ít khi thực hiện đƣợc phƣơng thức này - Dùng Password Dump chúng ta sẽ... trong 9510 khả năng, và sẽ phải tốn khoảng 632.860 năm để tìm ra với giả sử mật khẩu đó đƣợc tạo ra ngẫu nhiên Một mật khẩu chứa mƣời lăm chữ cái viết hoa ngẫy nhiên sẽ chỉ an toàn tƣơng đƣơng (với điều kiện hệ thống đang bàn tới là có phân biệt 25 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN hoa thƣờng và cho phép dùng ký hiệu) và có thể dễ hơn đối với vài ngƣời để nhớ và gõ vào Tuy nhiên, phƣơng . tập trung thảo luận và nghiên cứu về password và những vấn đề bảo mật liên quan. Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 10 II. PASSWORD và VẤN ĐỀ CRACKING PASSWORD: Ngày. 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 1   ĐỒ ÁN MÔN HỌC: BẢO MẬT THÔNG TIN TÌM HIỂU VỀ PASSWORD VÀ CÁC VẤN ĐỀ LIÊN.  Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN 6 B.Xác thực dựa vào smartcard và cirtificate: 1. Xác thực dựa vào Certificate:  S 