USB token và các thẻ thông minh Cho tới giờ, mật khẩu vẫn thường được sử dụng như một cơ chế chứng thực yêu cầu hay nó cũng là một cơ chế được ưa thích khi truy cập vào các hệ thống và dữ liệu nhạy cảm. Tuy nhiên do nhu cầu bảo mật, đòi hỏi thuận tiện ngày càng cao, giảm bớt sự phức tạp và cần triển khai thêm các công nghệ chứng thực khác nên trong loạt bài này chúng tôi sẽ giới thiệu về các công nghệ chứng thực đa hệ số được sử dụng với Windows. Trong phần đầu này chúng ta sẽ bắt đầu vào việc xem xét đến những vấn đề cơ bản của việc chứng thực dựa trên chip. Khi các mật khẩu không làm việc Quay trở lại năm 1956, George A. Miller đã viết bài báo “Số 7 kỳ diệu, cộng hoặc trừ 2: Một số hạn chế về khả năng xử lý thông tin”, nó là một bài báo mô tả những gì hạn chế của khi muốn nhớ các mẩu thông tịn. Một trong những kết luận trong bài báo là một người trung bình có khả năng nhớ đến 7 mẩu thông tin tại cùng một thời điểm sai số có thể cộng/trừ 2. Các nhà khoa học khác sau đó đã cố gắng để cải thiện, người trung bình chỉ có thể nhớ 5 mẩu thông tin tại một thời điểm. Mặc dù vậy, cách thừa nhận lý thuyết này thách thức đến những vấn đề liên quan đến độ dài và độ phức tạp đi kèm, cũng vấn đề này chúng ta có thể thấy trong rất nhiều bài báo khác. Sự phức tạp thường được cho là một trong những mối đe dọa lớn nhất đối với vấn đề bảo mật. Một trong những phạm vi mà chúng ta xem xét vấn đề này đã được chứng thực khi người dùng và các quản trị viên yêu cầu phải tuân theo một chính sách mật khẩu phức tạp. Cũng tại thời điểm này, vấn đề này luôn luôn nằm trong danh sách top 5 các vấn đề đối với việc trợ giúp của bất cứ một tổ chức nào đó. Gartner và Forrester dự đoán rằng các cuộc gọi đến đội hỗ trợ (hay nhóm trợ giúp) có liên quan đến việc quên mật khẩu tiêu tốn đến xấp xỉ 10$ cho mỗi cuộc gọi. Vậy thì việc tiến hành một phân tích lợi ích về giá chi phí cho một chính sách mật khẩu hiện hành của một tổ chức là một việc nên làm lúc này. Mật khẩu sẽ là một cơ chế chứng thực đích thực khi độ dài của mật khẩu lớn hơn 15 ký tự và có ít nhất một ký tự không thuộc bảng chữ cái tiếng anh. Các cụm sử dụng là mật khẩu dài nên phải đảm bảo là các ký tự mà người dùng có thể nhớ nó một cách dễ dàng. Điều này sẽ bảo đảm rằng hầu hết các tấn công “cầu vồng”, thậm chí các tấn công 8-bit đều sẽ bị thất bại, nhờ có bổ sung thêm sự phức tạp bởi các ký tự khác. Lưu ý: Từ khi có Windows 2000, mật khẩu có thể được hỗ trợ đến 127 ký tự. Mặc dù vậy lý do tại sao các mật khẩu chỉ là một cơ chế chứng thực không đủ là bởi vì người dùng thường nhớ không tốt cũng như bảo vệ các mật khẩu không an toàn. Có thể bạn cũng thấy rằng mật khẩu không được bảo vệ một cách thích hợp. Tuy nhiên may thay chúng ta có một số giải pháp bảo mật khác sẽ cho phép nâng cao cả khả năng bảo mật lẫn sự thuận tiện bằng việc sử dụng một mật khẩu ngắn dễ nhớ. Chứng thực dựa trên chip Một trong những giải pháp bảo mật này là chứng thực dựa trên chip, đây là phương pháp thường được cho là chứng thực hai hệ số. Chứng thực hai hệ số này sử dụng sự kết hợp các thành phần dưới đây: 1. Có thể là một thẻ thông minh hoặc USB token 2. Đôi khi là số nhận dạng cá nhân (PIN). PIN có thể cho phép người dùng truy cập chứng chỉ số đã được lưu trên thẻ thông minh. Hình 1 minh chứng cho bạn thấy được hai giải pháp khác nhau, tuy nhiên cơ bản mà nói nó có cùng một công nghệ. Nói đúng ra, nó chỉ khác nhau về hình dáng, giá thành và một số thành phần tạo nên sự khác nhau, mặc dù mỗi một giải pháp có thể có một số tính năng bổ sung mà chúng ta sẽ xem xét dưới đây. Ví dụ về thẻ thông minh có thể được sử dụng cho cả việc chứng thực từ xa và chứng thực Windows, truy cập vật lý và thanh toán. Ví dụ về USB token với cả chứng thực dựa trên chip và bộ nhớ flash để lưu trữ được các file và tài liệu… Hình 1: Hai ví dụ về các thiết bị chứng thực dựa trên chip Cả thẻ thông minh và USB token đều có chip đi kèm theo. Chip này cần phải có một bộ vi xử lý 32 bit và thông thường có EEPROM (Electrically Erasable Programmable Read-only Memory) cỡ khoảng 32KB hoặc 64KB, chip RAM được nhúng trên thẻ thông minh hoặc USB token. Ngày nay cũng có các thẻ thông minh hoặc USB token có thể nên đến 256KB RAM cho việc bảo đảm lưu trữ dữ liệu. Lưu ý: Khi nói về việc lưu trữ trong bài này, chúng ta chỉ nói đến việc lưu trữ được nhúng trong chip bảo mật chứ không phải bản thân thiết bị. Chip này có một hệ điều hành nhỏ và bộ nhớ để lưu các chứng chỉ, chứng chỉ này lại được sử dụng cho việc chứng thực. Hệ điều hành trên chip khác nhau giữa những hãng sản xuất khác nhau, chính vì vậy phải bản đảm rằng bạn có sử dụng CSP (Cryptographic Service Provider) trong Windows, thành phần hỗ trợ hệ điều hành trên chip. Chúng ta sẽ xem xét đến CSP trong phần tiếp theo. Giải pháp dựa trên chip có một số ưu điểm so với các giải pháp chứng thực đa hệ số khác vì nó có thể được sử dụng để lưu các chứng chỉ cho việc chứng thực, nhận dạng và chữ ký. Như đã đề cập ở trên, mọi thứ đều được bảo vệ bởi PIN, PIN có thể cho phép người dùng truy cập vào dữ liệu được lưu trên chip. Vì một tổ chức thường duy trì và phát hành các thẻ thông minh hoặc USB token cho chính họ nên họ cũng định nghĩa chính sách nào đó liên quan với giải pháp. Ví dụ như các thẻ có thể bị khóa hoặc bị xóa sau một số lần nhập sai mã PIN. Vì bạn có thểkết hợp các chính sách này với PIN, nên độ dài của PIN có thể ngắn hơn và như vậy sẽ dễ nhớ hơn mà không dễ bị xâm phạm bảo mật. Tất cả các tham số này được lưu trên thẻ thông minh khi nó được phát hành. Giải pháp dựa trên chip cũng chịu được những vấn đề sửa chữa can thiệp, vì vậy ngoài PIN đúng, dữ liệu (các chứng chỉ và thông tin cá nhân) được lưu trên chip đều không thể truy cập và như vậy không thể dùng được vào việc gì khác. Thẻ thông minh hay USB token? Một sự khác nhau giữa thẻ thông minh và USB token là hình dáng ngoài. Cả hai giải pháp đều giải quyết nhu cầu cơ bản, với khía cạnh chứng thực hai hệ số nhưng mỗi một giải pháp đều có những ưu điểm riêng cũng như những nhược điểm riêng. Thẻ thông minh có thể được sử dụng cho việc nhận dạng ảnh, vì bạn có thể in ảnh và tên lên nó. Còn USB token có thể có bộ nhớ flash cho việc lưu trữ được các tài liệu và file khác. Cả hai thiết bị đều được sử dụng cho việc điều khiển truy cập vật lý theo cách riêng của chúng. Thẻ thông minh cũng có thể có một mạch điện, nam châm từ tính, mã vạch như thiết bị USB. Thẻ thông minh yêu cầu một bộ đọc thẻ, trong khi đó USB token có thể sử dụng cổng USB hiện có trên máy tính và đó là vấn đề để giải pháp này cạnh tranh với bộ đọc thẻ thông minh. Ngày nay, các bộ đọc thẻ thông minh nên cần sử dụng các giao diện như PC Card, ExpressCard, USB hoặc được xây dựng kèm, một số hãng máy tính notebook và bàn phím đã thực hiện mô hình của họ. Các bộ đọc thẻ thông minh được xem như các thiết bị Windows, độc lập hoàn toàn với hệ điều hành chip và chúng có bộ mô tả bảo mật và bộ nhận dạng PnP. Cả bộ đọc và USB token đều cần đến một driver thiết bị Windows trước khi chúng có thể được sử dụng và bạn cũng nên luôn bảo đảm sử dụng các driver mới nhất, vấn đề này xuất phát từ những lý do về hiệu suất trong suốt việc chứng thực hai hệ số. Giá thành chi phí ban đầu có thể bị ảnh hưởng đôi chút khi bạn chọn giải pháp chip để sử dụng. Thẻ thông minh và thẻ tín dụng cơ bản tương tự nhau. Rất nhiều công ty sử dụng thẻ thông minh cho việc truy cập vật lý tại văn phòng và thanh toán tiền cho bữa trưa,…. Điều đó có nghĩa rằng nó có cả những giá trị thuận tiện cũng như tiền tệ và do đó người dùng có thể bảo vệ và chỉ cần mang thẻ thông minh của họ luôn bên mình mọi lúc. Nó cũng thích hợp khi mang trong ví, điều đó cũng giúp nó có thể được bảo vệ một cách tốt hơn. Một số vấn đề cần xem xét Khi chọn giải pháp chứng thực dựa trên chip, có một số vấn đề và một số lời khuyên mà bạn nên xem xét ở đây: 1. Khả năng tương thích - Phải bảo đảm rằng hệ điều hành chip tương thích với CSP mà bạn muốn sử dụng. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu đến CSP, phần mềm liên thông giữa hệ điều hành chip và Windows và nó cũng có trách nhiệm cho chính sách bảo mật đang được áp dụng cho chip. 2. Vấn đề quản lý - Nếu bạn phải bổ sung thêm các thẻ thông minh hoặc USB token để sử dụng cho nhiều người thì hãy chọn hệ điều hành chip tương thích với Card Management System (CMS) mà bạn đã chọn. 3. Khả năng mở rộng - Bảo đảm rằng hệ điều hành chip có thể được sử dụng bởi tất cả các ứng dụng yêu cầu và những nhu cầu chứng thực mà bạn cần. Bạn có thể có những nhu cầu trong tương lai cho việc bổ sung thêm các chứng chỉ bổ sung đối với thẻ thông minh hoặc USB token này, chẳng hạn như việc ký và mã hóa trong email. Kiểm tra các chi tiết kỹ thuật DoD Common Access Card (CAC), những chi tiết đã được sử dụng để lưu rất nhiều thông tin về người dùng. Hãy bảo đảm cân nhắc những vấn đề riêng tư khi bổ sung thêm thông tin. Chúng ta sẽ xem xét đến vấn đề này trong phần sau. 4. Khả năng sử dụng - Bảo đảm chọn và bổ sung một giải pháp dựa trên chip, giải pháp cho cả việc thân thiện cho người dùng và khả năng thao tác. Một trong những thách thức lớn nhất với các giải pháp chứng thực đa hệ số là mọi người đều có một khuynh hướng quên hoặc mất thẻ thông minh hay thiết [...]...bị USB của họ hoặc quên PIN nếu nó không được sử dụng thường xuyên Kết luận Trong phần tiếp theo, chúng tôi sẽ giới thiệu cho bạn cách thao tác tốt nhất khi bổ sung thêm các thẻ thông minh hoặc USB token vào môi trường Windows, ngoài ra cũng sẽ giới thiệu cách cấu hình một CSP client và những khác nhau giữa cấu hình CSP trong Windows XP/Windows Server 2003 và Windows Vista/Windows . và thông tin cá nhân) được lưu trên chip đều không thể truy cập và như vậy không thể dùng được vào việc gì khác. Thẻ thông minh hay USB token? Một sự khác nhau giữa thẻ thông minh và USB. Memory) cỡ khoảng 32KB hoặc 64KB, chip RAM được nhúng trên thẻ thông minh hoặc USB token. Ngày nay cũng có các thẻ thông minh hoặc USB token có thể nên đến 256KB RAM cho việc bảo đảm lưu trữ. được các file và tài liệu… Hình 1: Hai ví dụ về các thiết bị chứng thực dựa trên chip Cả thẻ thông minh và USB token đều có chip đi kèm theo. Chip này cần phải có một bộ vi xử lý 32 bit và thông