Đang tải... (xem toàn văn)
Sự an toàn của một hệ thống bảo vệ mật khẩu phụ thuộc vào nhiều yếu tố. Toàn bộ hệ thống phải được bảo vệ chống lại virus máy tính, tấn công maninthemiddle, máy quay video và sniffers bàn phím, vv... Các mật khẩu được lựa chọn như vậy rất khó cho kẻ tấn công để đoán và sử dụng bất kỳ các phương án tấn công tự động có sẵn. Ngày nay, các hệ thống máy tính cần để ẩn mật khẩu khi họ đang nhập. Mục đích của biện pháp này là để tránh người ngoài đọc mật khẩu. Tuy nhiên, một số người cho rằng việc này có thể dẫn đến những sai lầm và căng thẳng, khuyến khích người dùng lựa chọn các mật khẩu yếu. Thay vào đó, người dùng nên có tùy chọn để hiển thị hoặc ẩn mật khẩu khi họ loại chúng. Dưới đây là một số vấn đề quản lý mật khẩu cụ thể phải được xem xét trong suy nghĩ, lựa chọn và xử lý một mật khẩu.
MỤC LỤC A LÝ THUYẾT I Mật gì? II Cách chọn mât an toàn dễ nhớ III Yếu tố an toàn hệ thống mật 3.1 Tỷ lệ việc kẻ cơng đốn mật 3.2 Giới hạn số lần đoán mật 3.3 Hình thức lưu trữ mật 3.4 Các phương pháp xác định mật qua mạng 11 3.5 Thủ tục thay đổi mật 13 3.6 Tuổi thọ mật 13 3.7 Nhiều user dùng mật 13 3.8 Kiến trúc bảo mật mật 14 3.9 Tái sử dụng mật 15 3.10 Ghi lại mật giấy 15 3.11 Hai yếu tố xác thực 16 IV Cracking Password 16 4.1 Thời gian cần thiết để tìm kiếm mật 16 4.2 Phòng ngừa 18 4.3 Phần mềm 19 V Giải pháp thay mật xác thực 19 B VI The Password is dead 21 VII Hệ thống mật trang web 22 DEMO 24 A LÝ THUYẾT I Mật gì? Một mật từ chuỗi ký tự sử dụng cho người dùng xác thực để chứng minh nhận dạng chấp thuận cho phép quyền truy cập vào tài nguyên giữ bí mật từ người truy cập khơng phép Việc sử dụng mật biết đến từ thơi cổ đại Sentries thách thức người muốn vào tiếp cận khu vực để cung cấp mật khẩu hiệu, cho phép người nhóm vượt qua họ biết mật Trong thời đại, tên người dùng mật thường sử dụng trình kiểm sốt truy cập để bảo vệ máy tính hệ điều hành, điện thoại di động, truyền hình cáp giải mã, máy rút tiền tự động (ATM), vv… máy tính có mật sử dụng cho nhiều mục đích như: đăng nhập vào tài khoản, lấy e-mail, truy cập vào ứng dụng, sở liệu, mạng, trang web, chí đọc báo online Một số mật hình thành từ nhiều từ gọi cụm từ mật Các thuật ngữ mật mã passkey sử dụng thông tin bí mật hồn tồn số, chẳng hạn số nhận dạng cá nhân (PIN) thường sử dụng cho ATM truy cập Mật thường ngắn, đủ để dễ dàng ghi nhớ gõ Hầu hết tổ chức định sách mật mà đặt yêu cầu thành phần cách sử dụng mật khẩu, thường đưa mệnh lệnh chiều dài tối thiểu, chủng loại cần thiết (ví dụ số, ký tự đặc biệt), yếu tố bị cấm (ví dụ tên riêng, ngày tháng năm sinh, địa chỉ, số điện thoại) Một số phủ có khn khổ xác thực quốc gia để xác định yêu cầu để xác thực người sử dụng dịch vụ phủ, bao gồm yêu cầu cho mật II Cách chọn mât an toàn dễ nhớ Một mật dễ nhớ đồng nghĩa dễ dàng bị kẻ cơng đốn Tuy nhiên, mật khó nhớ làm giảm độ an tồn hệ thống người dùng viết sử dụng cách lưu trữ điện tử, thường xuyên thay mật dùng lại mật Tương tự vậy, mật mạnh gây khó khăn cho hệ thống q trình lưu trữ xác thực phức tạp Nhiều trang dịch vụ trực tuyến cài đặt sẵn kiểm tra mật Mật bị đánh giá yếu dùng từ kí tự chữ trở xuống, tất viết thường Mật xem mạnh thường dài 11 kí tự, bao gồm chữ, số, viết hoa, viết thường kí tự đặc biệt ! ~ / ) [ * ^ $ &… Thử đặt trường hợp hacker có máy tính cực mạnh có khả dị 100 tỉ mật giây, xem phải để mật bạn bị phát hiện? Mật gồm kí tự chữ cái, viết thường: chưa tới giây Mật gồm 11 kí tự chữ cái, viết thường: 11 tiếng Mật gồm 11 kí tự chữ cái, viết thường viết hoa: năm rưỡi Mật gồm 11 kí tự có chữ cái, số kí tự đặc biệt, viết thường viết hoa: 500 năm Rất ấn tượng không nào? Hãy ghi nhớ số ấn tượng bắt đầu tìm cho mật theo tiêu chuẩn, đồng thời tuân theo 10 nguyên tắc sau đây: Đừng dùng thông tin cá nhân làm mật Rất nhiều người dùng tên, ngày tháng năm sinh người thân làm mật Nếu hacker có quen biết bạn – cần kết bạn Facebook – ngày sinh bạn chắn mật chúng thử Đừng dùng chuỗi kí tự phổ thơng làm mật Hãng bảo mật Sophos có cung cấp danh sách 50 mật hay dùng nhất, đứng đầu “123456”, “password”, “qwerty” Đừng dùng từ hay cụm từ hay xuất từ điển hacker sử dụng chương trình cho phép chúng thử tất khoảng thời gian ngắn Cũng đừng nghĩ cách thay kí tự thơng thường có hiệu Như “1” “5” thay cho “i” “s” (pa55word, 1l0vey0u) 4 Dùng 11 kí tự làm mật khẩu, nhiều nghiên cứu cho thấy tối thiểu cần tới 15 Dùng nhiều kí tự ngẫu nhiên tốt Mật nên gồm chữ thường, chữ hoa, số kí tự đặc biệt (dù số trang web khơng cho dùng kí tự đặc biệt) Tạo mật dài phải dễ nhớ, câu ngắn, cụm từ “HoangSaTruongSa” Cách khác dùng câu thật dài, lấy chữ đầu, viết hoa xen lẫn viết thường – “Không có q độc lập tự do” thành “KcGqHdLtD” Thêm ngẫu nhiên chuỗi ghép vào đầu mật Thêm “iO$” “M$” vào ví dụ ta có “iO$HoangSaTruongSa” “KcGqHdLtDM$” Thường xuyên thay đổi mật khơng phải ý hay khó nhớ Cách dễ nhớ thêm thơng tin thời gian vào mật khẩu, tạo thành “0106iO$HoangSaTruongSa” hay “KcGqHdLtDM$0613” – mật đổi ngày 1/6 tháng 6/2013 Sau tiến hành thay đổi định kì, hàng tháng vài tháng lần Nếu bạn có nhiều mật phải nhớ (mà chắn vậy), thử dùng chương trình quản lý mật LastPass RoboForm Các chương trình mã hóa lưu trữ mật bạn an tồn Tất cần nhớ mật trung tâm nhất, đủ mạnh mẽ dễ nhớ để truy cập vào chương trình quản lý 10 Cuối cùng, chắn máy bạn không bị cài phần mềm theo dõi bàn phím (keylogger) nào, khơng tất cơng sức tạo mật khó bạn “đổ sông đổ biển” hết Khi chắn, vào https://www.grc.com/haystack.htm để thử độ khó mật Lưu ý, công cụ kiểm tra độ mạnh mật khẩu, đánh giá độ khó phải dị từng-kí-tự-trong-mật-khẩu Từ “password” cho thấy bị dò trong… năm (nếu dò ngẫu nhiên) chắn từ dị III Yếu tố an tồn hệ thống mật Sự an toàn hệ thống bảo vệ mật phụ thuộc vào nhiều yếu tố Toàn hệ thống phải bảo vệ chống lại virus máy tính, cơng man-inthe-middle, máy quay video sniffers bàn phím, vv Các mật lựa chọn khó cho kẻ cơng để đốn sử dụng phương án cơng tự động có sẵn Ngày nay, hệ thống máy tính cần để ẩn mật họ nhập Mục đích biện pháp để tránh người đọc mật Tuy nhiên, số người cho việc dẫn đến sai lầm căng thẳng, khuyến khích người dùng lựa chọn mật yếu Thay vào đó, người dùng nên có tùy chọn để hiển thị ẩn mật họ loại chúng Dưới số vấn đề quản lý mật cụ thể phải xem xét suy nghĩ, lựa chọn xử lý mật 3.1 Tỷ lệ việc kẻ cơng đốn mật Tỷ lệ mà kẻ cơng nộp đốn mật để hệ thống yếu tố quan trọng việc xác định an ninh hệ thống Một số hệ thống áp đặt thời gian chờ vài giây sau số lượng nhỏ (ví dụ 5) lần nhập mật sai Các hệ thống có hiệu an tồn với mật tương đối đơn giản, chúng lựa chọn tốt khơng dễ đốn Nhiều hệ thống lưu trữ mật mã băm mật Nếu kẻ công truy cập vào tập tin mật băm cơng off-line nhanh chóng đốn mật Trong ví dụ máy chủ web, kẻ cơng trực tuyến đốn tốc độ mà máy chủ trả lời, kẻ công off-line (người giành quyền truy cập vào tập tin) đốn với tốc độ bị giới hạn phần cứng Mật sử dụng để tạo khóa mã hóa (ví dụ, để mã hóa ổ đĩa Wi-Fi bảo mật) bị đoán tỉ lệ cao Danh sách mật thường dùng phổ biến rộng rãi giúp cho việc công mật hiệu An ninh tình phụ thuộc vào việc sử dụng mật passphrase đủ phức tạp Một số hệ thống, chẳng hạn PGP Wi-Fi WPA , áp dụng băm tính tốn chun sâu vào mật để làm chậm công 3.2 Giới hạn số lần đoán mật Một cách giúp hạn chế tốc độ để kẻ cơng dự đốn mật để hạn chế tổng số dự đoán thực Các mật bị vơ hiệu hóa, địi hỏi thiết lập lại, sau số lượng nhỏ lần nhập sai liên tiếp; người dùng yêu cầu thay đổi mật sau số lượng lớn lần nhập sai mật 3.3 Hình thức lưu trữ mật 3.3.1 Dạng lưu trữ mật Một số mật hệ thống máy tính lưu trữ người dùng kiểu rõ Nếu kẻ công truy cập vào nơi lưu trữ mật nội vậy, tất mật tài khoản người dùng, bị tổn hại Nếu số người dùng sử dụng mật cho tài khoản hệ thống khác tổn hại lớn Một hình thức an toàn để lưu trữ mật mã hóa bảo vệ, dù có quyền truy cập nội vào hệ thống việc xác định mật có trở ngại An tồn không lưu trữ tất mật khẩu, mà lưu trữ đa thức, mơ đun, hàm băm Roger Needham phát minh phương pháp lưu trữ "băm" rõ mật Khi user nhập mật hệ thống vậy, mật xử lý thuật toán băm, giá trị băm tạo với giá trị băm lưu trữ sở liệu mật khẩu, người dùng phép truy cập Các giá trị băm tạo cách sử dụng hàm băm mật mã bao gồm mật đệ trình và, giá trị gọi salt Một salt ngăn chặn việc xây dựng danh sách giá trị băm cho mật phổ biến ngăn chặn nỗ lực bẻ mật MD5 SHA1 thường sử dụng với hàm băm mật mã họ khơng khuyến khích cho băm mật trừ chúng sử dụng phần cấu trúc lớn PBKDF2 Các liệu lưu trữ gọi "mật kiểm tra xác nhận" "password hash" thường lưu trữ Modular Crypt Format RFC 2307 định dạng băm, thư mục /etc/passwd thư mục /etc/shadow Các phương pháp lưu trữ cho mật rõ, băm, băm salt, mã hóa ngược Nếu kẻ cơng truy cập vào tập tin mật khẩu, sau lưu trữ dạng văn bản, khơng cần bẻ mật Nếu băm khơng có salt dễ bị bảng cầu vồng cơng Nếu mã hóa ngược kẻ cơng cần có khóa giải mã khơng việc crack Nếu hàm băm mật mã thiết kế tốt, dịch ngược rõ mật Một kẻ cơng sử dụng cơng cụ có sẵn rộng rãi để cố gắng đốn mật Những cơng cụ làm việc cách băm mật dự đoán so sánh với giá trị băm mật thực tế Nếu tìm thấy liên kết tức mật dự đốn mật thực tế có liên quan Cơng cụ bẻ mật hoạt động sức mạnh vũ phu (tức cố gắng kết hợp có ký tự) cách băm từ danh sách; danh sách lớn mật nhiều ngơn ngữ phổ biến rộng rãi Internet Sự tồn công cụ bẻ mật cho phép kẻ cơng để dễ dàng khơi phục mật chọn Đặc biệt, kẻ cơng nhanh chóng khơi phục lại mật ngắn, từ điển, biến thể đơn giản từ điển mà dễ dàng đoán Một phiên sửa đổi thuật toán DES sử dụng làm sở cho thuật toán mật mã băm vào hệ thống UNIX đời đầu Các thuật toán mật mã sử dụng giá trị salt 12-bit để băm người dùng lặp thuật toán DES 25 lần để làm cho chức băm chậm hơn, hai biện pháp nhằm làm thất bại cơng đốn tự động Mật người dùng sử dụng chìa khóa để mã hóa giá trị cố định Gần Unix hệ thống tương tự Unix (ví dụ, Linux) sử dụng thuật tốn mật mã băm an toàn PBKDF2, bcrypt, scrypt có nhiều salt chi phí điều chỉnh số lần lặp lại Một hàm băm bị công với mật mạnh 3.3.2 Tập tin lưu trữ mật hệ điều hành a Tập tin Password Các tập tin /etc/passwd văn dựa sở liệu thơng tin người sử dụng đăng nhập vào hệ thống hay danh tính người dùng hệ điều hành khác có tiến trình chạy Tập tin /etc/passwd thường có quyền tập tin hệ thống cho phép tất người dùng hệ thống dễ dàng đọc (world-readable), sửa đổi tài khoản siêu người dùng cách sử dụng vài lệnh đặc quyền mục đích đặc biệt Các tập tin /etc/passwd tập tin văn với ghi dịng, mơ tả tài khoản người dùng Mỗi ghi bao gồm bảy trường phân cách dấu hai chấm Thứ tự ghi tập tin nói chung khơng quan trọng Ví dụ: jsmith:x:1001:1000:Joe Smith,Room 1007,(234)555-8910,(234)5550044,email:/home/jsmith:/bin/sh Các trường, theo thứ tự từ trái sang phải là: Tên người dùng: chuỗi người dùng nhập vào đăng nhập vào hệ điều hành: LOGNAME phải tập tin Thông tin sử dụng để xác nhận mật người sử dụng; hầu hết nay, trường thường chuyển thành "x" (hoặc "*", hay số kiểu khác) với thông tin mật thực lưu trữ tập tin che mật riêng Trên hệ thống Linux, đặt trường thành dấu ("*") cách phổ biến để vơ hiệu hóa đăng nhập trực tiếp vào tài khoản giữ tên gọi nó, giá trị "*NP*" sử dụng máy chủ NIS để có mật Nếu khơng thực che, trường thường chứa băm mật (kết hợp với muối) Số định danh người dùng, sử dụng hệ điều hành cho mục đích nội Nó khơng cần phải Số định danh nhóm, xác định nhóm người sử dụng; tất tập tin tạo người sử dụng truy cập nhóm Trường Gecos, thích mơ tả người hay tài khoản Thơng thường, tập hợp giá trị bao gồm tên đầy đủ chi tiết liên lạc người dùng ngăn cách dấu phẩy Đường dẫn đến thư mục chủ người dùng Chương trình bắt đầu người dùng đăng nhập vào hệ thống Để tương tác với người sử dụng, thường trình biên dịch lệnh hệ thống b Tập tin Shadow /etc/shadow sử dụng để tăng mức độ bảo mật mật cách hạn chế tất người dùng đặc quyền cao truy cập vào liệu băm mật Thông thường, liệu lưu giữ tập tin superuser sở hữu truy cập Quản trị hệ thống làm giảm khả công bruteforce cách làm cho người dùng đặc quyền không đọc danh sách mật băm Cách rõ ràng để làm điều làm cho sở liệu passwd đọc root Tuy nhiên, điều hạn chế quyền truy cập vào liệu khác hồ sơ ánh xạ username-to-userid, phá vỡ nhiều tiện ích quy định Một giải pháp "che" tập tin mật để giữ mật băm tách biệt với liệu khác tập tin world-readable Đối với tập tin địa phương, thường /etc/shadowtrên hệ thống Linux Unix, /etc/master.passwd hệ thống BSD; loại đọc root (Root phép truy cập vào liệu hệ thống với mơ hình bảo mật truyền thống "all-powerful root", root để có thơng tin theo nhiều cách trường hợp) Gần tất hệ điều hành giống Unix sử dụng “mật bóng” Các tập tin “mật bóng” khơng hồn tồn giải vấn đề cơng mật băm, số chương trình xác thực mạng hoạt động cách truyền mật băm qua mạng (đơi dạng cleartext, ví dụ Telnet), làm cho dễ bị đánh chặn Các liệu hệ thống, chẳng hạn lưu hệ thống viết vào băng phương tiện truyền thơng quang học, trở thành phương tiện bất để có mật băm Ngồi ra, chức sử dụng chương trình kiểm tra mật hợp pháp cần phải viết cho chương trình độc hại khơng thể tiến hành lượng lớn kiểm tra xác thực tốc độ cao Với chương trình che mật sử dụng, / tập tin etc/passwd thường hiển thị ký tự ' *', 'x' trường mật sử dụng thay mật băm, /etc/shadow thường có chứa thơng tin người dùng sau đây: Tên đăng nhập người dùng Muối mật băm giá trị tình trạng ngoại lệ Ngày kể từ lần thay đổi mật cuối Ngày thay đổi mật tiếp Ngày trước yêu cầu thay đổi Ngày cảnh báo hết hạn Ngày tài khoản không hoạt động Ngày tài khoản hết hạn Riêng biệt Các định dạng tập tin shadow đơn giản, giống tập tin password, dòng cho người dùng, trường đặt dòng, phân cách dấu hai chấm Nhiều hệ thống đòi hỏi thứ tự dòng người sử dụng tập tin shadow giống với thứ tự người sử dụng tương ứng tập tin password c Tập tin SAM SAM (Security Account Manager) tập tin sở liệu Windows XP, Windows Vista Windows để lưu mật người dùng Nó sử dụng để xác thực người dùng địa phương từ xa Bắt đầu với Windows 2000 SP4, Active Directory xác thực người dùng từ xa SAM sử dụng biện pháp mã hóa để ngăn chặn người sử dụng bị cấm đạt quyền truy cập vào hệ thống Microsoft lưu mật User file SAM sau: Microsoft dành 14 ký tự cho mật User, 14 ký tự chia làm hai phần, phần ký tự mã hoá với thuật tốn Nếu mật ký tự, ví dụ mật là: abc Windows tiến hành: abc → |ABC_ _ _ _||_ _ _ _ _ _ _| mã hoá phần Vậy với password 123cde Windows mã hoá chuỗi ký tự |123CDE_||_ _ _ _ _ _ _| mã hoá phần (Thiếu ký tự Windows tự thêm dấu “_” vào để đủ ký tự phần 14 ký tự hai phần mã hoá) Cho nên hai mật ký tự có phần thứ hai dấu cách mã hoá – liệu đầu vào giống nhau, thuật toán giống kết giống 3.4 Các phương pháp xác định mật qua mạng 3.4.1 Truyền đơn giản mật Mật dễ bị đánh chặn (tức là, "snooping") truyền tới máy chứng thực người Nếu mật thực tín hiệu điện dây vật lý khơng có bảo đảm điểm truy cập người dùng hệ thống trung tâm kiểm sốt sở liệu mật khẩu, bị snopping phương pháp nghe Nếu chuyển dạng gói tin qua Internet, xem gói tin có chứa thông tin đăng nhập với xác suất bị phát thấp Email sử dụng để phân phối mật phương pháp khơng an toàn Do hầu hết email gửi rõ nên tin nhắn có chứa mật dễ dàng bị đọc trộm gửi Hơn nữa, tin nhắn lưu trữ rõ hai máy tính: người gửi người nhận Nếu qua hệ thống trung gian, lưu trữ chép vào lưu, nhớ cache lịch sử hệ thống Sử dụng mã hóa phía khách hàng bảo vệ đường truyền từ hệ thống máy chủ xử lý mail cho máy client Trước sau email gửi đi, khơng bảo vệ email lưu trữ nhiều máy tính, máy gốc máy tiếp nhận; thường văn rõ rang khơng mã hóa 3.4.2 Lây truyền qua kênh mã hóa Nguy mật gửi qua Internet bị đánh chặn giảm cách sử dụng mật mã bảo vệ Được sử dụng rộng rãi Transport Layer Security (TLS, trước gọi SSL) - tính tích hợp vào trình duyệt Internet Khi TLS sử dụng, hầu hết trình duyệt cảnh báo người dùng cách hiển thị biểu tượng ổ khóa đóng, số dấu hiệu khác 3.4.3 Phương pháp dựa giá trị băm Thật khơng may, có xung đột lưu trữ mật băm chứng thực; client cần chứng minh với server họ biết thơng tin bí mật chia sẻ (ví dụ, mật khẩu) gì, để làm điều này, máy chủ phải biết bí mật từ hình thức lưu trữ Trên nhiều hệ thống (bao gồm hệ thống kiểu Unix) thực chứng thực từ xa, bí mật chia sẻ thường chuyển thành dạng băm bị cơng Ngồi ra, giá trị sử dụng bí mật chia sẻ, kẻ công không cần mật ban đầu để xác thực từ xa mà cần giá trị băm 3.4.4 Chứng minh thơng tin mật Thay truyền mật khẩu, truyền giá trị băm mật khẩu, hệ thống khóa chứng thực mật thực phương pháp chứng minh thông tin mật mà không cần dùng đến mật Phát triển hơn, hệ thống khóa chứng thực mật (ví dụ, AMP , BSpeke , PAK-Z , SRP-6 ) nâng cấp giúp tránh xung đột hạn chế phương pháp băm Một hệ thống nâng cấp cho phép client chứng minh thông tin mật cho máy chủ 3.5 Thủ tục thay đổi mật Thông thường, hệ thống phải cung cấp cách để thay đổi mật client cho mật bị (hoặc bị) cơng, biện pháp phòng ngừa Nếu mật chuyển vào hệ thống dạng không mã hóa tính bảo mật bị trước mật cài đặt sở liệu mật Một số trang chứa danh sách mật để người dùng chọn email xác nhận khơng mã hóa, điều thật nguy hiểm Hệ thống quản lý danh tính sử dụng để tự động hóa việc thay cho mật bị mất, gọi dịch vụ tự thiết lập lại mật Danh tính người dùng xác nhận cách đặt câu hỏi so sánh câu trả lời lưu trước Một số câu hỏi thiết lập lại mật yêu cầu thơng tin cá nhân tìm thấy phương tiện truyền thông xã hội Do vậy, số chuyên gia bảo mật khuyên bạn nên tự tạo câu hỏi cho câu trả lời sai 3.6 Tuổi thọ mật "Mật lão hóa" tính số hệ điều hành mà buộc người dùng thay đổi mật thường xuyên (ví dụ, hàng quý, hàng tháng chí nhiều hơn) Nhiều người có thói quen ghi lại mật để nơi dễ dàng tìm thấy, sử dụng gọi trợ giúp để thiết lập lại mật bị quên Người dùng sử dụng mật đơn giản quy luật theo chủ đề để mật dễ nhớ Vì vấn đề này, có số tranh luận hiệu tính “mật lão hóa” 3.7 Nhiều user dùng mật Từ góc nhìn an ninh, phân chia mật riêng biệt cho người dùng hệ thống thích hợp sử dụng mật riêng lẻ Điều người dùng sẵn sàng để nói với người khác (những người khơng uỷ quyền) mật chia sẻ mật dành riêng cho họ Nhưng mật riêng lẻ thuận tiện để thay đổi cần thơng báo cho nhiều người lúc đó, làm cho việc loại bỏ quyền truy cập người dùng cụ thể khó khăn hơn, ví dụ sau tốt nghiệp từ chức 3.8 Kiến trúc bảo mật mật Kỹ thuật thường sử dụng để cải thiện an ninh hệ thống máy tính bảo vệ mật bao gồm: Không hiển thị mật hình hiển thị nhập che nhập cách sử dụng dấu (*) (•) Cho phép mật có độ dài vừa đủ (Trong số hệ điều hành mở, bao gồm phiên đầu Unix Windows, mật tối đa ký tự) Người sử dụng phải nhập lại mật sau thời gian không hoạt động Thi hành sách mật để tăng sức mạnh tính an ninh mật khẩu, như: Yêu cầu thay đổi mật định kỳ Gán mật chọn ngẫu nhiên Yêu cầu độ dài tối thiểu mật Một số hệ thống địi hỏi có kí tự từ nhóm kí tự khác nhau, ví dụ mật phải có chữ hoa chữ thường Tuy nhiên, nhập mật khẩu, mật gồm chữ thường an toàn mật kết hợp với chữ hoa Sử dụng danh sách đen mật để ngăn chặn việc sử dụng mật yếu, dễ dàng đoán Cung cấp thay cho việc nhập bàn phím (mật nói, mật sinh trắc học) Địi hỏi nhiều hệ thống xác thực, chẳng hạn xác thực hai yếu tố (một người dùng có người biết) Sử dụng đường hầm mã hóa thỏa thuận mật xác thực để ngăn chặn công truy cập vào mật truyền qua mạng Hạn chế số lần nhập sai mật khoảng thời gian định (để ngăn chặn việc đoán mật nhiều lần) Sau đạt giới hạn, việc nhâp mật thất bại (bao gồm việc nhập mật khẩu) bắt đầu giai đoạn Tuy nhiên, điều điểm yếu giúp cho công từ chối dịch vụ Thêm khoảng trễ vào lần nhập thất bại để làm chậm chương trình đốn mật tự động Một số biện pháp thực thi sách nghiêm ngặt gây nguy tránh xa người sử dụng, từ làm giảm tính bảo mật 3.9 Tái sử dụng mật Đó thực tế phổ biến người dùng máy tính tái sử dụng mật nhiều trang web Việc dẫn đến nguy bảo mật đáng kể, kẻ công cần thỏa hiệp trang web để đạt quyền truy cập vào trang web khác nạn nhân sử dụng Vấn đề trầm trọng tái sử dụng tên người dùng, có số trang web yêu cầu đăng nhập email; điều làm cho kẻ công dễ dàng cần theo dõi người dùng nhiều trang web Có thể tránh giảm việc tái sử dụng mật cách sử dụng kỹ thuật ghi nhớ, viết mật giấy, sử dụng trình quản lý mật Vấn đề thảo luận nhà nghiên cứu Redmond Dinei Florencio Cormac Herley, với Paul C van Oorschot Đại học Carleton, Canada, rằng: Tái sử dụng mật tránh khỏi, người dùng nên sử dụng lại mật cho trang web bảo mật thấp (có chứa liệu cá nhân khơng có thơng tin tài chính) thay vào tập trung cố gắng nhớ lâu mật phức tạp cho vài tài khoản quan trọng, chẳng hạn tài khoản ngân hang 3.10 Ghi lại mật giấy Trong lịch sử, nhiều chuyên gia an ninh yêu cầu người ghi nhớ mật mình: "Khơng viết xuống mật khẩu" Gần đây, nhiều chuyên gia bảo mật Bruce Schneier khuyên người sử dụng mật phức tạp để ghi nhớ, viết chúng giấy, giữ chúng ví Phần mềm quản lý mật lưu mật tương đối an tồn tập tin mã hóa gắn vào với mật 3.11 Hai yếu tố xác thực Hai yếu tố xác thực làm cho mật an tồn Ví dụ, xác thực hai yếu tố gửi cho bạn tin nhắn văn bản, e-mail, thông báo thông qua ứng dụng bên thứ ba thực đăng nhập IV Cracking Password Trong phân tích mật mã an ninh máy tính, bẻ mật q trình phục hồi mật từ liệu lưu trữ truyền qua hệ thống máy tính Một phương pháp phổ biến (brute-force) cố gắng đoán mật nhiều lần kiểm tra xem chúng có chống lại giá trị băm mật mã mật hay khơng Mục đích việc bẻ mật để giúp người dùng khôi phục mật bị quên lãng (cài đặt mật hoàn toàn bảo mật liên quan đến quyền Quản trị hệ thống), để đạt quyền truy cập trái phép vào hệ thống, biện pháp phòng ngừa cách quản trị hệ thống kiểm tra mật dễ dàng bị bẻ hay không Trên sở file-by-file, bẻ mật sử dụng để truy cập vào chứng kỹ thuật số mà thẩm phán cho phép việc truy cập tập tin đặc biệt bị hạn chế 4.1 Thời gian cần thiết để bẻ mật Thời gian để crack mật có liên quan đến độ mạnh bit, tức entropy mật khẩu, chi tiết cách lưu trữ mật Hầu hết phương pháp bẻ mật yêu cầu máy tính tạo nhiều mật ứng cử viên kiểm tra chúng Ví dụ brute-force cracking máy tính thử khóa mật thành cơng Phương pháp bẻ mật phổ biến công từ điển, kiểm tra mẫu, danh sách từ thay thế, vv… giúp giảm số lượng thử nghiệm cần thiết thường thử trước phải dùng đến biện pháp mạnh Mật mạnh theo hàm mũ làm tăng số lượng mật ứng cử viên phải kiểm tra, giúp khôi phục mật làm giảm khả mật tìm thấy từ điển crack Khả để crack mật sử dụng chương trình máy tính dựa vào số mật kiểm tra giây Nếu kẻ công biết giá trị băm mật mục tiêu số lớn Nếu khơng, số tùy theo tần suất kiểm tra mật phần mềm xác thực, độ trễ, CAPTCHA, không cho nhập mật sau số lần thất bại Có thể đốn nhanh mật sử dụng để tạo khóa mật mã Trong trường hợp này, kẻ cơng nhanh chóng kiểm tra để xem mật thử giải mã thành cơng liệu mã hóa Đối với số loại giá trị băm mật khẩu, máy tính để bàn thử nghiệm trăm triệu mật giây sử dụng công cụ bẻ mật chạy CPU hàng tỷ mật giây sử dụng công cụ bẻ mật GPU Tỷ lệ đoán mật phụ thuộc nhiều vào hàm mã hóa hệ thống sử dụng để tạo giá trị băm mật Một hàm băm mật thích hợp, chẳng hạn bcrypt, số mũ lũy thừa 10, tốt hàm đơn giản MD5 SHA Một mật tám ký tự gồm với số, chữ thường, hoa biểu tượng ước tính mạnh đến 30 bit bị bẻ sau vài giây sử dụng hàm băm đơn giản Khi máy tính để bàn thơng thường kết hợp nỗ lực crack, thực với botnet, khả bẻ mật mở rộng đáng kể Năm 2002, distributed.net tìm thành cơng khóa RC5 64-bit bốn năm, sử dụng 300.000 máy tính khác nhiều lần, tạo trung bình 12 tỷ khóa giây Bộ xử lý đồ họa tăng tốc độ bẻ mật 50 đến 100 máy tính Tính đến năm 2011, sản phẩm thương mại khẳng định thử nghiệm đến 2800000000 mật giây máy tính để bàn tiêu chuẩn sử dụng xử lý đồ họa cao cấp Một thiết bị crack mật có 10 chữ ngày Lưu ý cơng việc phân phối nhiều máy tính để tốc độ tăng thêm tỷ lệ với số lượng máy tính có GPU tương thích với Tuy nhiên, CPU máy tính để bàn chậm so với máy thiết kế nhằm mục đích bẻ mật Trong năm 1998, Electronic Frontier Foundation (EFF) xây dựng máy bẻ mật chuyên dụng sử dụng ASICs tên Deep Crack Nó phá vỡ khóa DES 56-bit 56 giờ, thử 90 tỷ khóa giây Năm 2010, Viện Nghiên cứu Công nghệ Georgia phát triển phương pháp sử dụng GPGPU để bẻ mật có độ dài tối thiểu 12 ký tự 4.2 Phòng ngừa Phương pháp tốt để ngăn mật không bị bẻ để đảm bảo kẻ công khơng thể truy cập đến mật băm Ví dụ, hệ điều hành Unix, mật băm ban đầu lưu trữ tập tin truy cập công khai /etc/passwd Trên hệ thống Unix đại, chúng lưu trữ tập tin /etc/shadow truy cập vào chương trình chạy với quyền nâng cao (tức "hệ thống" đặc quyền) Điều làm cho người dùng nguy hiểm khó khăn để có mật băm Thật không may, nhiều giao thức mạng phổ biến truyền mật dạng cleartext sử dụng chương trình thách thức / phản hồi yếu Hệ thống Unix đại thay hàm băm truyền thống crypt() dựa DES phương pháp mạnh bcrypt scrypt Các hệ thống khác bắt đầu áp dụng phương pháp Ví dụ, Cisco IOS ban đầu dịch ngược mã Vigenère để mã hóa mật khẩu, sử dụng md5-crypt với muối 24-bit lệnh bí mật sử dụng Những phương pháp sử dụng giá trị muối lớn để ngăn chặn công nhiều tài khoản người dùng lúc Các thuật toán chậm nhiều để làm tăng đáng kể thời gian cần thiết để công thành công Nhiều hàm băm sử dụng để lưu trữ mật khẩu, chẳng hạn MD5 nhóm SHA, thiết kế để tính tốn nhanh chóng thực hiệu phần cứng Do vậy, chúng khơng có hiệu việc ngăn chặn bẻ mật khẩu, đặc biệt với phương pháp bảng cầu vồng Sử dụng thuật tốn kéo dài khóa, chẳng hạn PBKDF2, để tạo thành mật băm giảm đáng kể tỉ lệ thử mật Những giải pháp thẻ bảo mật liên tục thay đổi mật Những giải pháp đột ngột giảm thời hạn công cưỡng chế (kiểu công phá vỡ sử dụng mật mà khơng cần thay đổi nó) làm giảm giá trị mật bị đánh cắp có giá trị thời gian ngắn 4.3 Phần mềm Có nhiều cơng cụ phần mềm bẻ mật khẩu, phổ biến Aircrack, Cain Abel, John the Ripper, Hashcat, Hydra, Dave Grohl ElcomSoft Nhiều phần mềm hỗ trợ tranh chấp có chức bẻ mật Hầu hết hiệu gói sử dụng hỗn hợp chiến lược crack, thuật tốn mạnh cơng từ điển Những tin tặc thiếu kinh nghiệm hoạt động nhờ lực ngày tăng máy tính phần mềm tự động bẻ mật thông thường V Giải pháp thay mật xác thực Việc sử dụng mật thường trú bán kiên cố bị tổn hại thúc đẩy việc phát triển kỹ thuật khác như: Mật dùng lần Mật có giá trị sử dụng lần làm cho nhiều công hiệu Hầu hết người dùng thấy mật sử dụng lần vô bất tiện Tuy nhiên, mật dùng lần triển khai rộng rãi giao dịch ngân hàng trực tuyến Vì hầu hết người dùng thực số lượng nhỏ giao dịch tuần, nên bất tiện ẫn chấp nhận Mật lần đồng thời gian Tương tự mật lần, hiển thị thời gian ngắn thay đổi liên tục Mật lần PassWindow Được sử dụng mật sử dụng nhất, kí tự đọc người sử dụng thêm vào khóa hình ảnh qua thử thách hình ảnh sever tạo hiển thị hình người dùng Mật mã khóa cơng khai Điều khiển truy cập dựa mật mã khóa cơng khai ví dụ ssh Các khóa lớn để ghi nhớ phải lưu trữ máy tính địa phương, thẻ bảo mật nhớ di động thiết bị, chẳng hạn ổ đĩa flash USB đĩa mềm Sinh trắc học Phương pháp xác thực dựa đặc điểm cá nhân không thay đổi, có tỷ lệ lỗi cao địi hỏi phần cứng nâng cấp để quét, ví dụ như: dấu vân tay, tròng mắt, vv… Những đặc điểm dễ dàng bị giả mạo, đặc điểm bất di bất dịch, nên khơng thay đổi bị tổn hại Công nghệ đăng nhập lần Giúp loại bỏ việc phải có nhiều mật Giải pháp không làm ảnh hưởng tới người sử dụng quản trị việc lựa chọn mật hợp lý;; người thiết kế hệ thống quản trị hay người quản trị việc đảm bảo thơng tin kiểm sốt truy cập an tồn Cơng nghệ Envaulting Đây cách quản lý mật miễn phí để bảo vệ liệu thiết bị lưu trữ di động ổ đĩa flash USB Thay sử dụng mật khẩu, việc kiểm soát truy cập dựa việc người dùng truy cập đến tài nguyên mạng Password khơng có dạng văn Ví dụ mật đồ họa di chuyển chuột Mật phương tiện xác thực cho log-in, dự định sử dụng thay cho mật thông thường Chúng sử dụng hình ảnh , đồ họa màu sắc thay chữ , chữ số ký tự đặc biệt Một hệ thống yêu cầu người dùng chọn loạt gương mặt mật Thực tế, người dùng phải chọn loạt hình ảnh theo trình tự xác để truy cập Giải pháp mật đồ họa tạo mật sử dụng lần cách sử dụng mạng lưới hình ảnh ngẫu Mỗi người dùng yêu cầu phải xác thực, họ tìm kiếm hình ảnh phù hợp với loại mà họ chọn trước nhập ký tự chữ số tạo ngẫu nhiên xuất hình ảnh để tạo mật lần Cho đến nay, mật đồ họa đầy hứa hẹn, không sử dụng rộng rãi Các nghiên cứu đề tài thực để xác định khả sử dụng giới thực Trong số người tin mật đồ họa khó khăn để crack có người cho khả chọn hình ảnh trình tự phổ biến dạng mật phổ biến 2D (2-Dimensional Key) Đây phương pháp mà đầu vào dạng ma trận 2D khóa, khóa cụm từ mật đa dạng, chữ, biểu tượng ASCII / Unicode, với phiên âm tùy chọn, để tạo lớn mật / khóa lớn 128 bit để nhận MePKC (Mã hóa cơng khai dễ nhớ) sử dụng khóa nhớ với cơng nghệ quản lý khóa riêng mã hóa khóa, tách khóa, đổi chỗ khóa Mật nhận thức Sử dụng cặp câu hỏi câu trả lời để xác minh danh tính VI The Password is dead "Mật chết" ý tưởng tái diễn bảo mật máy tính Nó thường kèm với lập luận việc thay mật phương tiện an toàn để xác thực cần thiết xảy Tuyên bố thực nhiều người từ năm 2004 Đáng ý, Hội nghị RSA 2004 dự đoán sụp đổ mật Bill Gates phát biểu "Chúng không đáp ứng thách thức điều bạn muốn bảo vệ." Năm 2011 IBM dự đoán rằng, thời hạn năm năm, "Bạn không cần mật lần nữa." Matt Honan, nhà báo, người nạn nhân vụ hack, năm 2012 viết "Thời mật đến kết thúc.” Heather Adkins, quản lý an ninh thơng tin Google, vào năm 2013 nói rằng: “các mật giải Google.” Eric Grosse, VP kỹ thuật an ninh Google, nói rằng" mật thẻ đơn giản, chẳng hạn tập tin cookie, khơng cịn đủ để giữ cho người sử dụng an toàn." Christopher Mims, viết Wall Street Journal cho biết mật “cuối chết” dự đoán thay họ cách dựa thiết bị xác thực Những tuyên bố "mật chết" thường nêu người có chủ trương thay cho mật khẩu, sinh trắc học, xác thực hai yếu tố đăng nhập lần Nhiều sáng kiến đưa với mục tiêu rõ ràng để loại bỏ mật Chúng bao gồm Microsoft 's CardSpace, dự án Higgins, liên minh Liberty, NSTIC, FIDO 2.0 Jeremy Grant, người đứng đầu NSTIC, tuyên bố "Mật thảm họa từ góc độ an ninh, muốn bắn chúng chết.” Bất chấp dự đoán nỗ lực để thay mật khẩu, xuất hình thức chi phối việc xác thực web Trong "The Persistence of Passwords," Cormac Herley Paul van Oorschot giả định “mật chết” khơng xác lập luận rằng: khơng có cơng nghệ khác phù hợp chi phí, tính tức thuận tiện mật VII Hệ thống mật trang web Mật sử dụng trang web để xác thực người dùng thường trì máy chủ web, có nghĩa trình duyệt hệ thống từ xa gửi mật cho máy chủ (bằng HTTP POST), server kiểm tra mật gửi lại nội dung có liên quan (hoặc tin nhắn từ chối truy cập) Quá trình loại bỏ khả kỹ thuật đảo ngược mã sử dụng để xác thực mật không nằm máy cục Đường truyền mật khẩu, thông qua trình duyệt, dạng rõ bị chặn hành trình đến máy chủ Nhiều hệ thống xác thực trang web sử dụng SSL để thiết lập phiên mã hóa trình duyệt máy chủ nhằm có “trang web an tồn” Điều thực tự động trình duyệt làm tăng tính tồn vẹn phiên B DEMO ... trúc bảo mật mật Kỹ thuật thường sử dụng để cải thiện an ninh hệ thống máy tính bảo vệ mật bao gồm: Không hiển thị mật hình hiển thị nhập che nhập cách sử dụng dấu (*) (•) Cho phép mật có... truyền mật khẩu, truyền giá trị băm mật khẩu, hệ thống khóa chứng thực mật thực phương pháp chứng minh thơng tin mật mà không cần dùng đến mật Phát triển hơn, hệ thống khóa chứng thực mật (ví... từng-kí-tự-trong -mật- khẩu Từ ? ?password? ?? cho thấy bị dị trong… năm (nếu dò ngẫu nhiên) chắn từ dò III Yếu tố an toàn hệ thống mật Sự an toàn hệ thống bảo vệ mật phụ thuộc vào nhiều yếu tố Toàn hệ thống phải bảo