III. XÁC THỰC CÁC GIAO THỨC ĐỂ BẢO MẬT MẠNG WLAN
4. Phương thức xác thực yêu cầu mật khẩu
Mặc dù phương thức xác thực bằng mật khẩu có nhiều thuận tiện hơn phương thức xác thực bằng phần cứng nhưng chúng vẫn có khả năng bị tấn công.Chúng bị tấn công dựa trên bảng từ điển còn lưu lại, ở đây kẻ tấn công có thể lựa chọn ngẫu nhiên từ bảng từ điển đã lấy được các mật khẩu có thể .
a) LEAP và Cisco CCX
LEAP là giao thức xác thực mở rộng dựa trên việc xác thực lẫn nhau, có nghĩa là cả người dùng và điểm truy cập đều phải xác thực trước khi truy cập mạng. Việc xác thực lẫn nhau nhằm mục đích chống lại sự truy cập trái phép vào mạng Cisco LEAP dựa trên cơ sở tên và
mật khẩu. Cisco CCX (Chương trình mở rộng tương thích của Cisco) sự chắc chắn giữa cơ sở hại tầng mạng không dây Cisco Aironet và các thiết bị người dùng từ công ty thứ ba. Điều này tạo sự thuận lợi cho việc vận hành bảo dưỡng các thiết bị
Cisco và các giao thức bao gồm cả LEAP.
b) LEAP
Với Cisco’s LEAP, khoá bảo mật thay đổi động tuỳ theo phiên làm việc nhằm mục đích hạn chế việc lựa chọn gói tin để giải mã từ bên ngoài. Khi một khoá mới được phát ra thông qua LEAP sử dụng sự chia sẻ bí mật giữa người sử dụng và điểm truy cập. Bởi vì LEAP là giao thức của Cisco nên nó chỉ được sử dụng cho điểm truy cập của Cisco. LEAP cũng thêm một mức bảo mật khác cho mạng thông qua việc xác thực các kết nối trên toàn mạng trước khi cho phép các gói tin đến các thiết bị không dây. Việc thay đổi cặp khoá bí mật và xác thực người sử dụng cho phép tăng tính bảo mật cho dữ liệu không dây.
c) Phương thức xác thực mật khẩu cao
Trên cơ sở giá cả và sự bất tiện trong việc xác thực dựa trên phần cứng, các chuyên gia bảo mật đã phát triển một họ các phương thức bảo mật dựa trên mật khẩu. Chúng ta sẽ sử dụng phương thức mật khẩu cao khi đề cập tới họ phương thức này.
Lợi ích cơ bản của phương thức này đó là hai bên có thể cung cấp cho nhau các vấn đề bảo mật mà không sợ bên thứ ba can thiệp vào. Phương thức này đạt được tính xác thực cao thông qua mật khẩu ngắn gọn và dễ nhớ.
Vấn đề cơ bản của phương thức này đó là sự trao đổi khoá Diffie- Hellman. Một khoá Diffie-Hellman cho phép hai bên tạo ra các khoá mã hoá cho phép người quan sát có thể xem toàn bộ phiên giao dịch nhưng không thể học theo. Trao đổi khoá Diffie-Hellman đặt giữa web và người dùng trực tuyến ví dụ để mã hoá thông tin cá nhân như số card. Nếu khách hàng và người buôn bán không bao giờ hoàn thành công việc trước đó thì họ sẽ đồng ý mã hoá khoá để người thứ ba không thể can thiệp vào để tìm kiếm thông tin.
d) Tiềm năng của SPEKE
Phương thức SPEKE sử dụng một chuỗi bản tin ngẫu nhiên để trao đổi thông tin giữa các thiết bị. Các phần của SPEKE thực hiện tính toán các bản tin, rồi sau đó xác định mật khẩu cho các thiết bị. Khi mật khẩu hợp lệ, SPEKE sẽ dùng các mật khẩu chia sẻ giữa các thiết bị.
Với người thứ ba, bản tin SPEKE sẽ giống như một số ngẫu nhiên và không thể xác định được mật khẩu là gì. Đặc tính nổi trội thêm vào của SPEKE là việc xác định khoá nhờ tính toán từ khoá công cộng. Do vậy sẽ không cần bất kỳ khoá công cộng, khoá cá nhân sống trong một thời gian dài. SPEKE sử dụng phương thức xác thực chuỗi các ký hiệu 0 (ZKPP) để truyền mật khẩu điều này bảo vệ thông tin khỏi sự truy cập trái phép nếu không sử dụng đúng giao thức.
Bởi vì, SPEKE tạo ra mật khẩu dựa trên quyền xác thực cao và an toàn hơn. Với SPEKE, thậm chí mật khẩu ngắn cũng bảo vệ khỏi sự tấn công. Đặc tính bảo mật của SPEKE bao gồm:
• Cao hơn, không giới hạn chiều dài khoá • Bảo vệ khỏi sự tấn công off-line
• Người dùng và máy chủ có sự xác thực đồng thời • Không yêu cầu thêm về cơ sở hạ tầng cho bảo mật
• Không yêu cầu xác nhận về văn bản giữa người dùng và nhà quản trị mạng
• Hoàn toàn sử dụng mật mã cho mật khẩu chiều dài nhỏ