dùng. Trong một kịch bản như ngân hàng, người dùng luôn nỗ lực để ngăn chặn các truy cập bất hợp pháp vì đảm bảo lợi ít cho bản thân nên mô hình này có thể hiệu quả. Tuy nhiên, do tính chất của các kỳ thi trực tuyến, sinh viên có thể chia sẻ thông tin đăng nhập của mình với bên thứ ba nhằm mục đích đạt điểm cao.
Như trong nghiên cứu của Jiang [5], mật khẩu có entropy thấp rất dễ bị tấn công theo phương pháp tấn công từ điển. Do đó, các bài kiểm tra trực tuyến dựa trên ID/Mật khẩu người dùng là dễ bị thông đồng và tấn công.
Xác thực dựa trên mật khẩu đồ họa (Graphical Password Authentication) là một hệ thống xác thực hoạt động bằng cách người dùng chọn từ hình ảnh, theo một thứ tự cụ thể, được trình bày trong giao diện đồ họa người dùng. Mật khẩu đồ họa cung cấp một sự thay thế đầy hứa hẹn cho mật khẩu chữ và số truyền thống.
Phương pháp này trở nên đầy hứa hẹn vì thông thường mọi người nhớ hình ảnh tốt hơn so với từ ngữ [6]. Trong nghiên cứu của mình, Gurav và cộng sự [7] đã đề xuất phương pháp xác thực bằng cách sử dụng mật khẩu đồ họa cho hệ thống đám mây. Ngoài ra, Bijoy và cộng sự [8] cũng đã đề xuất mô hình xác thực mật khẩu đồ họa để phân tích người dùng hợp pháp trong mạng xã hội trực tuyến và kho lưu trữ hình ảnh xã hội an toàn với siêu dữ liệu.
W. Jansen [9] đã đề xuất cơ chế mật khẩu đồ họa cho thiết bị di động.
Trong giai đoạn đăng ký, người dùng được yêu cầu chọn chủ đề bao gồm hình thu nhỏ và sau đó đăng ký một chuỗi hình ảnh làm mật khẩu. Trong suốt quá trình xác thực, người dùng phải nhập các hình ảnh đã đăng ký theo đúng trình tự. Điểm yếu của kỹ thuật này là do số lượng hình ảnh thu nhỏ bị giới hạn ở mức 30, nên không gian mật khẩu rất nhỏ. Mỗi hình ảnh thu nhỏ được gán với một giá trị số và tiến trình lựa chọn sẽ tạo ra một mật khẩu số bên dưới. Kết quả mô tả rằng độ dài chuỗi hình ảnh thường ngắn hơn độ dài mật khẩu văn bản.
Bên cạnh đó, trong nghiên cứu của Ziran Zheng và cộng sự [10] đánh giá rằng các lược đồ mật khẩu đồ họa đã được coi là lựa chọn thay thế cho mật khẩu văn bản, nhưng nó có một số nhược điểm đối với các cuộc tấn công shoulder-surfing và guessing attacks vì người dùng thao tác thẳng trên màn hình nhập.
Xác thực bằng câu hỏi thử thách là một trong những phương pháp thuộc nhóm phương pháp xác thực dựa trên kiến thức người dùng. Mô hình này thường được sử dụng trong lĩnh vực ngân hàng [11] để xác thực và các nhà cung cấp dịch
2.1. Xác thực dựa trên kiến thức của người dùng
vụ email để phục hồi thông tin định danh [12].
Hình 2.1: Giao thức xác thực phản hồi thử thách 1
Hình 2.1 mô tả giao thức của mô hình xác thực phản hồi thử thách. Cụ thể như sau:
1. Người dùng mở một ứng dụng cần đăng nhập, sau đó cung cấp tên tài khoản và mật khẩu.
2. Ứng dụng tính toán một giá trị băm của mật khẩu.
3. Hủy mật khẩu thực tế.
4. Ứng dụng sẽ gửi tên tài khoản của người dùng lên máy chủ.
5. Máy chủ sẽ tạo ra một số ngẫu nhiên 16 byte được gọi là một thử thách.
6. Gửi thử thách cho ứng dụng khách.
1Nipuna Dilhara. Challenge Response Authentication Protocol, 2018.
2.1. Xác thực dựa trên kiến thức của người dùng
7. Ứng dụng nhận được thử thách và mã hóa nó bằng cách sử dụng giá trị băm của mật khẩu.
8. Ứng dụng sẽ gửi kết quả mã hóa thử thách đến máy chủ.
9. Máy chủ sử dụng tên tài khoản đã nhận trước đó để truy xuất giá trị băm của mật khẩu của người dùng từ cơ sở dữ liệu.
10. Máy chủ mã hóa thách thức ban đầu bằng cách sử dụng hàm băm mật khẩu.
11. Máy chủ so sánh thử thách được mã hóa với phản hồi được tính toán từ ứng dụng máy khách.
12. Nếu chúng tương tự nhau thì xác thực hợp lệ.
Bên cạnh những ưu điểm như dễ phát triển, không yêu cầu các thiết bị phần cứng chuyên dụng, dễ sử dụng và thân thiện với người dùng. Nhóm phương pháp xác thực dựa trên kiến thức người dùng vẫn tồn đọng những nhược điểm về bảo mật và quyền riêng tư dữ liệu. Cụ thể, trong công trình nghiên cứu của mình Farnaz Towhidi và cộng sự [13] đã chỉ ra những phương pháp tấn công phổ biến đối với nhóm phương pháp KBA như:
• Password Brute Force:
– Dictionary Based Password Attack: là một kỹ thuật dùng từ điển để tấn công mục tiêu bằng cách thử tất cả các từ trong một danh sách dài gọi là từ điển. Dictionary Attack có nhiều khả năng thành công, thường xuất phát từ một danh sách các từ ví dụ như một từ điển. Nói chung, thành công của Dictionary Attack chủ yếu do nhiều người dùng có xu hướng chọn mật khẩu ngắn, những từ đơn tìm thấy trong từ điển, những từ đơn giản, dễ dự đoán các biến thể trên từ như viết hoa một chữ, hay thêm vào một chữ số.
– Rainbow Table Password Attack: Rainbow Table là một danh sách chứa các giá trị băm có số lượng mật khẩu ứng với số lượng ký tự nào đó. Sử dụng Rainbow Table, kẻ tấn công có thể lấy một cách đơn giản giá trị băm được trích rút từ máy tính mục tiêu và thực hiện một tìm kiếm.
Khi giá trị băm được tìm thấy trong bảng, kẻ tấn công sẽ có mật khẩu.
2.1. Xác thực dựa trên kiến thức của người dùng
• Sniffing Attack: sử dụng điểm yếu được tìm thấy trong thiết kế ứng dụng để tiết lộ nhiều thông tin hơn cho kẻ xâm nhập so với những gì hệ thống dự định thể hiện bằng cách sử dụng sniffer để giám sát và nghe lén dữ liệu đầu vào hoặc đầu ra.
• Spoofing Attack:
– Man in the Middle Attack: kẻ tấn công sử dụng phương thức giả mạo bằng cách ngồi giữa máy khách và máy chủ và bắt đầu thu thập các gói tin hoặc thậm chí thay đổi tin nhắn từ bên thứ nhất và gửi tin nhắn đã thay đổi cho bên thứ hai, vì vậy mặc dù hai bên nghĩ rằng họ đang nói chuyện trực tiếp với nhau, nhưng thực tế những kẻ tấn công đang thực sự kiểm soát tất cả các cuộc trò chuyện mà không có bất kỳ dấu hiệu nào.
– Phishing Attack: kẻ tấn công gửi một trang đăng nhập giả mạo tới nạn nhân. Trang đăng nhập giả mạo này kẻ tấn công tạo ra hoặc tải xuống từ Internet và tải lên tới các hosting sites. Kẻ tấn công sẽ gửi trang đăng nhập thông qua email, chat, v.v. Khi nạn nhân đăng nhập với username/password, nạn nhân sẽ được chuyển đến trang đăng nhập thật và kẻ tấn công sẽ lấy được thông tin đăng nhập.
• Social Engineering Attack: một kẻ tấn công lợi dụng lòng tin của con người để thu thập thông tin về họ. Ví dụ, nếu kẻ tấn công đang cố gắng lấy mật khẩu từ một người đồng nghiệp của họ, kẻ tấn công có thể gọi điện cho đồng nghiệp và giả vờ là nhân viên trong phòng IT.
• Physical Security Attack: Trong trường hợp tấn công vật lý bằng mật khẩu văn bản hoặc thậm chí là mật khẩu đồ họa, kẻ tấn công có thể đánh cắp cơ sở dữ liệu mật khẩu hoặc hồ sơ người dùng từ máy chủ và khởi chạy các cuộc tấn công ngoại tuyến chống lại nó. Chẳng hạn, trong danh mục nhận dạng, mật khẩu hình ảnh của người dùng được lưu trữ trong cơ sở dữ liệu, vì vậy bất kỳ ai có quyền truy cập vào ngân hàng mật khẩu đều có thể truy xuất thông tin xác thực.
• Shoulder Surfing Attack: Phương pháp này không cần việc sử dụng của các kiến thức về hacking. Kẻ tấn công sẽ cố gắng nhìn qua vai của người dùng khi họ nhập mật khẩu.