MỤC LỤC
I.SƠ LƯỢC VỀ VẤN ĐỀ XÁC THỰC: . 3
A.XÁC THỰC BẰNG USERNAME VÀ PASSWORD . 3
1.HTTP Authentications . 3
2.Kết hợp với phương thức xác thực NTLM của Windows . 4
3.Negotiate Authentication – Thỏa thuận xác thực . 5
B.XÁC THỰC DỰA VÀO SMARTCARD VÀ CERTIFICATE . 6
1. Xác thực dựa vào Certificate . 6
2.Xác thực dựa vào Forms . 7
3.Xác thực dựa vào RSA Secure Token . 8
C.XÁC THỰC DỰA VÀO SINH TRẮC HỌC . 9
II. PASSWORD VÀ VẤN ĐỀ CRACKING PASSWORD: . 10
VẬY PASSWORD LÀ GÌ? . 10
TẠI SAO PASSWORD LẠI CẦN THIẾT? . 10
CÁC HIỂM HỌA ĐẾN TỪ PASSWORD . 10
NHỮNG NGUY HIỂM KHI PASSWORD BỊ LỘ . 11
TẤN CÔNG PASSWORD LÀ GÌ? . 11
1. TẤN CÔNG BRUTEFORCE . 14
a. Trên máy Local . 15
b. Tấn công máy từ xa. . 19
2.TÌM PASSWORD BẰNG PHƢƠNG PHÁP GIẢI MÃ COOKIES . 20
III. PASSWORD VÀ VẤN ĐỀ BẢO MẬT PASSWORD: . 21
1.ĐỘ MẠNH YẾU CỦA PASSWORD . 21
a.Thế nào là password yếu? . 21
b.Thế nào là password mạnh . 23
2.LÀM THẾ NÀO ĐỂ CÓ MỘT PASSWORD MẠNH? . 26
3.NHỮNG KHUYẾN CÁO KHI ĐẶT PASSWORD . 26
4.MỘT SỐ THUẬT TOÁN ĐÁNH GIÁ PASSWORD . 27
a.KeePass . 27
b.Mozilla . 28
c.PGP . 29
32 trang |
Chia sẻ: maiphuongdc | Lượt xem: 4150 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Tìm hiểu về password và các vấn đề liên quan, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
của riêng bạn và các dữ liệu các nhân của
bạn, những tài liệu này là các dữ liệu nhạy cảm và không muốn
công khai.
Các hiểm họa đến từ password:
o Trong khi phần lớn các tổ chức và 99% ngƣời dùng tại gia vẫn phụ
thuộc vào passwords nhƣ là một hình thức nhận dạng cơ bản đối
với các dữ liệu nhạy cảm và riêng tƣ, thì các mạng có cơ chế bảo
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
11
mật thấp vô hình chung tạo ra các lỗ hổng cho hacker tiếp cận tài
nguyên của công ty và tài sản ngƣời dùng.
o Mặc dù passwords là phƣơng tiện cần thiết, thân thiện với ngƣời
dùng nhất để nhận dạng ngƣời dùng khi tiếp cận mạng hoặc cơ sở
dữ liệu của họ, nhƣng sự thật ngƣời dùng rất lơ là với những yêu
cầu là họ cần thay đổi password, cần tạo ra một password có tính
bảo mật và làm theo những chỉ dẫn để giữ nó càng bí mật càng tốt.
Kết quả là một số lƣợng lớn các password có thể dò đƣợc, các
passwords giống nhau trên nhiều hệ thống, và ngƣời dùng phải ghi
chú để đăng nhập gồm password và cả tên đăng nhập.
Những nguy hiểm khi password bi lộ:
o Identity theft (trộm thông tin nhận dạng): identity theft xảy ra khi
dữ liệu tài khoản của bạn bị một ngƣời nào khác sử dụng. Điều này
đƣa đến những tổn hại về tài chính, cũng nhƣ là tổn hại cá nhân
(dùng tài khoản của bạn để rút tiền, v.v….)
o Sensitive data exposure (lộ dữ liệu nhạy cảm): nội dung của thƣ
điện tử , các dự án, tài liệu, ảnh bị phơi bày trƣớc các hacker, hay
các cá nhân nhắm đến bạn với mục đích xấu.
o Company data exposure (lộ dữ liệu công ty): các hoạt động gián
điệp lấy các thông tin nhạy cảm nội bộ thông qua dữ liệu tài khoản
đƣợc duy trì và giữ gìn thiếu cẩn thận dẫn đến sự ảnh hƣởng vô
cùng to lớn đến công ty bạn đang làm việc.
o Sử dụng cho các hoạt động tội phạm: tài khoản của bạn sẽ bị sử
dụng cho mục đích tội phạm nếu không giữ nó cẩn thận. Đừng
quên rằng dấu vết sẽ lần lại tài khoản của bạn và do đó bạn không
tránh khỏi liên quan.
Vậy tấn công password là gi?
Tấn công password là ta tìm cách có được password của môt
userID nào đó để xâm nhập vào hệ thống của họ.
Một password có thể bị tấn công với rất nhiều hình thức khác nhau:
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
12
o Lỗ hổng bảo mật vật lý: một lỗ hổng vật lý của máy tính sẽ hoàn toàn
bị khai thác ngay cả khi phƣơng pháp nhận dạng phức tạp nhất,
phƣơng pháp mã hóa bảo mật nhất. Ví dụ: một chƣơng trình theo dõi
các thao tác trên bàn phím (keylogger), cả phần mềm lẫn phần cứng
đƣợc cài đặt,khóa của bạn sẽ bị lộ, do đó mọi dữ liệu mã hóa và tài
khoản bị tổn hại. Bất chấp password của bạn dài và bảo mật đến đâu
thì lỗ hổng bảo mật vật lí là một trong những trƣờng hơp nguy hiểm
nhất.
o Packet sniffers: bắt mật khẩu trên môi trƣờng không mã hóa tốt, đặt
biệt trong môi trƣờng mạng Lan khi các máy ra Net bắt buộc phải đi
ra default gateway. Các hệ thống truyền đạt thông tin qua mạng đôi
khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập
vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền
qua.Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến
sniffing hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ
thống nhƣ một packet chứa password và username của một ai đó. Các
chƣơng trình nghe trộm còn đƣợc gọi là các sniffing. Các sniffing này
có nhiệm vụ lắng nghe các cổng của một hệ thống mà hacker muốn
nghe trộm. Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về cho
hacker.
o Trojan horse programs: xuất hiện nhƣ dạng link trên các trang web
làm chi ngƣời dùng tin tƣởng click vào, bắt cài activex khi ngƣời dùng
muốn logon vào một trang web, trong các phần mềm cài đặt,
email…Sau khi Trojan đã về máy ngƣời dùng thì nó có thể lấy
password khi ngƣời dùng nhập và gửi về khổ chủ.
o Tấn công dùng Cookies :Cookie là những phần tử dữ liệu nhỏ có cấu
trúc đƣợc chia sẻ giữa website và trình duyệt của ngƣời dùng.
Cookies đƣợc lƣu trữ dƣới những file dữ liệu nhỏ dạng text (size dƣới
4KB). Chúng đƣợc các site tạo ra để lƣu trữ, truy tìm, nhận biết các
thông tin về ngƣời dùng đã ghé thăm site và những vùng mà họ đi qua
trong site. Những thông tin này có thể bao gồm tên, định danh ngƣời
dùng, mật khẩu, sở thích, thói quen, …Cookies đƣợc Browser của
ngƣời dùng chấp nhận lƣu trên đĩa cứng của máy tính, không phải
Browser nào cũng hổ trợ cookies.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
13
o Bẻ khóa: có hai phƣơng pháp là bẻ khóa bằng tay và bẻ khóa tự động
Bẻ khóa bằng tay: sử dụng một userID hợp lệ ( hacker có thể dễ
dàng tìm đƣợc bằng cách sử dụng war dailer ), dự đoán mật
khẩu mà user đó có thể sử dụng. Sau đó thử từng mật khẩu đó
cho đến khi thành công.
Bẻ khóa tự động: tìm file mã hóa password, sau đó tiến hành
giải mã để có đƣợc file password dạng plantext.
Để tìm hiểu về vấn đề này, trước hết ta phải tìm hiểu về cơ chế mã hóa và
xác nhận password.
Mã hóa password: hiện nay, đa số password đƣợc “ băm” một chiều
bằng các hàm băm ví dụ nhƣ SHA hoặc MD5. Do dó trên các ứng
dụng tốt, password chỉ đƣợc lƣu dƣới dạng chuổi kí tự đã đƣợc băm
chứ không bao giờ đƣợc lƣu dƣới dạng plaintext.
Xác nhận password: Giả sử user A có password là a, password này
đƣợc application "hash" nó thành
0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user
A login và dùng password a để đăng nhập, application sẽ hash a và so
sánh giá trị vừa hash xong với giá trị đã lƣu trong CSDL. Nếu chúng
trùng nhau, user A đƣợc vào.
Khi các hệ thống bi nhân nhƣợng, các hacker chỉ có thể có đƣợc file mã hóa
password, không thể có đƣợc file password dạng plaintext, do đặc tính một
chiều của hàm băm, các hacker muốn có đƣợc password dang plaintext chỉ
có thể “ brute – force” nó.
Brute-force attack:
Dạng từ điển:
Tấn công từ điển là tạo ra một file chứa hầu hết các từ có nghĩa
trong từ điển, sau đó băm ra và so sánh với mật khẩu ngƣời
dùng, sử dụng nó để đoán ra password của user. Trên thực tế
các users thƣờng dùng những từ có nghĩa để đặt cho password
của mình, do đó phƣơng pháp tấn công bằng từ điển là một
phƣơng pháp đơn giản mà mức độ thành công lại cao. Trên hầu
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
14
hết các hệ thống, tấn công từ điển có thể hoàn thành trong thời
gian ngắn để so sánh với các tổ hợp từ có thể.
Việc lập file từ điển khá đơn giản, nhất là khi bạn biết khá rõ về
user này. Ví dụ: một thuật ngữ thƣờng xuyên đƣợc sử dụng
trong công việc của user, hoặc tên một ngƣời quan trọng đối với
user đó cũng có thể đƣợc đƣa vào từ điển.
Dạng brute-force:
Đây là phƣơng pháp bẻ password bằng cách vét cạn tất cả các
trƣờng hợp ghép nối các kí tự có thể có, bắt đầu từ những kí tự
đơn giản thông thƣờng cho đến những kí tự đặc biệt, sau đó
băm ra để so sánh với password ngƣời dùng.
Do đó, với một máy tính mạnh có khả năng ghép nối các kí tự
lại với nhau, hacker có thể bẻ đƣợc tất cả những password nếu
có đủ thời gian.
Dạng tổng hợp:
Là sự kết hợp giữa tấn công bằng từ điển và brute force. Tấn
công bằng từ điển sẽ quét các từ có nghĩa, tấn công brute force
sẽ quét các kí tự còn lại nhƣ kí tự đặc biệt, kí tự số…
Ví dụ: user sử dụng password là intertainment111. Khi đó
không thể dùng phƣơng pháp từ điển vì không có từ nào chứa
số, nếu dùng phƣơng pháp brute force thì quá lâu. Ta sẽ dùng
phƣơng pháp tấn công tổng hợp, bằng cách sử dụng phƣơng
pháp từ điển để lấy ra một từ có nghĩa, sau đó dùng phƣơng
pháp brute force ghép thêm 2 con số vào sau từ đó và dò tìm
password. Phƣơng pháp này sẽ hiệu quả hơn nhiều.
Dưới đây ta sẽ khảo sát một vài chương trình minh họa tiêu biểu:
1. Tấn công brute_force:
Windows là hệ điều hành phổ biến nhất trên thế giới, nó luôn tiềm ẩn những
lỗi bảo mật. Trong phần này tôi sẽ trình bày phƣơng thức tấn công một máy
tính cài hệ điều hành Windows. Từ những kiến thức và khả năng tấn công
vào máy tính cài hệ điều hành Windows tôi sẽ đƣa ra các giải pháp bảo mật
cho hệ thống.
Tấn công Password của tài khoản trong Windows.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
15
a. Trên máy Local
Giả sử bạn không biết mật khẩu của một máy tính trong hệ thống, nhƣng
bạn lại nhờ ngƣời đó gõ mật khẩu của họ và cho bạn mƣợn máy tính dùng
tạm. Và bạn giờ đây là làm thế nào để biết đƣợc Password trên máy bạn
đang logon.
Rất nhiều phần mềm có thể Exports đoạn mã hoá của Password ra thành
một File điển hình là PasswordDump, WinPasswordPro, trong bài viết
này tôi trình bày với các bạn sử dụng WinPasswordPro.
Bật chƣơng trình WinPasswordPro lên Import Password từ máy Local
Sau Khi Import Password từ file SAM vào sẽ đƣợc
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
16
Sau đó ta Export danh sách User và Password đã đƣợc mã hoá ra một file
.txt và gửi vào Mail của chúng ta, sang máy chúng ta cũng dung phần mềm
này để giải mã ngƣợc lại.
Mở file TXT đã exports ra ta có dữ liệu password đã đƣợc mã hoá
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
17
Sau khi lấy đƣợc dữ liệu User – Password đã mã hoá ta Uninstall chƣơng
trình này trên máy nạn nhân để khỏi lộ - rồi gửi file đó vào Mail để về máy
của ta Giải mã – đây là công đoạn tốn thời gian. Đối với mật khẩu dài 10 ký
tự mất khoảng 1 tiếng.
Bật chƣơng trình WinPasswordPro trên máy của chúng ta chọn File ->
Import PWDUMP file rồi chọn đƣờng dẫn tới file password đƣợc mã hoá.
Sau khi Import từ file PWDUMP ta đƣợc - Nhấn vào Start ta sẽ có 3 phƣơng
thức tấn công Password
+ Brute Force
+ Dictionary
+ Smart Table
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
18
Tôi chọn phƣơng thức tấn công Brute Force
Đợi khoảng 15 phút (đây là password do tôi không đặt ký tự đặc biệt, không
số, không hoa và 9 ký tự)
Kết thúc quá trình tôi đã giải mã đƣợc file Password đã đƣợc mã hoá với:
user administrator và Password là vnexperts
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
19
b. Tấn công máy từ xa.
- Khi chúng ta đƣợc ngồi trên máy nạn nhân để Exports Password đƣợc mã
hoá là đơn giản nhƣng thực tế sẽ rất ít khi thực hiện đƣợc phƣơng thức này.
- Dùng Password Dump chúng ta sẽ lấy đƣợc dữ liệu đã đƣợc mã hoá từ một
máy từ xa.
- Ở đây tôi dụng PasswordDump Version 6.1.6
Ở trên tôi sẽ lấy dữ liệu mã hoá Username và Password từ máy tính
192.168.1.156 dung PWDump và out dữ liệu đó ra file: vnehack.txt tại ổ C:
dùng lệnh Type xem dữ liêụ của file đó.
Sau Khi đã có dữ liệu này ta lại sử dụng WinPasswordPro để giải mã. Và
sau khi ta có tài khoản User Administrator và Password của nó thì việc làm
gì là tuỳ thuộc vào chúng ta.
Giải pháp phòng chống hình thức tấn công này:
+ Đề phòng những ngƣời truy cập vào máy tính của chúng ta.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
20
+ Đặt Password dài trên 14 ký tự và có đầy đủ các ký tự: Đặc biệt, hoa, số,
thƣờng
+ Enable Firewall lên để chống PasswordDUMP, Cài đặt và cập nhật các
bản vá lỗi mới nhất từ nhà sản xuất
+ Cài đặt tối thiểu một chƣơng trình diệt Virus mạnh.
Vô hiệu hoá PWdump – nhƣng lƣu ý khi kẻ tấn công có một tài khoản trong
hệ thống thì lại hoàn toàn khác chúng sẽ vƣợt qua hầu hết các phòng chống
bảo mật: trong trƣờng hợp này tôi có một User bình thƣờng với tên vne tôi
có thể Exports toàn bộ dữ liệu Username Password đƣợc mã hoá ở máy đích.
2.Tìm Password bằng phương pháp giải mã Cookies:
Chƣơng trình CT cookie Spy 2.0.
Cookies thƣơng lƣu lại rất nhiều thông tin quan trọng của ngƣời dùng
khi truy cập vào Internet nhƣ Username và Password truy cập vào một
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
21
Website.Với phần mềm này bạn có thể tìm kiếm các Cookies đƣợc lƣu dữ
trong hệ thống và giải mã chúng để tìm Username Password.
Từ những phương thức tấn công được trình bày ở trên, ta có thể rút ra
những nguyên tắc thiết lập và sử dụng password khả dĩ giúp ta tự bảo vệ
password của mình trước hầu hết các kiểu tấn công thông dụng. Đó sẽ là
vấn đề tiếp theo mà ta nghiên cứu.
III. PASSWORD và VẤN ĐỀ BẢO MẬT PASSWORD:
1.Độ mạnh yếu của password:
a.Thế nào là password yếu?
Một password yếu là một password ngắn, phổ biến, một mặc định
của hệ thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng
bằng cách thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật
khẩu khả dĩ, nhƣ các từ trong từ điển, tên riêng, những từ dựa trên tên ngƣời
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
22
dùng hoặc những biến thể thông thƣờng của các từ đó. Password có thể bị dễ
dàng đoán đƣợc dựa trên những hiểu biết về ngƣời dùng đó, nhƣ ngày tháng
năm sinh và tên thú nuôi, cũng bị xem là yếu.
Các ví dụ về password yếu:
Admin -- quá dễ đoán
1234 -- quá dễ đoán
abc123 -- quá dễ dò tìm
minh -- tên riêng thông thƣờng
password -- đoán ra dễ dàng, rất thƣờng dùng, một từ trong
từ điển
p@$$\/\/0rd -- leet và mật mã bằng ký tự đơn giản đều đã
đƣợc lập trình trƣớc trong các công cụ bẻ khóa
rover -- tên thú nuôi thông thƣờng, cũng là một từ trong từ
điển
12/3/75 -- ngày tháng, có thể quan trọng đối với cá nhân đó
December12 -- Sử dụng ngày bắt buộc phải đổi mật khẩu là
rất phổ biến
nbusr123 -- có thể là một tên ngƣời dùng, và nếu vậy, cực
kỳ dễ đoán
asdf -- chuỗi ký tự kế nhau trong nhiều loại bàn phím
qwerty -- một chuỗi ký tự kế nhau trong nhiều loại bàn phím
aaaa -- ký tự lặp đi lặp lại, dễ đoán ra
Theo thống kê sơ bộ, 3,8 phần trăm số lƣợng mật khẩu là những từ
đơn tìm thấy trong từ điển, và 12 phần trăm khác là một từ cộng thêm một
con số ở cuối; hai phần ba trong số đó là số 1.
Nhiều ngƣời dùng không đổi mật khẩu mặc định đi kèm với nhiều hệ
thống bảo mật máy tính. Danh sách các mật khẩu mặc định đầy rẫy trên
Internet.
Một mật khẩu có thể trở nên dễ đoán nếu ngƣời dùng chọn một mẩu
thông tin cá nhân dễ khám phá (nhƣ mã số sinh viên, tên một ngƣời bạn,
sinh nhật, số điện thoại, hoặc biển số xe). Dữ liệu cá nhân về một ngƣời nào
đó hiện phổ biến ở nhiều nguồn, nhiều khi còn đƣa lên mạng, và thƣờng có
thể lấy đƣợc bởi ngƣời khác khi sử dụng các kỹ thuật lừa bịp, nhƣ đƣa ra
một bản lấy ý kiến hoặc một bản kiểm tra việc quản lý an ninh.
Nguy cơ cao nhất của việc sử dụng mật khẩu ngắn hoặc dễ đoán đó là
tiếp cận hoặc tấn công từ những bạn bè của ngƣời dùng. Trong khi tên
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
23
không phổ biến lắm của một con vật nuôi hoặc một nhân vật ƣa thích trong
trò chơi điện tử rất khó đoán đối với một ngƣời hoàn toàn xa lạ và khó tìm
thấy trong từ điển, thì một ngƣời bạn khi có điều gì bất bình rõ ràng sẽ có ít
lựa chọn để đoán hơn hẳn và cũng chẳng cần đến sự trợ giúp của máy tính
để đoán đƣợc.
Một ví dụ của một mật khẩu nghèo nàn chống lại những kẻ tấn công
"biết mặt" này có thể là "19YaleLaw78", lấy từ thông tin ngƣời này tốt
nghiệp trƣờng Luật Yale vào năm 1978. Trong khi với độ dài đến mƣời một
ký tự và khả năng chống lại tấn công vét cạn rất tốt, năm tốt nghiệp từ một
trƣờng danh giá là một điều mà kẻ tấn công chắc chắn sẽ biết nếu biết rõ nạn
nhân. Do đó, trong khi có thể khiến cho một máy tính mạnh chạy mất vài
tháng để đoán đƣợc ra mật khẩu này, một đồng nghiệp đang ghen tị có thể
đoán ra điều này chỉ cần vài phút với một cây viết và tờ giấy để dò các biến
thể.
Một mật khẩu thƣờng dễ bị tổn thƣơng nếu nó bị tìm thấy trong danh
sách. Từ điển ở dạng máy đọc đƣợc có rất nhiều ở nhiều ngôn ngữ khác
nhau, và tồn tại những danh sách các mật khẩu thƣờng đƣợc chọn. Trong các
thử nghiệm đối với hệ thống đang hoạt động, tấn công từ điển dễ thành công
tới mức phần mềm hiện thực kiểu tấn công này hiện nay phổ biến với nhiều
hệ thống.
Một mật khẩu quá ngắn, có lẽ đƣợc chọn để dễ gõ, dễ bị tổn thƣơng
nếu kẻ tấn công có thể lấy đƣợc bảng mật mã của mật khẩu. Các máy tính
hiện nay đủ nhanh để thử tất cả các mật khẩu toàn chữ cái ngắn hơn 7 ký tự.
Những nhân viên, lập trình viên và ngƣời quản trị hệ thống khi nghỉ việc
thƣờng biết khá rõ những mật khẩu mở hiếm khi bị đổi. Các mật khẩu dễ
đoán nhƣ vậy có thể dẫn đến tổn hại nặng nề nếu bị nghịch, gian lận hoặc trả
thù.
b.Thế nào là password mạnh:
Một mật khẩu mạnh là một mật khẩu đủ dài, mang tính ngẫu nhiên,
hoặc nếu không chỉ có ngƣời chọn nó mới nghĩ ra đƣợc, sao cho việc đoán
đƣợc ra nó sẽ phải cần nhiều thời gian hơn là thời gian mà một kẻ bẻ khóa
mật khẩu sẵn sàng bỏ ra để đoán nó. Thời gian để đƣợc cho là quá dài sẽ
thay đổi tùy thuộc vào kẻ tấn công, tài nguyên của kẻ tấn công, sự dễ dàng
tiếp cận với những mật khẩu có thể thử, và giá trị của mật khẩu đó đối với kẻ
tấn công. Một mật khẩu của sinh viên chẳng đáng để máy tính bỏ ra vài giây
để đoán, trong khi mật khẩu quản lý việc truy xuất đến hệ thống chuyển tiền
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
24
điện tử của một ngân hàng lớn có thể đáng để bỏ ra nhiều tuần hoặc thậm chí
nhiều tháng để đoán.
Sẽ là một điều sai lầm khi dùng những mật khẩu liệt kê ở dƣới đây:
chúng đã đƣợc ghi ra công khai, do đó chúng yếu. Tất cả những bình luận về
sức mạnh mật khẩu đều giả thiết rằng chúng chƣa đƣợc biết đến và chƣa
đƣợc ghi ra. Trong khi các mật khẩu tƣơng tự nhƣ thế, hoặc dựa trên cùng
nguyên lý nhƣ thế, sẽ đủ mạnh, với giả sử là bạn không đọc chúng.
Các ví dụ về mật khẩu mạnh là:
t3wahSetyeT4 -- phân biệt chữ thƣờng chữ hoa và chữ số
xen kẽ
4pRte!ai@3 -- phân biệt chữ thƣờng chữ hoa, chữ số xen
kẽ, dấu câu và một ký tự "đặc biệt"
MoOoOfIn245679 -- phân biệt chữ thƣờng chữ hoa, chữ
số xen kẽ
Convert_100£ to Euros! -- cụm từ có thể dài, dễ nhớ và
có chứa ký hiệu mở rộng để tăng sức mạnh, nhƣng một
số phƣơng pháp băm mật khẩu yếu hơn có thể phụ thuộc
vào phân tích tần số
1382465304H -- một chuỗi số kết thúc bằng một ký tự
Tp4tci2s4U2g! -- Sự pha trộn của các ký tự có kiểu chữ
khác nhau, số, và dấu câu. Nó dễ nhớ vì là các chữ bắt
đầu của từ "The password for this computer is too strong
for you to guess!"
5:*35pm&8/30 --Thời gian và ngày tháng điện thoại với
hai ký tự "đặc biệt" ngẫu nhiên
EPOcsoRYG5%4pp@.djr -- sử dùng nhiều yếu tố bao
gồm viết hoa và ký tự đặc biệt
BBslwys90! -- gồm chữ hoa, số, và dấu câu. Cũng dễ
nhớ, vì nó đại diện cho "Big Brother is always right
(90°)!"
Một cách kỹ thuật thì những ví dụ trên đều có tính hỗn loạn thông tin
(về bit) là lớn hơn 3 trong khi các ví dụ yếu có độ hỗn loạn thông tin dƣới 3.
Nhƣng là một vấn đề kỹ thuật, độ mạnh mật khẩu có thể thỏa mãn một mục
đích sức mạnh của nó nếu thời gian cần thiết để phá vỡ mật khẩu vƣợt quá
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
25
thời gian có thể bỏ ra để phá vỡ nó và/hoặc nếu thông tin đƣợc bảo vệ sẽ cũ
trƣớc khi những nỗ lực bẻ khóa hoàn thành.
Mật khẩu càng dài và lựa chọn ký hiệu càng rộng, thì nỗ lực để bẻ một
mật khẩu (hoặc so trùng với bảng cầu vồng) càng phải mạnh mẽ mới có thể
đánh bại mật khẩu, giả thiết rằng bảng băm mật khẩu và các phƣơng pháp
bảo vệ phù hợp nằm đúng chỗ của nó. Hơn nữa, không sử dụng từ đơn sẽ
khiến cho tấn công vét cạn vô cùng kém hiệu quả.
Chú ý rằng một số hệ thống không cho phép ký hiệu hoặc những ký tự
gọi là "ký tự đặc biệt" nhƣ #, @ và } trong mật khẩu, và hơn nữa chúng có
thể khó tìm trong những kiểu bàn phím khác nhau. Trong trƣờng hợp đó, chỉ
cần thêm một số chữ hoặc số cũng có thể đạt đƣợc độ bảo mật tƣơng đƣơng:
vừa chữ vừa số với chỉ một kiểu viết in hoặc viết thƣờng cho ra 36 chữ khả
dĩ, nhƣng viết cả hoa cả thƣờng cùng với số có thể cho ra 62 chữ khả dĩ.
Ngoài ra, những ví dụ ở trên, đã đƣợc in ra trong bài viết này nhƣ
những ví dụ về mật khẩu, thì không còn là lựa chọn tốt; những ví dụ từ
những cuộc bàn luận công cộng về mật khẩu cũng là những ứng viên rõ ràng
để bị đƣa vào tự điển dùng cho tấn công từ điển. Tuy nhiên, nhận thức đƣợc
rằng thậm chí mật khẩu "mạnh" (theo những tiêu chuẩn hạn chế trên), và
mật khẩu cá biệt của ngƣời dùng, là không tƣơng đƣơng với khóa mã hóa
mạnh, và không nên dùng để làm việc đó, nếu không vì mục đích nào khác
hơn là chúng không chứa các ký tự in đƣợc. Phƣơng pháp cụm từ thông qua
và thỏa thuận khóa xác nhận mật khẩu đã đƣợc dùng để nói lên hạn chế này.
Một dạng mật khẩu mạnh khác là một từ đƣợc ngẫu nhiên hoàn toàn
hoặc một phần với chữ in thƣờng khá nhau và một hoặc nhiều số hoặc ký
hiệu đƣợc dùng thêm vào. Mật khẩu kiểu đóm trong khi hầu nhƣ toàn chữ và
ngƣời dùng dễ nhớ, rất dài và cần phải có bộ sinh mật khaỉa vét cạnh để
kiểm thử tất cả các ký tự ở tất cả các kiểu chữ cũng nhƣ tất cả các số và ký
hiệu bàn phiếu ở mỗi ký số, vì ký hiệu và con số có thể nằm ở bất cứ đâu
trong một chữ. Nhƣ đã nói ở đoạn dƣới, điều này sẽ đánh bại tấn công vét
cạn với tài nguyên thực tế.
Mật khẩu có thể tìm thấy bằng các sử dụng một bộ máy sinh mật khẩu
vét cạn nhƣ thế. Trong trƣờng hợp đơn giản nhất, chúng là những chƣơng
trình nhỏ chỉ đơn giản là thử tất cả các tổ hợp có thể. Một bộ xử lý 3 GHz có
thể tạo ra xấp xỉ 3 triệu mật khẩu một giây. Một mật khẩu mƣời chữ cái nhƣ
'4pRte!ai@3', vì có khoảng 95 khóa tồn tại, là một trong 9510 khả năng, và sẽ
phải tốn khoảng 632.860 năm để tìm ra với giả sử mật khẩu đó đƣợc tạo ra
ngẫu nhiên. Một mật khẩu chứa mƣời lăm chữ cái viết hoa ngẫy nhiên sẽ chỉ
an toàn tƣơng đƣơng (với điều kiện hệ thống đang bàn tới là có phân biệt
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
26
hoa thƣờng và cho phép dùng ký hiệu) và có thể dễ hơn đối với vài ngƣời để
nhớ và gõ vào.
Tuy nhiên, phƣơng pháp băm mật khẩu yếu nào đó có thể phản bội
một mật khẩu còn nhanh hơn bằng cách giảm số tổ hợp cần thiết hoặc tăng
tốc độ mà tại đó sự tiên đoán có thể bị từ chối bẻ một mật khẩu "mạnh"
khác. Hơn nữa, những bảng đƣợc tính trƣớc nào đó nhƣ bảng cầu vồng có
thể tăng tốc độ bẻ khóa đáng kể.
Một hàm tính toán số mật khẩu khả dĩ là: maximumCombinations =
nrAvailableChars
PasswordLength
. Chỉ sử dụng 26 ký tự chữ thƣờng và mật khẩu
dài 7 ký tự thì số tổ hợp khá nhỏ: 267 = 8.03 tỷ tổ hợp. Điều có có vẻ lớn đối
với vài ngƣời, nhƣng trong một thời gian khi những máy tính thông thƣờng
có thể sinh ra 3 triệu mật khẩu một giây, nó sẽ chỉ mất có 45 phút để tìm ra
mật khẩu.
2.Vậy làm thế nào để có một mật khẩu mạnh?
o Áp đặt chính sách độ dài tối thiểu của mật khẩu là 8 và tốt nhất là 15
o Yêu cầu phải có những ký tự đặc biệt, số, chữ hoa, chữ thƣờng trong
một mật khẩu
o Không sử dụng bất kỳ từ khóa nào trong từ điển English hay những
nƣớc khác
o Không sử dụng Password giông tên Username, và phải thay đổi
thƣờng xuyên
o Chọn Password bạn dễ dàng sử dụng mà ngƣời khác khó đoán biết
đƣợc.
3.Những khuyến cáo khi đặt password:
o Đừng bao giờ chỉ đặt một ký tự đặc biệt sau một từ khóa ví dụ: Không
đặt password là: vnexperts1
o Đừng bao giờ sử dụng ghép hai từ với nhau để đƣợc một Password ví
nhƣ: vnevne
o Không đặt Password dễ đoán
o Không đặt password quá ngắn
o Không đặt Password mà từ thƣờng xuyên gõ đúng nhƣ: asdf;lkj
o Hãy thay đổi mật khẩu thƣờng xuyên ít nhất một tháng một lần.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
27
o Hãy thay đổi ngay lập tức khi phát hiện ra mật khẩu của mình bị
ngƣời khác sử dụng.
o Đừng bao giờ chứa Password trên máy tính của bạn – nhiều ngƣời có
thói quen vào các trang web và lƣu lại mật khẩu của mình điều này
không bảo mật bởi mã hóa trong máy tính dễ dàng bị giải mã.
o Các mật khẩu trong Windows lƣu vào các file .pwl không đƣợc bảo
mật.
o Không nói cho ngƣời khác biết mật khẩu của mình.
o Không gửi mail và tránh đặt trùng Password trên nhiều ứng dụng.
o Không ghi Password của mình ra cho dễ nhớ.
o Khi gõ Password hãy cẩn thận với các loại Keyloger và ngƣời xem
trộm
4.Một số thuật toán đánh giá password:
a.KeePass:
1./ Xác định tập kí tự:
KeePass chia các kí tự thành 7 tập :
o Tập kí tự thƣờng:‟a‟ ‟z‟ (ascii 97122)
o Tập kí tự hoa:‟A‟‟Z‟(ascii 6590)
o Tập kí tự số: „0‟‟9‟ (ascii 4857)
o Tập kí tự đặc biệt đơn giản: „ „‟/‟(ascii 3247)
o Tập kí tự đặc biệt mở rộng: „:‟‟@‟ (ascii 5864) và „[„‟`‟ (ascii
9196) Và „{„ ‟~‟ (ascii 123126)
o Tập kí tự lớn hơn còn lại: (ascii >126)
o Tập kí tự nhỏ hơn còn lại (ascii<32)
2./ Tính toán không gian kí tự của password:
KeePass quy ƣớc nhƣ sau:
Loại kí tự
Giá trị binary
Giá trị Decimal
Kí tự thƣờng
0000 0001
1
Kí tự hoa
0000 0010
2
Kí tự số
0000 0100
4
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
28
Kí tự đặc biệt đơn
giản
0000 1000
8
Kí tự đặc biệt khác
0001 0000
16
Kí tự cao hơn còn
lại
0010 0000
32
Mỗi kí tự trong chuỗi password sẽ thuộc một trong các loại kí tự trong
bảng. Thực hiện phép OR tất cả các kí tự trong chuỗi password. Mục đích
của việc này là bật bit tƣơng ứng vớ
Các file đính kèm theo tài liệu này:
- passwordstrength.pdf