An toàn mật khẩu trên hệ thống mạng UNIX
và LINUX
Bài viết này mô tả những cách thức kiểm tra tính an toàn mật khẩu trên các hệ thống
UNIX, LINUX, và các hệ thống *.nix nói chung. Như các hệ thống trên Window, các mật
khẩu *.nix được bảo vệ ngay tại hệ thống và trên đường truyền.
Bảo vệ mật khẩu của bạn ngay tại hệ thống
Mật khẩu trên hệ thống *nix được lưu trong file /etc/passwd, một file chứa các tên người sử
dụng, UIDs, GIDs, và các mật khẩu được mã hoá cho người sử dụng trên hệ thống. Ngoài ra,
file này còn lưu các thông tin khác, như tên đầy đủ của người sử dụng, đường dẫn thư mục,
hay hệ thống shell.
Bất kỳ ai truy cập hệ thống cũng có thể hiển thị nội dung của file /etc/passwd. Điều này tạo ra
khả năng phá hoại với các user và những kẻ tấn công có th
ể tạo ra các lỗ hổng bảo mật để nhận
được một bản sao của file mật khẩu này.
Các hệ thống *.nix thường sử dụng thuật toán mã hoá (như thuật toán DES) để tạo ra các bảng
băm mật khẩu. DES sử dụng thuật toán mã hoá 56 bit. Với thuật toán này, DES đã được sử
dụng như thuật toán mã hoá phổ biến trước đây. Tuy nhiên, theo thời gian, khi phần cứng phát
triển và giá thành thiết bị rẻ đi, thuật toán này đã trở nên dễ dàng giải mã và tạo lại mã. Vì v
ậy,
với các hệ thống tốc độ nhanh sẽ việc crack các mật khẩu không phải quá khó.
Ví dụ: l0phtCrack có thể sử dụng để crack các mật khẩu của Windows, chương trình crack của
Alec Mufet có thể sử dụng để crack mật khẩu hệ thống *.nix. Việc phá mã đã được phát triển
theo thời gian, được viết từ năm 1991 và hiện tại nó đã được phát triển đến phiên bản 5.0a.
Việc phá mã có thể được cấu hình để tương thích với bất kỳ môi trường nào; các file cấu hình
có thể được sửa đổi hỗ trợ cho các định dạng file mật khẩu khác nhau, loại thuật toán mã hoá
khác nhau, Việc phá mã sử dụng danh sách từ điển như nền tảng cho việc phá mã; các file t
ừ
điển này cũng có thể được cấu hình lại một cách dễ dàng. Nói chung, để liệt kê danh sách cấu
trúc thư mục cho việc thử chương trình, bạn cũng có thể cấu hình tập từ điển hay các luật tạo
mã như một phần trong việc phá mã. Các luật này có thể bao gồm các phương thức như gắn
trước hay sau các ký tự vào các từ chuẩn, gấp đôi hay đảo ngược các từ, thay đổi các ký tự từ

 Không thể là tên, đảo ngược tên truy cập hệ thống, hay bất cứ việc dịch chuyển ký tự từ
tên truy cập hệ thống.
 Các mật khẩu mới phải có ít nhất 3 ký tự khác so với mật khẩu cũ.
npasswd, được viết bởi Clyde Hoover, thực hiện các kiểm tra sau:
 Kiểm tra từ vựng (độ dài tối thiểu); không cho phép các ký tự lặp lại hay các mẫu mật
khẩu thông thường như các con số thường gặp; đòi hỏi mật khẩu là sự pha trộn giữa con số, ký
tự, biểu tượng
 Kiểm tra file passwd (không cho phép lấy thông tin từ file passwd).
 Kiểm tra từ điển (không cho phép các mật khẩu được tạo từ các từ được tìm thấy trong
các file từ điển cấu hình).
 Kiểm tra thời điểm (tuỳ chọn - không cho phép sử dụng các mật khẩu đã được sử dụng
gần đây).
 Kiểm tra địa phương (tuỳ chọn - site cấu hình - các kiểm tra chỉ định; mặc định l
à không
cho phép nhiều tên hostname trong file .rhosts).
Anlpasswd của viện nghiên cứu quốc gia Argonne về chuyên ngành thuật toán và khoa học
máy tính, là một chương trình viết bằng ngôn ngữ Perl. Sự cải thiện chính của nó là hỗ trợ cho
môi trường NIS và kiểm tra các mật khẩu user chống lại danh sách từ điển với khoảng 13 tỷ từ
khi được tạo bởi chương trình crack.
Passwd+, được viết bởi Matt Bishop, là một chương trình rất phức tạp, mà giúp bạn cấu hình
một số kiểm tra (dựa trên mô hình mẫu, xâu, số hay ký tự). Mỗi mật khẩu phải thoả mãn toàn
bộ các kiểm tra này.
N
ếu lựa chọn thay thế passwd với các giá trị này (nhìn chung là một ý tưởng tốt) cần cần xem
xét một số điểm. Đầu tiên, kiểm tra liệu các giá trị passwd của bạn có hỗ trợ sử dụng mật
khẩu bóng; ngoài các file mật khẩu bóng, bạn phải dựa vào độ mạnh của thuật toán mã hoá và
độ lớn của mật khẩu (ví dụ như loại bỏ các mật khẩu yếu) để bảo vệ bạn. Thứ hai, nếu bạn
đang chạy NIS hay NIS++, đảm bảo rằng phần mềm hỗ trợ chỉ một môi trường; không phải
toàn bộ. Các mật khẩu bóng có thuật toán mã hoá mạnh, và có bộ lọc mật khẩu tốt hơn, cung
cấp tính năng bảo vệ tốt hơn bằng cách tạo ra độ khó hơn cho kẻ tấn công duy trì và crack mật

S/KEY, một trong những hệ thống dựa theo mô hình OPT, đư
ợc viết bởi Bellcore (hiện tại viết
bởi Telcordia) và được phát triển như một phần mềm mã nguồn mở. Bellcore gần đây đã bắt
đầu phát triển phiên bản thương mại, nhưng phiên bản miễn phí vẫn được cung cấp. Khi
S/KEY trở thành sản phẩm thương mại, phần mã nguồn mở của chương trình này vẫn được
quan tâm và phát triển thành sản phẩm OPIE. Cả S/KEY và OPIE sử dụng một hệ thống
challenge/response. Trong mỗi trường hợp, mật khẩu của người sử dụng đư
ợc chứa, trong dạng
mẫu được mã hoá, trên hệ thống máy chủ.
Mỗi hệ thống sử dụng bộ mã tạo mật khẩu chung dựa theo thông tin người sử dụng cung cấp
lúc ban đầu và liên kết với một số tuần tự. Mật khẩu đầu tiên của người sử dụng được tạo bằng
cách đặt thông tin của người sử dụng đó qua một thuật toán bảng băm (như thuật toán MD4
cho S/KEY, MD5 cho OPIE) với số N mật khẩu được tạo. N là số lần trong dãy bảng băm
để người sử dụng có thể truy cập. Mật khẩu kế tiếp được tạo bằng cách giảm N đi 1 và đặt
thông tin đó trong bảng băm số N-1, và tiếp tục như vậy.
Với mục đich chứng thực, khi một người sử dụng đăng nhập vào hệ thống, anh ta sẽ gửi tên
truy nhập của anh ta tới máy chủ. Máy chủ sẽ trả lời theo phương thức challenge, bao gồm tạo
số tuần tự của người sử dụng. Sau khi người sử dụng gõ mật khẩu và gửi tới máy chủ, nếu mật
khẩu trùng với mã mà máy chủ đã tạo trước đó một khoảng thời gian, người sử dụng đó được
chấp nhận truy cập hệ thống. (Chú ý rằng, mật khẩu này chỉ có giá trị trong một khoảng thời
gian nhất định. Và trong khoảng thời gian này, người sử dụng sẽ không thể đang nhập lại nếu
hệ thống không được thiết lập lại hay khởi tạo lại).
S/KEY và OPIE đã thực sự được thiết kế để bảo vệ các kẻ tấn công như replay attack, vì thông
tin mật khẩu chỉ có giá trị cho mỗi phiên làm việc, nó không thể bị lây bởi một công cụ mạo
danh hay sử dụng lại tại thời điểm khác.
Tuy nhiên, một thông tin mã hoá yếu cũng có thể làm hệ thống như S/KEY hay OPIE có th
ể có
lỗ hổng như một mật khẩu yếu. Vì vậy, ban đầu, chúng ta cần quay lại nơi mà chúng ta xuất
phát: đó chính là sử dụng các mật khẩu có độ dài đủ lớn.
Phần kết

NetBSD, OSF,
and Ultrix
anlpasswd

2.3
Có r
ất nhiều Website cung cấp, gồm cả
server FTP của CERIAS
*nix
npasswd
Thuộc trường đại học Texas tại Austin
và tại một số website khác BSDI, FreeBSD,
NetBSD, SunOS,
UNIX, and
Ultrix
passwd+ 5.0a
Trường đại học Dartmouth và một số
website khác. Địa chỉ download:

*nix
S/KEY
1.1
(phẩn
mềm
miễn
phí)
Bellcore FTP site