Bài 7:
Xác thực và quản lý tài khoản
Củng cố lại bài 6
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Bài 7 - Xác thực và quản lý tài khoản
2
Mục tiêu của bài học
Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
Bài 7 - Xác thực và quản lý tài khoản
Giới thiệu
Xác thực thông tin
Quá trình nhằm đảm bảo một người đang có ý định truy

Các kiểu xác thực thông tin
Bạn có những gì?
Ví dụ: khóa từ xe ô tô
Bạn là ai?
Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp
viên của câu lạc bộ sức khỏe
Bạn biết những gì?
Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc
bộ sức khỏe
5
Bài 7 - Xác thực và quản lý tài khoản
Xác thực thông tin
6
Bài 7 - Xác thực và quản lý tài khoản
Bạn biết những gì: Mật khẩu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
7

Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
Người dùng thường chọn đường tắt
Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
9
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (1/)
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén
Trình theo dõi thao tác bàn phím, trình phân tích giao
thức
Tấn công kiểu “người đứng giữa” và tấn công tái chuyển
Cài đặt lại mật khẩu
Kẻ tấn công đạt được truy cập vật lý vào các máy tính và
cài đặt lại mật khẩu
Đoán trực tuyến
Không thực sự thiết thực
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén

dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với
file đánh cắp được
Tốc độ chậm nhất nhưng triệt để nhất
11
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (3/)
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
12
Bài 7 - Xác thực và quản lý tài khoản

Kết quả thu được chuỗi mật khẩu khởi tạo
Bảng cầu vồng (Rainbow table)
Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn
Các bước sử dụng bảng cầu vồng
Tạo bảng
Chuỗi các mật khẩu thô
Mã hóa mật khẩu ban đầu
Truyền vào một hàm để tạo ra các mật khẩu thô khác
Lặp lại một số vòng nhất định
Sử dụng bảng cầu vồng để bẻ mật khẩu
Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với
mật khẩu mã hóa trong file đánh cắp được
Kết quả thu được chuỗi mật khẩu khởi tạo
15
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (6/)
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là
mật khẩu đã được bẻ
Ưu điểm của bảng cầu vồng so với các phương thức tấn
công khác
Có thể tái sử dụng nhiều lần
Tốc độ nhanh hơn so với tấn công dùng từ điển
Yêu cầu ít bộ nhớ máy tính hơn
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là

Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
Phương thức của chương trình tấn công mật khẩu
Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông
dụng
Kết hợp các mật khẩu với các hậu tố thông dụng
Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
18
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (3/)
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm
Không sử dụng ngày sinh, tên của thành viên trong gia
đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá
nhân nào
Không lặp lại ký tự hoặc sử dụng thứ tự
Không sử dụng các mật khẩu ngắn
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm

mở máy
Các biện pháp quản lý mật khẩu tối ưu
Thay đổi mật khẩu thường xuyên
Không sử dụng lại các mật khẩu cũ
20
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (5/)
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
21

Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
Bổ sung mật khẩu (tiếp.)
Trình duyệt Web Internet Explorer (IE) và Firefox chứa
chức năng cho phép người dùng lưu giữ mật khẩu
Mật khẩu tự động hoàn thành trong IE
Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
24
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (8/)
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn
(strong master password)
Các tính năng của ứng dụng quản lý mật khẩu
Khả năng kéo thả
Mã hóa nâng cao
Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều
hành bị xâm hại
Hẹn giờ để giải phóng bộ đệm clipboard
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn