Bài 7:
Xác thực và quản lý tài khoản
Củng cố lại bài 6
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Định nghĩa điều khiển truy cập và liệt kê bốn
mô hình điều khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô
gíc
Giải thích các kiểu điều khiển truy cập vật lý
khác nhau
Định nghĩa các dịch vụ xác thực
Bài 7 - Xác thực và quản lý tài khoản
2
Mục tiêu của bài học
Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
Bài 7 - Xác thực và quản lý tài khoản
Giới thiệu
Xác thực thông tin
Quá trình nhằm đảm bảo một người đang có ý định truy

cập tới tài nguyên là đáng tin cậy
Các chủ đề sẽ đề cập trong bài
Xác thực và quản lý bảo mật tài khoản người dùng
Các kiểu xác thực thông tin khác nhau
Mô hình đăng nhập đơn nhất
Các kỹ thuật và công nghệ quản lý bảo mật tài khoản
người dùng
Các hệ điều hành được tin cậy
Xác thực thông tin
Quá trình nhằm đảm bảo một người đang có ý định truy
cập tới tài nguyên là đáng tin cậy
Các chủ đề sẽ đề cập trong bài
Xác thực và quản lý bảo mật tài khoản người dùng
Các kiểu xác thực thông tin khác nhau
Mô hình đăng nhập đơn nhất
Các kỹ thuật và công nghệ quản lý bảo mật tài khoản
người dùng
Các hệ điều hành được tin cậy
4
Bài 7 - Xác thực và quản lý tài khoản
Xác thực thông tin
Các kiểu xác thực thông tin
Bạn có những gì?
Ví dụ: khóa từ xe ô tô
Bạn là ai?
Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp
viên của câu lạc bộ sức khỏe
Bạn biết những gì?
Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc
bộ sức khỏe

Các kiểu xác thực thông tin
Bạn có những gì?
Ví dụ: khóa từ xe ô tô
Bạn là ai?
Ví dụ: các đặc điểm trên khuôn mặt được công nhận bởi tiếp
viên của câu lạc bộ sức khỏe
Bạn biết những gì?
Ví dụ: Sự kết hợp mật mã để mở cửa tủ để đồ trong câu lạc
bộ sức khỏe
5
Bài 7 - Xác thực và quản lý tài khoản
Xác thực thông tin
6
Bài 7 - Xác thực và quản lý tài khoản
Bạn biết những gì: Mật khẩu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
Khi người dùng đăng nhập vào hệ thống
Được yêu cầu xác định danh tính
Người dùng nhập tên đăng nhập (username)
Người dùng được yêu cầu cung cấp thông tin để xác thực
Người dùng nhập mật khẩu
Mật khẩu là kiểu xác thực phổ biến nhất hiện nay
Mật khẩu chỉ đem lại sự bảo vệ mức yếu
7

Bài 7 - Xác thực và quản lý tài khoản
Những yếu điểm
của mật khẩu (1/2)
Yếu điểm của mật khẩu có liên quan đến trí nhớ của
con người
Con người chỉ có thể nhớ được một số lượng bản ghi hữu
hạn
Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất
Nhưng cũng khó nhớ nhất
Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản
khác nhau
Các chính sách bảo mật qui định mật khẩu hết hiệu lực
sau một khoảng thời gian
Người dùng phải ghi nhớ mật khẩu nhiều lần
Yếu điểm của mật khẩu có liên quan đến trí nhớ của
con người
Con người chỉ có thể nhớ được một số lượng bản ghi hữu
hạn
Những mật khẩu dài, phức tạp đem lại hiệu quả tốt nhất
Nhưng cũng khó nhớ nhất
Người dùng phải ghi nhớ mật khẩu của nhiều tài khoản
khác nhau
Các chính sách bảo mật qui định mật khẩu hết hiệu lực
sau một khoảng thời gian
Người dùng phải ghi nhớ mật khẩu nhiều lần
8
Bài 7 - Xác thực và quản lý tài khoản
Những yếu điểm
của mật khẩu (2/2)
Người dùng thường chọn đường tắt

Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
Người dùng thường chọn đường tắt
Sử dụng mật khẩu yếu
Ví dụ: các từ thông dụng, mật khẩu ngắn, hoặc thông tin cá
nhân
Sử dụng lại một mật khẩu cho nhiều tài khoản khác nhau
Kẻ tấn công dễ dàng truy cập tới tài khoản khác khi đã làm
hại được một tài khoản
9
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (1/)
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén
Trình theo dõi thao tác bàn phím, trình phân tích giao
thức
Tấn công kiểu “người đứng giữa” và tấn công tái chuyển
Cài đặt lại mật khẩu
Kẻ tấn công đạt được truy cập vật lý vào các máy tính và
cài đặt lại mật khẩu
Đoán trực tuyến
Không thực sự thiết thực
Kỹ nghệ xã hội
Lừa đảo, nhìn trộm qua vai, lục lọi thùng rác
Chụp nén

Trình theo dõi thao tác bàn phím, trình phân tích giao
thức
Tấn công kiểu “người đứng giữa” và tấn công tái chuyển
Cài đặt lại mật khẩu
Kẻ tấn công đạt được truy cập vật lý vào các máy tính và
cài đặt lại mật khẩu
Đoán trực tuyến
Không thực sự thiết thực
10
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (2/)
Phá khóa ngoại tuyến
Phương thức được sử dụng bởi hầu hết các cuộc tấn
công mật khẩu hiện nay
Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa
Đối chiếu với các mật khẩu mã hóa do chúng tạo ra
Các kiểu phá khóa ngoại tuyến
Bạo lực
Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử
dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với
file đánh cắp được
Tốc độ chậm nhất nhưng triệt để nhất
Phá khóa ngoại tuyến
Phương thức được sử dụng bởi hầu hết các cuộc tấn
công mật khẩu hiện nay
Kẻ tấn công đánh cắp file chứa mật khẩu được mã hóa
Đối chiếu với các mật khẩu mã hóa do chúng tạo ra
Các kiểu phá khóa ngoại tuyến
Bạo lực
Mọi khả năng kết hợp các chữ cái, chữ số và ký tự được sử

dụng để tạo ra các mật khẩu mã hóa, sau đó đối chiếu với
file đánh cắp được
Tốc độ chậm nhất nhưng triệt để nhất
11
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (3/)
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
Các tham số của chương trình tấn công mật khẩu kiểu
bạo lực tự động
Độ dài mật khẩu
Bộ ký tự
Ngôn ngữ
Mẫu mật khẩu
Bước nhảy
Tấn công dùng từ điển
Kẻ tấn công tạo ra phiên bản mã hóa của các từ thông
dụng trong từ điển
So sánh với file mật khẩu đánh cắp được
12
Bài 7 - Xác thực và quản lý tài khoản

Tấn công dùng từ điển
13
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (4/)
Tấn công lai ghép
Thay đổi các từ trong từ điển
Thêm các chữ số vào cuối mật khẩu
Đánh vần các từ theo thứ tự ngược
Các từ hơi lỗi chính tả
Bao gồm các ký tự đặc biệt
Tấn công lai ghép
Thay đổi các từ trong từ điển
Thêm các chữ số vào cuối mật khẩu
Đánh vần các từ theo thứ tự ngược
Các từ hơi lỗi chính tả
Bao gồm các ký tự đặc biệt
14
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (5/)
Bảng cầu vồng (Rainbow table)
Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn
Các bước sử dụng bảng cầu vồng
Tạo bảng
Chuỗi các mật khẩu thô
Mã hóa mật khẩu ban đầu
Truyền vào một hàm để tạo ra các mật khẩu thô khác
Lặp lại một số vòng nhất định
Sử dụng bảng cầu vồng để bẻ mật khẩu
Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với
mật khẩu mã hóa trong file đánh cắp được

Kết quả thu được chuỗi mật khẩu khởi tạo
Bảng cầu vồng (Rainbow table)
Chứa một số lượng lớn các mật khẩu mã hóa được tạo sẵn
Các bước sử dụng bảng cầu vồng
Tạo bảng
Chuỗi các mật khẩu thô
Mã hóa mật khẩu ban đầu
Truyền vào một hàm để tạo ra các mật khẩu thô khác
Lặp lại một số vòng nhất định
Sử dụng bảng cầu vồng để bẻ mật khẩu
Sử dụng thủ tục tạo ra bảng cầu vồng khởi tạo và chạy với
mật khẩu mã hóa trong file đánh cắp được
Kết quả thu được chuỗi mật khẩu khởi tạo
15
Bài 7 - Xác thực và quản lý tài khoản
Tấn công vào mật khẩu (6/)
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là
mật khẩu đã được bẻ
Ưu điểm của bảng cầu vồng so với các phương thức tấn
công khác
Có thể tái sử dụng nhiều lần
Tốc độ nhanh hơn so với tấn công dùng từ điển
Yêu cầu ít bộ nhớ máy tính hơn
• Sử dụng bảng cầu vồng để bẻ mật khẩu (tiếp.)
Lặp lại nhiều lần, bắt đầu với mật khẩu kết quả vừa thu
được cho tới khi tìm thấy mật khẩu mã hóa gốc
Mật khẩu được sử dụng tại bước lặp cuối cùng chính là

mật khẩu đã được bẻ
Ưu điểm của bảng cầu vồng so với các phương thức tấn
công khác
Có thể tái sử dụng nhiều lần
Tốc độ nhanh hơn so với tấn công dùng từ điển
Yêu cầu ít bộ nhớ máy tính hơn
16
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (1/)
Tạo và sử dụng các mật khẩu mạnh
Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông
qua việc nghiên cứu các phương thức tấn công mật khẩu
Hầu hết các mật khẩu đều gồm hai phần:
Phần gốc
Phần đính kèm
Tiền tố hoặc hậu tố
Tạo và sử dụng các mật khẩu mạnh
Hiểu sâu sắc cách thức tạo ra các mật khẩu mạnh thông
qua việc nghiên cứu các phương thức tấn công mật khẩu
Hầu hết các mật khẩu đều gồm hai phần:
Phần gốc
Phần đính kèm
Tiền tố hoặc hậu tố
17
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (2/)
Phương thức của chương trình tấn công mật khẩu
Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông
dụng
Kết hợp các mật khẩu với các hậu tố thông dụng

Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
Phương thức của chương trình tấn công mật khẩu
Kiểm tra đối chiếu mật khẩu với 1000 mật khẩu thông
dụng
Kết hợp các mật khẩu với các hậu tố thông dụng
Sử dụng 5.000 từ thông dụng, 10.000 tên riêng, 100.000
từ tổng hợp có trong từ điển
Sử dụng các chữ in thường, chữ in hoa ký tự đầu, chữ in
hoa toàn bộ và chữ in hoa ký tự cuối
Thay thế các ký tự trong từ điển bằng các ký tự đặc biệt
Ví dụ: $ thay cho s, @ thay cho a
18
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (3/)
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm
Không sử dụng ngày sinh, tên của thành viên trong gia
đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá
nhân nào
Không lặp lại ký tự hoặc sử dụng thứ tự
Không sử dụng các mật khẩu ngắn
Những gợi ý chung để tạo một mật khẩu mạnh
Không sử dụng các từ có trong từ điển hoặc các từ phiên
âm

Không sử dụng ngày sinh, tên của thành viên trong gia
đình, tên của vật nuôi, địa chỉ hay bất cứ thông tin cá
nhân nào
Không lặp lại ký tự hoặc sử dụng thứ tự
Không sử dụng các mật khẩu ngắn
19
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (4/)
Quản lý mật khẩu
Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn
công lấy được file mật khẩu mã hóa
Phòng chống đánh cắp file mật khẩu
Không được để máy tính không có người giám sát
Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật
khẩu khi phục hồi
Thiết lập mật khẩu bảo vệ ROM BIOS
Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép
mở máy
Các biện pháp quản lý mật khẩu tối ưu
Thay đổi mật khẩu thường xuyên
Không sử dụng lại các mật khẩu cũ
Quản lý mật khẩu
Biện pháp phòng vệ quan trọng: ngăn không cho kẻ tấn
công lấy được file mật khẩu mã hóa
Phòng chống đánh cắp file mật khẩu
Không được để máy tính không có người giám sát
Chế độ bảo vệ màn hình nên được thiết lập để yêu cầu mật
khẩu khi phục hồi
Thiết lập mật khẩu bảo vệ ROM BIOS
Sử dụng khóa vật lý bảo vệ cây máy tính để không cho phép

mở máy
Các biện pháp quản lý mật khẩu tối ưu
Thay đổi mật khẩu thường xuyên
Không sử dụng lại các mật khẩu cũ
20
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (5/)
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
Các thủ tục quản lý mật khẩu tối ưu (tiếp.)
Không bao giờ được viết ra mật khẩu
Sử dụng các mật khẩu riêng cho từng tài khoản
Thiết lập mật khẩu tạm thời cho việc truy cập của người
dùng khác
Không cho phép chế độ tự động đăng nhập vào một tài
khoản trên máy tính
Không bao giờ được nhập mật khẩu trên các máy tính truy
cập công cộng
Không nhập mật khẩu khi kết nối vào một mạng không
dây chưa được mã hóa
21

Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (6/)
Một số chỉ dẫn khác
Sử dụng các ký tự không có trên bàn phím
Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím
số
Bổ sung mật khẩu
Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một
ghánh nặng với người dùng
Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật
khẩu
Một số chỉ dẫn khác
Sử dụng các ký tự không có trên bàn phím
Được tạo ra bằng cách giữ phím ALT trong khi gõ một phím
số
Bổ sung mật khẩu
Vấn đề: việc quản lý hàng loạt các mật khẩu mạnh là một
ghánh nặng với người dùng
Giải pháp: dựa vào công nghệ để lưu trữ và quản lý mật
khẩu
22
Bài 7 - Xác thực và quản lý tài khoản
Bản đồ ký tự trong Windows
23
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (7/)
Bổ sung mật khẩu (tiếp.)
Trình duyệt Web Internet Explorer (IE) và Firefox chứa
chức năng cho phép người dùng lưu giữ mật khẩu
Mật khẩu tự động hoàn thành trong IE

Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
Bổ sung mật khẩu (tiếp.)
Trình duyệt Web Internet Explorer (IE) và Firefox chứa
chức năng cho phép người dùng lưu giữ mật khẩu
Mật khẩu tự động hoàn thành trong IE
Được mã hóa và lưu trữ trong registry của Windows
Nhược điểm của bổ sung mật khẩu
Thông tin mật khẩu cụ thể với một máy tính
Mật khẩu có thể bị lộ nếu một người dùng khác được phép
truy cập vào máy tính
24
Bài 7 - Xác thực và quản lý tài khoản
Bảo vệ mật khẩu (8/)
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn
(strong master password)
Các tính năng của ứng dụng quản lý mật khẩu
Khả năng kéo thả
Mã hóa nâng cao
Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều
hành bị xâm hại
Hẹn giờ để giải phóng bộ đệm clipboard
Các ứng dụng quản lý mật khẩu
Người dùng tạo và lưu trữ các mật khẩu trong một file
“kho chứa” được bảo vệ bởi một mật khẩu chủ an toàn

(strong master password)
Các tính năng của ứng dụng quản lý mật khẩu
Khả năng kéo thả
Mã hóa nâng cao
Bảo vệ trong bộ nhớ giúp ngăn không cho bộ đệm hệ điều
hành bị xâm hại
Hẹn giờ để giải phóng bộ đệm clipboard
25
Bài 7 - Xác thực và quản lý tài khoản