tiểu luận password và các vấn đề liên quan
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.35 MB, 32 trang )
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
1
ĐỒ ÁN MÔN HỌC:
BẢO MẬT THÔNG TIN
TÌM HIỂU VỀ PASSWORD VÀ
CÁC VẤN ĐỀ LIÊN QUAN
1.
2.
3.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
2
Mở đầu
, n
c.
c ngày càng
password là
máy tính, trong . Vì
password và các
liên quan xác thực, cracking password, cũng như đánh giá
độ mạnh của một password
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
3
I.SƠ LƢỢC VỀ VẤN ĐỀ XÁC THỰC:
xác thực là một quá trình nhận dạng người
dùng.
chính x
ph
o
o
o
A.Xác thực bằng username và password:
1.HTTP Authentications
a.Basic Authentication
Web.Nó s
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
4
b. Degest Authentication
Authentication
-Response
me Password tr
2.Kết hợp với phƣơng thức xác thực NTLM của Windows:
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
5
3.Negotiate Authentication – Thỏa thuận xác thực:
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
6
B.Xác thực dựa vào smartcard và cirtificate:
1. Xác thực dựa vào Certificate:
S
-factor.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
7
2.Xác thực dựa vào Forms:
Nó .
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
8
3.Xác thực dựa vào RSA Secure Token:
Vé, card). Có
i 60 giây và
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
9
C.Xác thực dựa vào Sinh trắc học:
Card.
hacker
thông tin.
Từ sự phân tích trên cho ta thấy rằng giải pháp sử dụng password luôn
là một giải pháp hiệu quả khi chi phí thấp và dễ dàng sử dụng với độ bảo
mật chấp nhận được, có thể nó sẽ rất hiệu quả nếu chúng ta có những chính
sách hợp lý. Do vậy, chúng ta sẽ tập trung thảo luận và nghiên cứu về
password và những vấn đề bảo mật liên quan.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
10
II. PASSWORD và VẤN ĐỀ CRACKING PASSWORD:
Ngày nay, vi s phát trin không ngng c t máy tính,
hacker tn công vào h th,
v password ngày càng tr nên phc tp, gi
n là mt chui kí t bí mt ca riêng users, mà nó luôn trong
i dùng cn có nhng kin
thc mi v password.
Vậy password là gì?
Password ( tm dch là mã xác nhn), là mt t hoc mt chui kí
t bí mc s d xác thc, chng minh hoc nhn di
s dng truy cp tài nguyên.
Tại sao password lại cần thiết?
o n vic xâm nhp trái phép vào h thng,
bo v thông tin, và giúp ta xác nhn duy nhp
h tht li nhng ca h trên d liu.
o Bt c h thng nào, mi dùng nhnh có nhc
quyn mà nhi khác không có. Bng cách nhn dng chính
bn trên chính máy tính ca bn hoc các website, bc tip
cng làm vic ca riêng bn và các d liu các nhân ca
bn, nhng tài liu này là các d liu nhy cm và không mun
công khai.
Các hiểm họa đến từ password:
o Trong khi phn ln các t chi dùng ti gia vn ph
thut hình thc nhn di
vi các d liu nhy c bo
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
11
mt thp vô hình chung to ra các l hng cho hacker tip cn tài
nguyên ca công ty và tài si dùng.
o Mc dù n cn thit, thân thin vi
dùng nh nhn di dùng khi tip cn mng ho
d liu ca h s thi dùng r vi nhng yêu
cu là h ci password, cn to ra mt password có tính
bo mt và làm theo nhng ch d gi nó càng bí mt càng tt.
Kt qu là mt s ng ln các password có th c, các
passwords ging nhau trên nhiu h thi dùng phi ghi
chú p gm password và c nhp.
Những nguy hiểm khi password bi lộ:
o Identity theft (trộm thông tin nhận dạng): identity theft xy ra khi
d liu tài khon ca bn b mi nào khác s du này
n nhng tn hi v n hi cá nhân
(dùng tài khon ca b rút ti
o Sensitive data exposure (lộ dữ liệu nhạy cảm): ni dung c
n t , các d án, tài liu, nh b c các hacker, hay
các cá nhân nhn bn vi mu.
o Company data exposure (lộ dữ liệu công ty): các hong gián
p ly các thông tin nhy cm ni b thông qua d liu tài khon
c duy trì và gi gìn thiu cn thn dn s ng vô
cùng to ln công ty bc.
o Sử dụng cho các hoạt động tội phạm: tài khon ca bn s b s
dng cho m i phm nu không gi nó cn th ng
quên rng du vt s ln li tài khon ca bn không
tránh khi liên quan.
Vậy tấn công password là gi?
Tấn công password là ta tìm cách có được password của môt
userID nào đó để xâm nhập vào hệ thống của họ.
Mt password có th b tn công vi rt nhiu hình thc khác nhau:
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
12
o Lỗ hổng bảo mật vật lý: màn
óa và tài
o Packet sniffers: bmã hóa
ra default gateway.
hacker.
o Trojan horse programs: x
o Tấn công dùng Cookies :
a
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
13
o Bẻ khóa:
Bẻ khóa bằng tay: s
dàng tìm , d
Bẻ khóa tự động: tìm file mã hóa password, tin hành
gi c file password dng plantext.
Để tìm hiểu về vấn đề này, trước hết ta phải tìm hiểu về cơ chế mã hóa và
xác nhận password.
Mã
on "hash" nó thành
0cc175b9c0f1b6a831c399e269772661
Khi các h
nó.
Brute-force attack:
Dng t n:
Tn công t n là to ra mt file cha hu ht các t
trong t i mt kh i
dùng, s dng nó a user. Trên thc t
ng dùng nhng t t cho password
c n công bng t n là mt
n mà m thành công li cao. Trên hu
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
14
ht các h thng, tn công t n có th hoàn thành trong thi
gian ng so sánh vi các t hp t có th.
Vic lp file t n, nht là khi bn bit khá rõ v
user này. Ví d: mt thut ng c s dng
trong công vic ca user, hoc tên mi quan tri vi
n.
Dng brute-force:
password bng cách vét cn tt c các
ng hp ghép ni các kí t có th có, bu t nhng kí t
n nhng kí t c bit
so sánh vi dùng.
i mt máy tính mnh có kh i các kí t
li vi nhau, hacker có th b c tt c nhng password nu
thi gian.
Dng tng hp:
Là s kt hp gia tn công bng t n và brute force. Tn
công bng t n s quét các t , tn công brute force
s quét các kí t còn lí t c bit, kí t s
Ví d: user s dng password là intertainment1
không th dùng n vì không có t nào cha
s, nu d dùng
n công tng hp, bng cách s d ng
pháp t ly ra mt t
pháp brute force ghép thêm 2 con s vào sau t dò tìm
password. P hiu qu u.
Dưới đây ta sẽ khảo sát một vài chương trình minh họa tiêu biểu:
1. Tấn công brute_force:
Tấn công Password của tài khoản trong Windows.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
15
a. Trên máy Local
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
16
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
17
-
->
-
+ Brute Force
+ Dictionary
+ Smart Table
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
18
user administrator và Password là vnexperts
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
19
b. Tấn công máy từ xa.
-
-
-
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
20
V
2.Tìm Password bằng phương pháp giải mã Cookies:
C.
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
21
Website.
Từ những phương thức tấn công được trình bày ở trên, ta có thể rút ra
những nguyên tắc thiết lập và sử dụng password khả dĩ giúp ta tự bảo vệ
password của mình trước hầu hết các kiểu tấn công thông dụng. Đó sẽ là
vấn đề tiếp theo mà ta nghiên cứu.
III. PASSWORD và VẤN ĐỀ BẢO MẬT PASSWORD:
1.Độ mạnh yếu của password:
a.Thế nào là password yếu?
Mt password yu là mt password ngn, ph bin, mt mnh
ca h thng cung cp, hoc mt th b
bng cách thc thi tn công vét cn s dng mt tp con ca tt c các mt
khu kh trong t n, tên riêng, nhng t di
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
22
dùng hoc nhng bin th ng ca các t Password có th b d
c da trên nhng hiu bit v
xem là yu.
Các ví d v password yu:
Admin
1234
abc123 dò tìm
minh
password
p@$$\/\/0rd leet và m
rover
12/3/75
December12
nbusr123
asdf
qwerty
aaaa
Theo th, 3,8 ph ng mt khu là nhng t
y trong t n, và 12 pht t cng thêm mt
con s cui; hai phn ba trong s 1.
Nhii mt khu mm vi nhiu h
thng bo mt máy tính. Danh sách các mt khu m y ry trên
Internet.
Mt mt khu có th tr nên d i dùng chn mt mu
thông tin cá nhân d sinh viên, tên mi bn,
sinh nht, s n thoi, hoc bin s xe). D liu cá nhân v mi nào
n ph bin nhiu ngun, nhing có
th lc bi khác khi s dng các k thut la b
mt bn ly ý kin hoc mt bn kim tra vic qun lý an ninh.
t ca vic s dng mt khu ngn hoc d
tip cn hoc tn công t nhng bn bè c i dùng. Trong khi tên
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
23
không ph bin lm ca mt con vt nuôi hoc mt nhân v
n t rt khi vi mi hoàn toàn xa l và khó tìm
thy trong t n, thì mi bu gì bt bình rõ ràng s có ít
la ch ng cn s tr giúp ca máy tính
c.
Mt ví d ca mt mt khu nghèo nàn chng li nhng k tn công
"bit mt" này có th là "19YaleLaw78", ly t i này tt
nghing Lu i mt
ký t và kh ng li tn công vét cn rt tt nghip t mt
tng danh giá là mu mà k tn công chc chn s bit nu bit rõ nn
khin cho mt máy tính mnh chy mt vài
c ra mt khu này, mng nghi có th
u này ch cn vài phút vi mt cây vit và t gi dò các bin
th.
rong các
Mt mt khu quá ngn, có l c ch d gõ, d b t
nu k tn công có th lc bng mt mã ca mt khu. Các máy tính
hi th tt c các mt khu toàn ch cái ng.
Nhng nhân viên, li qun tr h thng khi ngh vic
ng bit khá rõ nhng mt khu m him khi b i. Các mt khu d
y có th dn tn hi nng n nu b nghch, gian ln hoc tr
thù.
b.Thế nào là password mạnh:
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
24
Các ví d v mt khu mnh là:
t3wahSetyeT4 phân bit ch ng ch hoa và ch s
xen k
4pRte!ai@3 phân bit ch ng ch hoa, ch s xen
k, du câu và mt ký t c bit"
MoOoOfIn245679 phân bit ch ng ch hoa, ch
s xen k
Convert_100£ to Euros! cm t có th dài, d nh và
có cha ký hiu m r c mnht
s t khu y ph thuc
vào phân tích tn s
1382465304H mt chui s kt thúc bng mt ký t
Tp4tci2s4U2g! S pha trn ca các ký t có kiu ch
khác nhau, s, và du câu. Nó d nh vì là các ch bt
u ca t "The password for this computer is too strong
for you to guess!"
5:*35pm&8/30 Thn thoi vi
hai ký t c bit" ngu nhiên
EPOcsoRYG5%4pp@.djr s dùng nhiu yu t bao
gm vit hoa và ký t c bit
BBslwys90! gm ch hoa, s, và d
nh i din cho "Big Brother is always right
(90°)!"
Mt cách k thut thì nhng ví d u có tính hn lon thông tin
(v bit) là l y hn loi 3.
Nt v k thu mnh mt khu có th tha mãn mt mc
c mnh ca nó nu thi gian cn thi phá v mt kht quá
Tháng 11-2009
PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN
25
thi gian có th b phá v nó và/hoc nc bo v s
c khi nhng n lc b khóa hoàn thành.
Mt khu càng dài và la chn ký hiu càng rng, thì n l b mt
mt khu (hoc so trùng vi bng cu vng) càng phi mnh m mi có th
i mt khu, gi thit rng bt kh
bo v phù hp n ca, không s dng t
khin cho tn công vét cn vô cùng kém hiu qu.
Chú ý rng mt s h thng không cho phép ký hiu hoc nhng ký t
gi là "ký t c bi#, @ và } trong mt kha chúng có
th khó tìm trong nhng king h
cn thêm mt s ch hoc s bo m
va ch va s vi ch mt kiu vit in hoc ving cho ra 36 ch kh
t c hoa c ng cùng vi s có th cho ra 62 ch kh
Ngoài ra, nhng ví d c in ra trong bài vi
nhng ví d v mt khu, thì không còn là lựa chọn tốt; nhng ví d t
nhng cuc bàn lun công cng v mt khng ng viên rõ ràng
b vào t n dùng cho tn công t n. Tuy nhiên, nhn thc
rng thm chí mt khu "mnh" (theo nhng tiêu chun hn ch trên), và
mt khu cá bit ci dùng, là không i khóa mã hóa
m làm viu không vì m
a các ký t m t thông qua
và tha thun khóa xác nhn mt kh nói lên hn ch này.
Mt dng mt khu mnh khác là mt t c ngu nhiên hoàn toàn
hoc mt phn vi ch ng khá nhau và mt hoc nhiu s hoc ký
hic dùng thêm vào. Mt khu ki và
i dùng d nh, rt dài và cn phi có b sinh mt khaa vét c
kim th tt c các ký t tt c các kiu ch tt c các s và ký
hiu bàn phiu mi ký s, vì ký hiu và con s có th nm bt c
trong mt ch u này s i tn công vét
cn vi tài nguyên thc t.
Mt khu có th tìm thy bng các s dng mt b máy sinh mt khu
vét cng hn nht, chúng là nh
trình nh ch n là th tt c các t hp có th. Mt b x lý 3 GHz có
th to ra xp x 3 triu mt khu mt giây. Mt mt khi ch
'4pRte!ai@3', vì có khong 95 khóa tn ti, là mt trong 95
10
kh
phi tn kho tìm ra vi gi s mt khc to ra
ngu nhiên. Mt mt khu ch cái vit hoa ngy nhiên s ch
u kin h thg bàn ti là có phân bit
