USB token và các thẻ thông minh

Cho tới giờ, mật khẩu vẫn thường được sử dụng như một cơ chế chứng
thực yêu cầu hay nó cũng là một cơ chế được ưa thích khi truy cập vào
các hệ thống và dữ liệu nhạy cảm. Tuy nhiên do nhu cầu bảo mật, đòi hỏi
thuận tiện ngày càng cao, giảm bớt sự phức tạp và cần triển khai thêm
các công nghệ chứng thực khác nên trong loạt bài này chúng tôi sẽ giới
thiệu về các công nghệ chứng thực đa hệ số được sử dụng với Windows.
Trong phần đầu này chúng ta sẽ bắt đầu vào việc xem xét đến những vấn
đề cơ bản của việc chứng thực dựa trên chip.

Khi các mật khẩu không làm việc

Quay trở lại năm 1956, George A. Miller đã viết bài báo “Số 7 kỳ diệu, cộng
hoặc trừ 2: Một số hạn chế về khả năng xử lý thông tin”, nó là một bài báo
mô tả những gì hạn chế của khi muốn nhớ các mẩu thông tịn. Một trong
những kết luận trong bài báo là một người trung bình có khả năng nhớ đến 7
mẩu thông tin tại cùng một thời điểm sai số có thể cộng/trừ 2. Các nhà khoa
học khác sau đó đã cố gắng để cải thiện, người trung bình chỉ có thể nhớ 5
mẩu thông tin tại một thời điểm. Mặc dù vậy, cách thừa nhận lý thuyết này
thách thức đến những vấn đề liên quan đến độ dài và độ phức tạp đi kèm,
cũng vấn đề này chúng ta có thể thấy trong rất nhiều bài báo khác.

Sự phức tạp thường được cho là một trong những mối đe dọa lớn nhất đối với
vấn đề bảo mật. Một trong những phạm vi mà chúng ta xem xét vấn đề này
đã được chứng thực khi người dùng và các quản trị viên yêu cầu phải tuân

theo một chính sách mật khẩu phức tạp. Cũng tại thời điểm này, vấn đề này
luôn luôn nằm trong danh sách top 5 các vấn đề đối với việc trợ giúp của bất
cứ một tổ chức nào đó. Gartner và Forrester dự đoán rằng các cuộc gọi đến
đội hỗ trợ (hay nhóm trợ giúp) có liên quan đến việc quên mật khẩu tiêu tốn
đến xấp xỉ 10$ cho mỗi cuộc gọi. Vậy thì việc tiến hành một phân tích lợi ích
về giá chi phí cho một chính sách mật khẩu hiện hành của một tổ chức là một
việc nên làm lúc này.

Mật khẩu sẽ là một cơ chế chứng thực đích thực khi độ dài của mật khẩu lớn
hơn 15 ký tự và có ít nhất một ký tự không thuộc bảng chữ cái tiếng anh. Các
cụm sử dụng là mật khẩu dài nên phải đảm bảo là các ký tự mà người dùng
có thể nhớ nó một cách dễ dàng. Điều này sẽ bảo đảm rằng hầu hết các tấn
công “cầu vồng”, thậm chí các tấn công 8-bit đều sẽ bị thất bại, nhờ có bổ
sung thêm sự phức tạp bởi các ký tự khác.

Lưu ý:
Từ khi có Windows 2000, mật khẩu có thể được hỗ trợ đến 127 ký tự. Mặc
dù vậy lý do tại sao các mật khẩu chỉ là một cơ chế chứng thực không đủ là
bởi vì người dùng thường nhớ không tốt cũng như bảo vệ các mật khẩu
không an toàn. Có thể bạn cũng thấy rằng mật khẩu không được bảo vệ một
cách thích hợp. Tuy nhiên may thay chúng ta có một số giải pháp bảo mật
khác sẽ cho phép nâng cao cả khả năng bảo mật lẫn sự thuận tiện bằng việc
sử dụng một mật khẩu ngắn dễ nhớ.

Chứng thực dựa trên chip

Một trong những giải pháp bảo mật này là chứng thực dựa trên chip, đây là
phương pháp thường được cho là chứng thực hai hệ số. Chứng thực hai hệ số
này sử dụng sự kết hợp các thành phần dưới đây:


1. Có thể là một thẻ thông minh hoặc USB token

2. Đôi khi là số nhận dạng cá nhân (PIN). PIN có thể cho phép người dùng
truy cập chứng chỉ số đã được lưu trên thẻ thông minh.

Hình 1 minh chứng cho bạn thấy được hai giải pháp khác nhau, tuy nhiên cơ
bản mà nói nó có cùng một công nghệ. Nói đúng ra, nó chỉ khác nhau về hình
dáng, giá thành và một số thành phần tạo nên sự khác nhau, mặc dù mỗi một
giải pháp có thể có một số tính năng bổ sung mà chúng ta sẽ xem xét dưới
đây.

Ví dụ về thẻ thông minh có thể
được sử dụng cho cả việc
chứng thực từ xa và chứng
thực Windows, truy cập vật lý
và thanh toán.

Ví dụ về USB token với cả
chứng thực dựa trên chip
và bộ nhớ flash để lưu trữ
được các file và tài liệu…
Hình 1: Hai ví dụ về các thiết bị chứng thực dựa trên chip
Cả thẻ thông minh và USB token đều có chip đi kèm theo. Chip này cần phải
có một bộ vi xử lý 32 bit và thông thường có EEPROM (Electrically Erasable
Programmable Read-only Memory) cỡ khoảng 32KB hoặc 64KB, chip RAM
được nhúng trên thẻ thông minh hoặc USB token. Ngày nay cũng có các thẻ
thông minh hoặc USB token có thể nên đến 256KB RAM cho việc bảo đảm
lưu trữ dữ liệu.

Lưu ý:

Khi nói về việc lưu trữ trong bài này, chúng ta chỉ nói đến việc lưu trữ được
nhúng trong chip bảo mật chứ không phải bản thân thiết bị.

Chip này có một hệ điều hành nhỏ và bộ nhớ để lưu các chứng chỉ, chứng chỉ
này lại được sử dụng cho việc chứng thực. Hệ điều hành trên chip khác nhau
giữa những hãng sản xuất khác nhau, chính vì vậy phải bản đảm rằng bạn có
sử dụng CSP (Cryptographic Service Provider) trong Windows, thành phần
hỗ trợ hệ điều hành trên chip. Chúng ta sẽ xem xét đến CSP trong phần tiếp
theo. Giải pháp dựa trên chip có một số ưu điểm so với các giải pháp chứng
thực đa hệ số khác vì nó có thể được sử dụng để lưu các chứng chỉ cho việc
chứng thực, nhận dạng và chữ ký. Như đã đề cập ở trên, mọi thứ đều được
bảo vệ bởi PIN, PIN có thể cho phép người dùng truy cập vào dữ liệu được
lưu trên chip. Vì một tổ chức thường duy trì và phát hành các thẻ thông minh
hoặc USB token cho chính họ nên họ cũng định nghĩa chính sách nào đó liên
quan với giải pháp. Ví dụ như các thẻ có thể bị khóa hoặc bị xóa sau một số
lần nhập sai mã PIN. Vì bạn có thểkết hợp các chính sách này với PIN, nên
độ dài của PIN có thể ngắn hơn và như vậy sẽ dễ nhớ hơn mà không dễ bị
xâm phạm bảo mật. Tất cả các tham số này được lưu trên thẻ thông minh khi
nó được phát hành. Giải pháp dựa trên chip cũng chịu được những vấn đề sửa
chữa can thiệp, vì vậy ngoài PIN đúng, dữ liệu (các chứng chỉ và thông tin cá
nhân) được lưu trên chip đều không thể truy cập và như vậy không thể dùng
được vào việc gì khác.

Thẻ thông minh hay USB token?

Một sự khác nhau giữa thẻ thông minh và USB token là hình dáng ngoài. Cả
hai giải pháp đều giải quyết nhu cầu cơ bản, với khía cạnh chứng thực hai hệ
số nhưng mỗi một giải pháp đều có những ưu điểm riêng cũng như những
nhược điểm riêng. Thẻ thông minh có thể được sử dụng cho việc nhận dạng
ảnh, vì bạn có thể in ảnh và tên lên nó. Còn USB token có thể có bộ nhớ flash

cho việc lưu trữ được các tài liệu và file khác. Cả hai thiết bị đều được sử
dụng cho việc điều khiển truy cập vật lý theo cách riêng của chúng. Thẻ
thông minh cũng có thể có một mạch điện, nam châm từ tính, mã vạch như
thiết bị USB.

Thẻ thông minh yêu cầu một bộ đọc thẻ,
trong khi đó USB token có thể sử dụng
cổng USB hiện có trên máy tính và đó là
vấn đề để giải pháp này cạnh tranh với bộ
đọc thẻ thông minh. Ngày nay, các bộ đọc
thẻ thông minh nên cần sử dụng các giao diện như PC Card, ExpressCard,
USB hoặc được xây dựng kèm, một số hãng máy tính notebook và bàn phím
đã thực hiện mô hình của họ. Các bộ đọc thẻ thông minh được xem như các
thiết bị Windows, độc lập hoàn toàn với hệ điều hành chip và chúng có bộ
mô tả bảo mật và bộ nhận dạng PnP. Cả bộ đọc và USB token đều cần đến
một driver thiết bị Windows trước khi chúng có thể được sử dụng và bạn
cũng nên luôn bảo đảm sử dụng các driver mới nhất, vấn đề này xuất phát từ
những lý do về hiệu suất trong suốt việc chứng thực hai hệ số.

Giá thành chi phí ban đầu có thể bị ảnh hưởng đôi chút khi bạn chọn giải
pháp chip để sử dụng. Thẻ thông minh và thẻ tín dụng cơ bản tương tự nhau.
Rất nhiều công ty sử dụng thẻ thông minh cho việc truy cập vật lý tại văn
phòng và thanh toán tiền cho bữa trưa,…. Điều đó có nghĩa rằng nó có cả
những giá trị thuận tiện cũng như tiền tệ và do đó người dùng có thể bảo vệ
và chỉ cần mang thẻ thông minh của họ luôn bên mình mọi lúc. Nó cũng thích
hợp khi mang trong ví, điều đó cũng giúp nó có thể được bảo vệ một cách tốt
hơn.

Một số vấn đề cần xem xét


Khi chọn giải pháp chứng thực dựa trên chip, có một số vấn đề và một số lời
khuyên mà bạn nên xem xét ở đây:

1. Khả năng tương thích - Phải bảo đảm rằng hệ điều hành chip tương thích
với CSP mà bạn muốn sử dụng. Trong phần tiếp theo của loạt bài này, chúng
tôi sẽ giới thiệu đến CSP, phần mềm liên thông giữa hệ điều hành chip và
Windows và nó cũng có trách nhiệm cho chính sách bảo mật đang được áp
dụng cho chip.

2. Vấn đề quản lý - Nếu bạn phải bổ sung thêm các thẻ thông minh hoặc
USB token để sử dụng cho nhiều người thì hãy chọn hệ điều hành chip tương
thích với Card Management System (CMS) mà bạn đã chọn.

3. Khả năng mở rộng - Bảo đảm rằng hệ điều hành chip có thể được sử dụng
bởi tất cả các ứng dụng yêu cầu và những nhu cầu chứng thực mà bạn cần.
Bạn có thể có những nhu cầu trong tương lai cho việc bổ sung thêm các
chứng chỉ bổ sung đối với thẻ thông minh hoặc USB token này, chẳng hạn
như việc ký và mã hóa trong email. Kiểm tra các chi tiết kỹ thuật DoD
Common Access Card (CAC), những chi tiết đã được sử dụng để lưu rất
nhiều thông tin về người dùng. Hãy bảo đảm cân nhắc những vấn đề riêng tư
khi bổ sung thêm thông tin. Chúng ta sẽ xem xét đến vấn đề này trong phần
sau.

4. Khả năng sử dụng - Bảo đảm chọn và bổ sung một giải pháp dựa trên
chip, giải pháp cho cả việc thân thiện cho người dùng và khả năng thao tác.
Một trong những thách thức lớn nhất với các giải pháp chứng thực đa hệ số là
mọi người đều có một khuynh hướng quên hoặc mất thẻ thông minh hay thiết
bị USB của họ hoặc quên PIN nếu nó không được sử dụng thường xuyên.

Kết luận


Trong phần tiếp theo, chúng tôi sẽ giới thiệu cho bạn cách thao tác tốt nhất
khi bổ sung thêm các thẻ thông minh hoặc USB token vào môi trường
Windows, ngoài ra cũng sẽ giới thiệu cách cấu hình một CSP client và những
khác nhau giữa cấu hình CSP trong Windows XP/Windows Server 2003 và
Windows Vista/Windows Server 2008.