Tải bản đầy đủ (.pdf) (6 trang)

Tuần Báo TIN HỌC-Công Nghệ Thông Tin part 134 pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (89.26 KB, 6 trang )

đó nhà cung cấp sẽ trả lại thẻ bảo mật, thẻ đã được chuyển đến nhóm phụ
thuộc.

Cung cấp cách thức thích hợp cho người dùng để họ có thể chọn các nhận
dạng số quan trọng qua cả hai lý do:

• Người dùng cảm thấy có sự phù hợp và cách có thể dự đoán để sử dụng các
nhận dạng số của họ. Không có điều này thì các kết quả sẽ lộn xộn và gây ra
lỗi. Mỗi một ứng dụng xây dựng để sử dụng CardSpace thì ứng dụng này sẽ
phải sử dụng cơ chế tương tự để làm việc với các nhận dạng số, việc trình bày
chúng cho người dùng cũng thông qua giao diện tương tự.

• Người dùng được bảo vệ đối với nhiều công nghệ bảo mật khác nhau. Bạn
không nên quan tâm nhiều xem thẻ bảo mật của nhận dạng riêng được biểu
diễn bằng các chứng chỉ X.509, SAML, hoặc theo một số cách nào đó. Bằng
cách cung cấp một trình bày ảo chung chung, CardSpace bảo đảm cho người
dùng thấy được rằng họ không phải đối mặt với những phức tạp không cần
thiết. Mọi thứ được trình bày dưới dạng những gì để người dùng quan tâm
đến: nhận dạng bản thân họ và thông tin mà có bên trong.

Với sự bảo mật tốt hơn, người dùng có thể chọn bảo vệ các thẻ thông tin cá
nhân với các số nhận dạng cá nhân (PIN), chúng yêu cầu người dùng phải
nhập vào giá trị này trước khi thẻ thông tin được sử dụng. Đi sâu hơn nữa là
việc ngăn chặn các tấn công, CardSpace đã tạo một Windows desktop riêng có
màn hình chọn nhận dạng để cho phép người dùng chọn thẻ. Điều này cũng
tương tự như cơ chế được sử dụng để cách ly màn hình đăng nhập của
Windows, và nó cũng ngăn chặn các tấn công bằng quá trình chạy cục bộ.

Thực sự đáng giá để chỉ ra rằng việc cung cấp một cơ chế phù hợp cho người
dùng để họ có thể chọn nhận dạng số nào có thể sử dụng là một phần của hệ
thống nhận dạng metasystem. Bài viết này chúng tôi chỉ giới thiệu tập trung


vào CardSpace, công nghệ của Windows

Thay thế đăng nhập web dựa trên mật khẩu

Loại điển hình nhất của thẻ bảo mật trên Internet ngày nay vẫn là tên người
dùng. Cách chung nhất để chứng tỏ rằng tên người dùng thực sự là của bạn là
cung cấp một mật khẩu đi kèm với nó. Đôi khi tên người dùng và mật khẩu
được gán cho bạn bởi trang mà bạn đang truy cập, mặc dù vậy thông thường
thì bạn là người chọn cả hai. Vì các trang thực hiện điều này sử dụng SSL cho
việc truyền thông với trình duyệt của bạn nên phương pháp này được xem
như là một phương pháp an toàn đáng kể. SSL bảo đảm toàn bộ sự truyền
thông đều được mã hóa và vì vậy những kẻ tấn công không thể ăn cắp mật
khẩu của bạn bằng cách ‘nghe’ trộm dữ liệu trong khi bạn đang truyền thông.

Mặc dù vậy các cơ chế dựa trên mật khẩu như vậy vẫn có nhiều lỗ hổng đối
với các kiểu tấn công khác. Bằng việc gửi các thông báo email đánh lừa,
những kẻ tấn công đánh lừa người dùng đăng nhập vào các bản copy giả mạo
của trang thực, từ đó lấy mật khẩu và các thông tin cá nhân của bạn. Tuy
nhiên nếu mật khẩu có cơ chế thẩm định tốt trên web thì kiểu tấn công giả
mạo này sẽ giảm mức độ nguy hiểm, khi đó sẽ không có mật khẩu nào bị đánh
cắp. Để thực hiện được điều này và cải thiện tính bảo mật cho việc đăng nhập
vào các trang web, CardSpace cho phép bạn có thể thay thế đăng nhập Web
dựa trên mật khẩu với một cơ chế mạnh hơn.

Hơn cả việc thẩm định người dùng bằng mật khẩu, một nhóm phụ thuộc như
một website có thể thẩm định người dùng bằng các thẻ bảo mật. Ví dụ, một
công ty đang cung cấp một nhóm website cũng có thể giới thiệu một nhà cung
cấp nhận dạng hoạt động trên một số cơ chế và có thể truy cập từ bất kỳ máy
khách nào, đó là khả năng của việc đưa ra các thẻ được chấp nhận bởi tất cả
các trang trong nhóm đó. Phương pháp này cũng tối thiểu hóa được việc phải

sử dụng nhiều mật khẩu và nó hiển nhiên là một tùy chọn có thể được sử dụng
với CardSpace. Tuy nhiên điều này vẫn chỉ được áp dụng với các website cụ
thể bởi vì không có nhà cung cấp nào có tất cả website sẽ chấp nhận đưa ra
các thẻ bảo mật.

Về vấn đề người dùng chọn tên người dùng và mật khẩu của họ. Phương pháp
này được sử dụng rộng rãi trên các website ngày nay bởi vì đơn giản không
cần đến nhà cung cấp nhận dạng nhóm thứ ba nào. Nó không cung cấp nhiều
sự tin cậy mà người dùng thực sự là những gì mà họ đòi hỏi, điều này cũng là
vì website không thể biết được tên nào mà người dùng cung cấp thực sự là của
họ. Tuy nhiên các website sử dụng phương pháp này chỉ cần nhận ra người
dùng cụ thể mỗi khi họ đăng nhập. Tất cả điều này yêu cầu một nhận dạng số
duy nhất cho người dùng, không cần tất cả các thông tin đúng về họ.

Trong bảng tóm tắt ngắn ngọn, vấn đề ở đây là: nhóm phụ thuộc thích chấp
nhận các thẻ bảo mật được tạo bởi một nhà cung cấp nhận dạng vì thực hiện
như trên sẽ cho phép thay thế các đăng nhập dựa trên mật khẩu có thể bị giả
mạo. Mặc dù vậy, trong hầu hết các trường hợp không có nhà cung cấp nhận
dạng nhóm thứ ba được chấp nhận rộng rãi để tạo các thẻ này. Chính mục
đích chỉ là đề nhận được nhiều sự truy cập bởi cùng một người dùng nên nhận
dạng số phức tạp không được yêu cầu ở đây.

Để giải quyết vấn đề này, CardSpace đưa vào nhà cung cấp nhận dạng của
bản thân nó. Như hình 5 thể hiện, nhà cung cấp nhận dạng tự đưa ra này hoạt
động trên hệ thống Windows cục bộ, nó có thể đưa ra các thẻ thông tin giống
như nhiều nhà cung cấp nhận dạng khác. (Trong thực tế, để phân biệt các nhà
cung cấp nhận dạng mở rộng ở điểm khác nhau trong bản chất của nó, thì các
nhà cung cấp mở rộng đôi khi được quy vào nhà cung cấp nhận dạng được
quản lý và các thẻ thông tin mà chúng tạo ra được coi là thẻ được quản lý).
Trong ví dụ thể hiện trong hình 5, người dùng có 3 thẻ có được từ các nhà

cung cấp nhận dạng mở rộng, cùng với một thẻ thu được từ bản thân nhà
cung cấp nhận dạng của nó.
Error!

Hình 5. Người dùng với thẻ thông tin từ chính nhà cung cấp nhận dạng của nó
Các thẻ thông tin được tạo từ chính nhà cung cấp nhận dạng có thể chỉ gồm
các thông tin cơ bản như tên của người dùng, địa chỉ bưu điện, email và số
điện thoại. Khi người dùng chọn để đệ trình một trong những thẻ đến nhóm
phụ thuộc thì nhà cung tự cung cấp nhận dạng trên hệ thống của người dùng
sẽ tạo một thẻ SAML, thẻ này gồm có thông tin mà người dùng đã đặt trên nó.
Nhà tự cung cấp nhận dạng cũng tạo một cặp khóa công khai/ riêng, đánh dấu
thẻ bảo mật bên với khóa riêng. Để ngăn chặn kẻ tấn công sử dụng lại, thẻ này
được xây dựng có tem thời gian và các thông tin khác, làm cho nó trở thành
hoàn toàn vô dụng ngoại trừ người sử dụng gốc. Sau đó ứng dụng gửi thẻ đã
đánh dấu này cùng với khóa công khai của nó đến nhóm phụ thuộc. Nhóm
phụ thuộc có thể sử dụng khóa công khai để hợp lệ hóa chữ ký số của thẻ bảo
mật, như vậy việc bảo đảm thẻ đang tồn tại được thể hiện bởi chính quyền sở
hữu nó. Để làm cho nó trở thành không có tính khả thi đối với các nhóm phụ
thuộc giúp kiểm tra hành động của người dùng bằng cách so sánh khóa công
khai của họ thì nhà tự cung cấp nhận dạng phải tạo một cặp khóa khác cho
mỗi nhóm phụ thuộc, nhóm được truy cập bằng thẻ này (mặc dù những thông
tin chi tiết này được ẩn đối với người dùng do đó người dùng chỉ thấy được
thẻ thông tin riêng của nhận dạng này).

Ý tưởng chính của vấn đề này: vì các thẻ bảo mật được đưa ra bởi hầu hết các
nhà cung cấp nhận dạng (gồm có những thẻ được tạo bởi nhà tự cung cấp
nhận dạng của CardSpace) không sử dụng mật khẩu, nên các nhóm phụ
thuộc gồm có các website,… có thể sử dụng thẻ này thay thế cho mật khẩu để
thẩm định người dùng của họ. Nếu một site không sử dụng mật khẩu thì
những tấn công giả mạo có thể tấn công vào người dùng để lấy trộm mật khẩu

của họ.

Việc giả mạo là một vấn đề nguy hiểm. Nếu những tính năng có nhiều lợi ích
của CardSpace Windows và hệ thống nhận dạng metasystem có thể làm giảm
được vấn đề này thì chúng sẽ cải thiện một cách đáng kể thế giới online ngày
nay.

Cải thiện sự tin cậy của người dùng trong nhận dạng về các ứng dụng web

Việc đăng nhập dựa trên mật khẩu sẽ giảm được vết thương tấn công giả mạo,
tuy nhiên nó sẽ không loại trừ được vấn đề. Nếu người dùng bị đánh lừa truy
cập vào một site của kẻ tấn công giả mạo thì site đó có thể chấp nhận bất cứ
thẻ bảo mật nào mà người dùng được cấp, bản thân đưa ra hoặc trong các
trường hợp khác, sau đó người dùng này sẽ bị hỏi yêu cầu thông tin như số
thẻ tín dụng. Kẻ tấn công giả mạo sẽ không thu được mật khẩu của người
dùng cho site nếu nó đang cạnh tranh, nhưng người dùng có thể học thêm
được nhiều điều hữu dụng khác.

Nguồn gốc của vấn đề này là sự bất lực của người dùng trong việc phân biệt
site thực của ngân hàng của họ với site được kẻ lừa đảo đưa lên. Cả hai có thể
hiển thị cùng logo và các kiểu đồ họa khác. Cả hai có thậm chí có thể sử dụng
SSL để bảo vệ truyền thông, và những kẻ giả mạo cũng có thể thu được các
chứng chỉ giống như bất kỳ ai. Nếu người dùng kích chuột vào một liên kết
được cung cấp trong thông báo email của kẻ giả mạo thì người này có thể bị
kết nối đến một site giống như site ngân hàng của họ. Khóa nhỏ trong góc
phải bên dưới của Internet Explorer thậm chí có thể được hiện lên và chỉ thị
rằng sự truyền thông được bảo đảm bởi SSL.

Để sửa vấn đề này yêu cầu đến hai thứ:


• Đưa ra một cách thức bảo mật cao hơn website cho người dùng.

• Đưa ra một cách phù hợp với người dùng để giúp họ học mức tin cậy mà site
đang cung cấp như một bằng chứng về sự nhận dạng của nó, sau đó làm cho
họ quyết định rõ ràng xem có nên tin tưởng vào website này không.

Windows CardSpace và hệ thống nhận dạng metasystem được đưa ra nhằm
giải quyết hai vấn đề trên.

Giải quyết vấn đề đầu tiên đó là làm thế nào để một website có thể chứng tỏ
được sự nhận dạng của nó với người dùng, nó phụ thuộc vào việc cải thiện các
chứng chỉ được sử dụng để thực hiện điều này. Ngày nay, một website chứng
tỏ một cách điển hình sự nhận dạng của nó với chứng chỉ được tạo cho truyền
thông SSL. Điều này là tốt hơn là không có gì, nhưng các chứng chỉ SSL quả
thực chỉ chứng tỏ được rằng một site được cho có một tên DNS riêng biệt và
không có sự bảo đảm nào cho tên DNS tương ứng với thông tin được hiển thị
trên trang này. Ví dụ, kẻ giả mạo có thể sử dụng chứng chỉ được cấp cho tên
DNS mà họ sở hữu để bảo vệ sự truyền thông với một site đã được chuẩn bị
cho lừa đảo một cách cẩn thận giống như ngân hàng của bạn. Các chứng chỉ
SSL không đủ để giải quyết vấn đề này.

Để giải quyết vấn đề này, Microsoft đã làm việc với các tổ chức khác trong
lĩnh vực để tạo ra một mức chứng chỉ mới. Chứng chỉ này có thể gồm nhiều
thông tin hơn chứng chỉ SSL truyền thống, chúng gồm có tên, vị trí, logo của
tổ chức nó được đưa ra. Chứng chỉ bảo đảm an toàn mức cao hơn này cũng sẽ
cho một nguồn thông tin chính thức hơn vì nó đòi hỏi sự thỏa thuận chặt chẽ
hơn với quyền đưa ra nó. Cả nhà cung cấp nhận dạng và các nhóm phụ thuộc
đều có thể sử dụng loại chứng chỉ mới này để chứng tỏ sự nhận dạng của họ
với người dùng ứng dụng CardSpace.


Việc tạo các chứng chỉ có mức an toàn cao hơn nhằm giải quyết vấn đề đầu
tiên trong hai vấn đề được nêu ở trên. Người dùng phải đưa ra quyết định về
các site mà họ tin tưởng. CardSpace tạo quyết định này một cách rõ ràng, yêu
cầu mỗi người dùng chấp thuận sử dụng các nhà cung cấp nhận dạng và
nhóm phụ thuộc mà họ muốn truy cập. Khi thẻ thông tin được cài đặt lần đầu
trên hệ thống của người dùng thì sẽ có một màn hình hỏi người dùng, thẩm
định rằng họ đang sẵn lòng chấp nhận các thẻ bảo mật được tạo bởi nhà cung
cấp nhận dạng đã đưa ra thẻ này. Tương tự, thời điểm đầu tiên, nhóm phụ
thuộc như một website bị truy cập, một màn hình sẽ xuất hiện yêu cầu đòi
người dùng tự nguyện gửi thông tin nhận dạng số. Hình 6 thể hiện một ví dụ
màn hình hiển thị sự truy cập lần đầu của người dùng đến nhóm phụ thuộc có
thể trông như thế nào:
Error!

Hình 6: Màn hình hiển thị lần đầu nhóm phụ thuộc được truy cập.
Như những gì ví dụ này thể hiện, màn hình có thể gồm có tên, vị trí, website
URL, logo của tổ chức (như Overdue Media). Nó cũng có thể gồm có tên và
logo của tổ chức đã thẩm định thông tin này (như VeriSign).


×