Các dạng mật khẩu cần biết ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (318.86 KB, 13 trang )
Các dạng mật khẩu cần biết
Tầm quan trọng của password (mật khẩu) đối với
người dùng internet là điều tất yếu. Tuy nhiên,
bạn cần phải hiểu rõ về các dạng password để vận
dụng chúng tốt hơn nhằm bảo vệ tài khoản và dữ
liệu của mình.
Các chương trình đánh cắp password ngày càng tinh
vi, công nghệ xử lý và bảo mật password cũng vì thế
mà liên tục được cải tiến. Nhân dịp BitDefender vừa
giới thiệu công nghệ password mới bằng bản đồ 3D,
Quản trị mạng cùng điểm qua một số giải pháp
password trực tuyến đang được áp dụng hiện nay.
Mật khẩu là lá chắn an toàn cho dữ liệu của bạn trước
những cặp mắt tò mò - (Ảnh: minh họa: Internet)
Mật khẩu truyền thống
Công nghệ bảo mật bằng mật khẩu (password) đã
được áp dụng từ những ngày đầu tiên khi máy tính
xuất hiện. Năm 1961, viện công nghệ MIT cho ra mắt
một trong những hệ thống chia sẻ đầu tiên trên thế
giới – CTSS – cùng với hệ thống mật khẩu sơ khai
bao gồm lệnh LOGIN, yêu cầu người dùng nhập vào
mật khẩu. Sau khi nhập lệnh PASSWORD, người
dùng sẽ phải nhập tiếp mật khẩu của mình để được hệ
thống xác nhận.
Cũng trong thập niên 1960, công nghệ bảo mật bằng
mật khẩu dần được hoàn thiện thành dạng password
được sử dụng phổ biến nhất cho đến ngày nay: alpha
– numeric password, tức mật khẩu dưới dạng một
chuỗi các chữ cái và chữ số. Bất kỳ chuỗi ký tự nào
cũng có thể trở thành mật khẩu, nhưng người dùng
được khuyến cáo nên đặt mật khẩu của mình phức
tạp đủ để không bị người khác đoán ra. Mật khẩu
càng phức tạp, khó đoán thì độ bảo mật càng cao.
Tuy nhiên, độ phức tạp của mật khẩu cũng tỉ lệ
nghịch với việc người dùng có thể nhớ chúng một
cách dễ dàng.
Ngoài việc khó có thể tự đặt ra một mật khẩu đủ khó
để không bị người khác đoán ra nhưng cũng phải đủ
dễ để chính bản thân người dùng có thể ghi nhớ,
alpha – numberic password còn phải đối mặt với các
cuộc tấn công chiếm password và các chương trình
đánh cắp mật khẩu.
Dạng tấn công phổ biến nhất là tấn công tra cứu từ
điển (dictionary attack). Phương thức này hiểu đơn
giản là kiểu đoán mật khẩu với các cụm từ có nghĩa
thường được nhiều người chọn dùng làm mật khẩu
(thay vì các chuỗi ký tự ngẫu nhiên như được khuyến
cáo), kẻ tấn công sẽ dùng chương trình tự động thử
tất cả các từ có nghĩa trong từ điển để bẻ khóa
password.
Ngoài ra còn có hàng trăm chương trình keylogger
được sử dụng để ghi nhận quá trình nhập password
của nạn nhân rồi tự động gửi thông tin về cho kẻ có ý
muốn đánh cắp password đó. Hoặc kiểu tra cứu từng
ký tự trong mật khẩu (brute-force attack), chương
trình sẽ tự động dò tìm từng ký tự trong chuỗi mật
khẩu. Tuy dạng brute-force attack có tỉ lệ phá mật
khẩu cao nhưng nếu người dùng sử dụng các loại mật
khẩu bao gồm nhiều ký tự chữ và số xen lẫn ký tự
đặc biệt thì có thể phải mất nhiều năm mới có thể tìm
ra chuỗi mật khẩu hoàn thiện (Ví dụ:
n$W0k1J^57$h@k3R mật khẩu được cho là có tính
bảo mật cao nhưng lại khó nhớ).
Trước sự đe dọa của các chương trình đánh cắp mật
khẩu, việc phát minh ra nhiều dạng password mới
thay thế cho kiểu truyền thống là hết sức cần thiết, và
mật khẩu hình ảnh cùng với mật khẩu một lần là 2
trong số những số ấy.
Mật khẩu dạng hình ảnh (Graphical password)
Về cơ bản, con người có xu hướng ghi nhớ các thông
tin dưới dạng hình ảnh dễ dàng hơn thông tin dưới
các dạng khác. Chúng ta có thể gặp khó khăn khi
phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ
gương mặt của những người ta đã gặp, những nơi ta
đã đến và những thứ ta đã thấy. Dựa vào đặc điểm
này, người ta đã tạo ra mật khẩu hình ảnh (graphical
password).
Để đăng nhập vào một website hay hệ thống được
bảo mật bằng graphical password, thay vì phải nhập
một chuỗi ký tự như ở alpha – numberic password,
người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên
bức ảnh mà hệ thống đưa ra. 4 điểm này chính là mật
khẩu mà họ đã xác định và ghi nhớ trong quá trình
tạo mật khẩu. Dĩ nhiên người dùng cũng có thể chọn
số lượng điểm bí mật nhiều hơn 4 để tăng độ bảo
mật.
Click vào bốn điểm chấm đỏ là cách thức nhập
password qua hình ảnh.
Ở một hình thức khác, người dùng sẽ chọn và ghi nhớ
4 hoặc nhiều hơn các biểu tượng trong quá trình tạo
password và chọn lại chúng trong hàng loạt biểu
tượng được sắp xếp ngẫu nhiên và thay đổi trong quá
trình đăng nhập.
Chọn password theo hình ảnh.
Trường Đại học Malaya (Malaysia) còn cung cấp một
thuật toán khác: khi đăng ký tài khoản, người dùng sẽ
tạo password bằng cách chọn các biểu tượng do máy
chủ cung cấp. Khi đăng nhập, những biểu tượng này
sẽ được thu nhỏ và xoay theo các chiều khác nhau,
người dùng lúc này sẽ phải nhận ra biểu tượng mà
mình đã chọn, sau đó nhập vào ô password những ký
tự hiện bên dưới biểu tượng đó. Giải pháp này khá
mất thời gian nên vẫn còn đang trong giai đoạn thăm
dò ý kiến người dùng.
Điểm mạnh của graphical password là dễ nhớ mà
mức độ bảo mật lại cao vì hacker không thể sự dụng
cách tấn công từ điển để đánh cắp mật khẩu và các
chương trình keylogger cũng trở nên vô dụng vì các
biểu tượng được xáo trộn ngẫu nhiên mỗi lần đăng
nhập. Tuy nhiên bạn cũng có thể bị lộ password nếu
người khác quan sát và ghi nhớ các biểu tượng cũng
như điểm ảnh bạn chọn mỗi lần đăng nhập.
Mật khẩu dùng một lần duy nhất (One time
password)
Nguyên lý hoạt động của mật khẩu một lần (One
time password - OTP) như sau: sau khi đã đăng ký
dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ
được cung cấp một mật khẩu tạo ra bởi đầu đọc và
thẻ thông minh hay thiết bị tạo mật khẩu cầm tay
(token) nhờ vào kết nối internet với máy chủ của
dịch vụ cung cấp OTP hoặc cũng có thể thông qua
thẻ OTP in sẵn hay điện thoại di động mà không cần
đến kết nối internet.
Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng
đăng xuất (log out) ra khỏi hệ thống. Như vậy, nếu
bạn bị lộ mật khẩu thì người có được mật khẩu đó
cũng không thể dùng được, và do đó giải pháp OTP
có tính bảo mật rất cao.
Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người
dùng đăng nhập vào hệ thống được bảo mật bằng
OTP. Công nghệ OTP được dùng nhiều trong chứng
thực trực tuyến (thương mại trực tuyến). Hiện nay
người dùng các thiết bị cầm tay như iPhone,
Blackberry cũng có thể tự cài đặt cơ chế bảo mật
OTP bằng các chương trình như VeriSign, RSA
SecureID hay SafeNet MobilePASS.
Ngày càng có nhiều giải pháp mới giúp tăng cường
tính bảo mật của password. Nhưng dù với bất cứ giải
pháp nào thì người dùng cũng nên tự bảo vệ mình
bằng cách lựa chọn và ghi nhớ mật khẩu của mình
thật hiệu quả, cũng như tăng cường các biện pháp
phòng vệ trước sự đe dọa của hacker và các chương
trình keylogger.
