PHỤ LỤC


MỞ ĐẦU
Công nghệ thông tin đã và đang phát triển với một tốc độ chóng mặt,
mang lại rất nhiều lợi ích cho nhân loại. Từ đời sống sinh hoạt đến các hoạt
động kinh doanh, các hoạt động quản lý, chỉ đạo trong bộ máy nhà nước thì đều
có sự hiện diện và đóng góp của Công Nghệ Thông Tin. Tuy nhiên, bên cạnh các
mặt tích cực mà nó mang lại thì vẫn còn tồn tại nhiều mặt tiêu cực và ngày càng
trở nên nghiêm trọng, nhức nhối cho xã hội như: các nguy cơ tấn công mạng
nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy cơ bị đánh cắp các
thông tin “nhạy cảm” của cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà
nước…
Với sự phát triển không ngừng của kĩ thuật máy tính, nguy cơ bị hacker
tấn công vào hệ thống thông tin ngày càng gia tăng, vấn đề password ngày càng
trở nên phức tạp, giờ đây password không chỉ đơn thuần là một chuỗi kí tự bí
mật của riêng user, mà nó luôn ở trong nguy cơ bị cracking cao độ, do đó đòi hỏi
người dùng cần có những kiến thức mới về password.
Với lý do trên nhóm em quan tâm lựa chọn đề tài “Cracking password”.
Nội dung của đề tài gồm 3 chương:
Chương 1: Tổng quan về password.
Chương 2: Các phương thức cracking password.
Chương 3: Các biện pháp phòng chống cracking password.

2


CHƯƠNG 1: TỔNG QUAN VỀ PASSWORD
1.1 Khái niệm về password
Password (tạm dịch là mã xác nhận) là một từ hoặc một chuỗi kí tự bí
mật, được sử dụng để xác thực, chứng minh người sử dụng trước khi truy cập tài

nguyên.
Mật khẩu có thể đi cặp với tên truy nhập khi hệ thống cần phân biệt các
người sử dụng khác nhau.
1.2 Độ phức tạp của mật khẩu
a. Mật khẩu yếu
Một mật khẩu yếu là một mật khẩu ngắn, phổ biến, một mặc định của hệ
thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng bằng cách
thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật khẩu khả dĩ,
như các từ trong từ điển, tên riêng, những từ dựa trên tên người dùng hoặc
những biến thể thông thường của các từ đó. Mật khẩu có thể bị dễ dàng đoán
được dựa trên những hiểu biết về người dùng đó, như ngày tháng năm sinh và
tên thú nuôi, cũng bị xem là yếu.
Các ví dụ về mật khẩu yếu:
+ 888, 123456, 123qwe, asdfgh.
+ giap, luanl, aaa, bbbb.
+…..
b. Mật khẩu mạnh
Một mật khẩu mạnh là một mật khẩu đủ dài, mang tính ngẫu nhiên, hoặc
nếu không chỉ có người chọn nó mới nghĩ ra được, sao cho việc đoán được ra nó
sẽ phải cần nhiều thời gian hơn là thời gian mà một kẻ bẻ khóa mật khẩu sẵn
sàng bỏ ra để đoán nó.
Ví dụ về mật khẩu mạnh:
+ gIap2@bs7lnnl334ls,
3


Thời gian trung bình Brute-Force mật khẩu
1.3 Sự cần thiết của password
Password giúp ta ngăn chặn việc xâm nhập trái phép vào hệ thống, bảo vệ
thông tin, và giúp ta xác nhận duy nhất cá nhân đăng nhập hệ thống cũng như

ghi vết lại những hành động của họ trên dữ liệu.
1.4 Các hiểm họa đến từ password
Trong khi phần lớn các tổ chức và 99% người dùng tại gia vẫn phụ thuộc
vào password như là một hình thức nhận dạng cơ bản đối với các dữ liệu nhạy
cảm và riêng tư, thì các mạng có cơ chế bảo mật thấp vô hình chung tạo ra các lỗ
hổng cho hacker tiếp cận tài nguyên của công ty và tài sản của người dùng.
Mặc dù password là phương tiện cần thiết, thân thiện với người dùng để
nhận dạng người dùng khi tiếp cận mạng hoặc cơ sở dữ liệu của họ, nhưng sự
thật người dùng rất lơ là với những yêu cầu là họ cần thay đổi password, cần tạo
ra một password có tính bảo mật và làm theo những chỉ dẫn để nó càng bí mật
càng tốt. Kết quả là một số lượng lớn password có thể dò được, các password
giống nhau trên nhiều hệ thống, và người dùng phải ghi chú để đăng nhập gồm
password và tên đăng nhập.

4


CHƯƠNG 2: CÁC PHƯƠNG THỨC CRACKING PASSWORD
2.1 Các dạng tấn công mật khẩu.
Tấn công password là ta tìm cách để có được password của một urerID
nào đó để xâm nhập vào hệ thống của họ.
Một cách tổng quan, có 4 dạng tấn công mật khẩu là:
•

Passive Online: Nghe trộm sự thay đổi mật khẩu trên mạng. Cuộc tấn
công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và

•

replay attacks (tấn công dựa vào phản hồi).

Active Online: Đoán trước mật khẩu nguời quản trị. Các cuộc tấn

•
•

công trực tuyến bao gồm việc đoán password tự động.
Offline: Các kiểu tấn công như Dictionary, hybrid, và brute-force.
Non-Electronic: Các cuộc tấn công dựa vào yếu tố con người như
Social engineering, Phising…

2.1.1 Passive Online Attack
a. Wire sniffing
Bắt mật khẩu trên môi trường không mã hóa tốt, đặc biệt là trong môi
trường mạng Lan khi các máy ra Net bắt buộc phải đi ra default gateway. Các
hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng
điều này, hacker có thể truy cập vào đường truyền dữ liệu để nghe trộm hoặc
đọc trộm luồng dữ liệu truyền qua. Hacker nghe trộm sự truyền đạt thông tin,
thu thập những thông tin quý giá về hệ thống như một packet chứa username và
password của một ai đó.
+ Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và phân tích dữ
liệu để tìm ra mật khẩu.
+ Các mật khẩu thường bắt được dạng plaintext của các dịch vụ như:
Telnet, FTP, rlogin, mail...
+ thông tin nghe lén được sử dụng để truy cập trái phép vào hệ thống mục
tiêu.
5


Attacker nghe lén trên đường truyền dữ liệu giữa các victim
b. Man In The Middle Attack

Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn công
(attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung
gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một
máy tính và server, nhằm nghe trộm, đánh cắp thông tin hoặc thay đổi luồng dữ
liệu trao đổi giữa các nạn nhân.

Tấn công Man In The Middle
c. Replay attack:
Các gói dữ liệu và access token của Victim được Attacker bắt lại để sau
này sử dụng để truy cập vào server.
Access Token là đoạn mã sinh ra ngẫu nhiên được sử dụng bí mật cho mỗi
người dùng, ứng dụng khi thực hiện các thao tác quan trọng, hay truy cập vào tài
6


khoản của người dùng. Bạn có thể tạm hiểu access token trong trường hợp này
như một đường hầm bí mật để vào ngôi nhà của bạn. Các hình thức xác thực như
username, password giống như khóa và chìa khóa cửa nhà của bạn vậy. Access
token sẽ không đi qua cánh cửa này.

Kẻ tấn công nghe lén trên đường truyền
2.1.2 Active Online Attack
* Hash Injection and Phishing
+ Hash Injection:
Hash Injection Attack cho phép attacker “tiêm” một giá trị hash vào một
phiên làm việc cục bộ trên máy tính nạn nhân và sử dụng hash để kiểm tra tính
hợp lệ khi truy cập tài nguyên mạng.
Attacker tìm và trích thông tin của “domain admin account hash” đã đăng
nhập.
Attacker sử dụng hash thu thập được để đăng nhập vào domain controller.

+Phishing:
Phishing là việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các
thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ
tín dụng của người dùng. Phishing xuất hiện như một thực thể đáng tin cậy, một
trang thông tin điện tử, eBay, Paypal, gmail, hay các ngân hàng trực tuyến là
những mục tiêu hướng đến của hình thức tấn công này. Phishing thường được
thực hiện qua email, những tin nhắn nhanh và thường tập trung vào hướng lừa
7


người dùng nhập các thông tin vào một form hay click vào một đường dẫn của
website lừa đảo.
Ví dụ: Hacker làm giả giao diện các trang web như FB, Gmail, hay các
trang ngân hàng trực tuyến…, và gửi cho nạn nhân yêu cầu đăng nhập để xác
thực một vấn đề gì đó, khi người dùng không cảnh giác và nhập username,
password thì sẽ được gửi tới cho hacker.

Hacker làm giả trang web Facebook để hack tài khoản người dùng
* Trojan Horse, Spyware, Keyloggers:
Đây là những loại mã độc mà khi máy tính nạn nhân bị nhiễm thì hacker
có thể lấy được một số thông tin quan trọng như username và password.
+ Trojan Horse:
Trojan horse là chương trình máy tính thường ẩn mình dưới dạng một
chương trình hữu ích và có những chức năng mong muốn, hay ít nhất chúng
trông như có các tính năng này. Một cách bí mật, nó lại tiến hành các thao tác

8


khác không mong muốn. Những chức năng mong muốn chỉ là phần bề mặt giả

tạo nhằm che giấu cho các thao tác này.
Trong thực tế, nhiều Trojan horse chứa đựng các phần mềm gián điệp
nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng.
Khác nhau căn bản với virus máy tính là Trojan Horse về mặt kỹ thuật chỉ
là một phần mềm thông thường và không có ý nghĩa tự lan truyền. Các chương
trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ
không tự nguyện cho phép tiến hành. Ngày nay, các Trojan horse đã được thêm
vào đó các chức năng tự phân tán. Điều này đẩy khái niệm Trojan horse đến gần
với khái niệm virus và chúng trở thành khó phân biệt.
+ Spyware (Phần mềm gián điệp):
Phần mềm gián điệp (Spyware) là loại phần mềm chuyên thu thập các
thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng
Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển
hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của
các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người
ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động
của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy
khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc).
Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật
khẩu cũng như là số thẻ tín dụng.
Spyware được cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn
cài đặt phần mềm có chức năng hoàn toàn khác.
+ Keyloggers: Là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có
thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi
khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần
mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp
một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được
9



các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi
trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu
và chìa khóa mã hóa.
* Password Guesing:
Kẻ tấn công sử dụng từ điển username/password để dò mật khẩu của hệ
thống. Phương thức đoán mật khẩu dựa trên kinh nghiệm của attacker và thói
quen người sử dụng. Từ điển này được tạo từ hacker với những từ liên quan đến
nạn nhân như tên, số điện thoại, ngày sinh, tên những người thân… Phương
pháp này khá hiệu quả khi kẻ tấn công hiểu khá rõ về nạn nhân… Tuy nhiên với
những mật khẩu phức tạp thì cách này khó có thể thành công.
2.1.3 Offline Attack
Các kiểu tấn công offline:

Để tìm hiểu về vấn đề này, trước hết ta phải tìm hiểu về cơ chế mã hóa và
xác nhận password.
+ Mã hóa password: hiện nay, đa số password được “băm” một chiều
bằng các hàm băm ví dụ như SHA hoặc MD5. Do đó trên các ứng dụng tốt,
password chỉ được lưu dưới dạng chuỗi kí tự đã được băm chứ không bao giờ
được lưu dưới dạng plaintext.
+ Xác nhận password: giả sử user A có password là abc, password này
được ứng dụng “hash” nó thành 0cc175b7c0f1b6a831c399e269772661 rồi chứa
trong CSDL. Nếu chúng trùng nhau, user A được vào.
Khi các hệ thống bị nhân nhượng, các hacker chỉ có thể lấy được file mã
hóa password, không thể có được file password dạng plaintext, do đặc tính một
10


chiều của hàm băm, các hacker muốn có được password dạng plaintext có thể
dùng những các sau đây:
a. Dictionary attack (dạng từ điển):

+ Tấn công từ điển là tạo ra (download về) một file chứa hầu hết các từ có
nghĩa trong từ điển, sau đó băm ra và so sánh với mật khẩu người dùng, sử dụng
nó để đoán ra password của user. Trên thực tế các users thường dùng những từ
có nghĩa để đặt cho password của mình, do đó phương pháp tấn công bằng từ
điển là một phương pháp đơn giản mà mức độ thành công lại cao. Trên hầu hết
các hệ thống, tấn công từ điển có thể hoàn thành trong thời gian ngắn để so sánh
với các tổ hợp từ có thể.
+ Việc lập file từ điển khá đơn giản, nhất là khi bạn biết khá rõ về user
này. Ví dụ: một thuật ngữ thường xuyên sử dụng trong công việc của user, hoặc
tên một người quan trọng đối với user đó cũng có thể được đưa vào từ điển.
+ Kiểu tấn công này có một số hạn chế là nó không được sử dụng với
những mật khẩu mạnh, có cả chữ và số hay kết hợp của những kí tự không có
nghĩa.

Tấn công dạng từ điển
b. Hybrid attack (dạng tổng hợp):
11


+ Là sự kết hợp giữa tấn công bằng từ điển và tấn công vét cạn. Các cuộc
tấn công Hybrid bắt đầu với một tập tin từ điển và thay thế các con số và các ký
hiệu cho các ký tự trong mật khẩu. Ví dụ, nhiều người sử dụng thêm số 1 vào
cuối mật khẩu của họ để đáp ứng yêu cầu mật khẩu mạnh. Hybrid được thiết kế
để tìm những loại bất thường trong mật khẩu.
+ Ví dụ: user sử dụng password là intertainment123. Khi đó không thể
dùng phương pháp từ điển vì không có từ nào chữ số, nếu dùng phương pháp
brute force thì quá lâu. Ta sẽ dùng phương pháp tấn công tổng hợp, bằng cách sử
dụng phương pháp từ điển để lấy ra một từ có nghĩa, sau đó dùng phương pháp
brute force để thêm các con số vào sau từ đó và dò tìm password.
c. Brute Force Attack (Tấn công vét cạn):

+ Đây là phương pháp bẻ password bằng cách vét cạn tất cả các trường
hợp ghép nối các kí tự có thể có, bắt đầu từ những kí tự đơn giản thông thường
cho đến những kí tự đặc biệt, sau đó băm ra để so sánh với password người
dùng.
+ Một cuộc tấn công bằng thuật toán brute-force là chậm nhất trong ba
loại tấn công vì có thể kết hợp nhiều ký tự trong mật khẩu. Tuy nhiên, với một
máy tính mạnh có khả năng ghép nối tất cả các kí tự lại với nhau, hacker có thể
bẻ được tất cả những mật khẩu nếu có đủ thời gian.
2.1.4 Non-electronic attack
Các cuộc tấn công nonelectronic là dạng tấn công mà không sử dụng bất
kỳ kiến thức kỹ thuật nào. Loại tấn công có thể bao gồm các kỹ thuật như social
engineering, shoulder surfing, keyboard sniffing, dumpster diving.
a. Social engineering
Sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm
khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực
hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công
bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet
12


để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm
một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phương
pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người
dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người
dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành
động.
b. Shoulder surfing
Shoulder Surfing là một kỹ thuật thu thập password bằng cách xem qua
người khác khi họ đăng nhập vào hệ thống. Hacker có thể xem người sử dụng
đăng nhập hợp lệ và sau đó sử dụng password đó đề giành được quyền truy xuất

đến hệ thống. Phương thức này có vẻ đơn giản nhưng chính sự chủ quan của
người dùng tạo cơ hội cho attacker có thể tìm ra mật khẩu.
c. Keyboard sniffing
Sử dụng bàn phím giả gắn trên bàn phím thật, mọi thao tác của người sử
dụng đều bị lưu lại trên bộ nhớ hoặc gắn camera ngay trên bàn phím để ghi hình
việc người sử dụng gõ bàn phím. Ví dụ: gắn bàn phím giả lên trên bàn phím thật
ở các máy ATM để lấy mã PIN các chủ thẻ.
d. Dumpster diving
Tìm kiếm trong thùng rác, thông tin được viết trên mảnh giấy hoặc bản in
máy tính. Hacker có thể tìm thấy password, filename, hoặc những mẩu thông tin
bí mật.
2.2 Các công cụ crack password phổ biến.
+ Legion: Đây là công cụ có khả năng quét nhiều máy tính cùng lúc thông
qua các dãy địa chỉ IP để tìm ra các tài nguyên chia sẻ và đoán mật khẩu của
người dùng tự động.
+ L0pht Crack : Có khả năng bẻ khóa mật khẩu rất mạnh mẽ dựa trên dữ
liệu từ điển có sẵn của ứng dụng hay tiến hành bẻ khóa theo dạng brute-force
13


(quét cạn) nếu như dò tìm điển không thành công. Với ứng dụng này, những
máy tính có cấu hình càng mạnh thì tỉ lệ thành công càng cao.
+ Join The Riper: Ứng dụng dạng dòng lệnh này có thể bẻ khóa mật khẩu
của các hệ thống Unix và Windows.
+ KerbCrack: Chương trình này gồm hai thành phần là : kerbsniff và
kerbcrack, trong đó kerbsniff sẽ lắng nghe và bắt giữ các thông tin đăng nhập
của hệ thống Windows 2000 / XP / 2003 / Vista sau đó sẽ gởi đến cho kerbcrack
bẻ khóa thông qua các phương pháp quét cạn hay dùng từ điển.
+ Cain Abel: Nghe lén mật khẩu thông qua tấn công giả mạo ARP cache,
hay bẻ khóa mật khẩu bằng từ điển hay vét cạn.

+ Konboot: Đột nhập vào máy tính window không cần mật khẩu.

14


CHƯƠNG 3: CÁC BIỆN PHÁP PHÒNG CHỐNG CRACKING
PASSWORD
3.1 Phòng chống tấn công bẻ khóa mật khẩu
Để ngăn ngừa bị bẻ khóa mật khẩu chúng ta cần áp đặt các chính sách mật
khẩu mạnh có độ dài trên 8 kí tự, với sự kết hợp của nhiều dạng kí tự khác nhau
gồm kí tự đặc biệt, chữ hoa, chữa thường và các số sẽ làm cho quá trình tấn
công dò từ điển hay brute-force trở nên khó khăn. Bên cạnh đó, quản trị mạng
nên ứng dụng Syskey trên Windows, một chức năng bảo vệ và mã hóa mật khẩu
nâng cao có thể phòng chống rất tốt các công cụ như L0phtCrack, Ron The
Ripper.
Sau đây là một số quy tắt đặt mật khẩu cần tuân theo để phòng chống bị
bẻ khóa:
•
•

Không bao giờ sử dụng mật khẩu mặc định.
Không bao giờ sử dụng các mật khẩu đơn giản có thể bị tìm kiếm
thông qua dò từ điển, như các mật khẩu là password, abcdef,

•

123456 là những mật khẩu được thống kê là bị tấn công nhiều nhất.
Không bao giờ sử dụng mật khẩu liên quan đến hostname, domain

•


name hay những thông tin mà hacker dễ dàng tìm kiếm qua Whois.
Không bao giờ sử dụng mật khẩu liên quan đến thú cưng, ngày sinh
của bạn hay người yêu vì đây là những đối tượng mà hacker sẽ nghĩ

•

đến đầu tiên khi dò mật khẩu của bạn.
Đừng bao giờ chỉ đặt một kí tự đặt biệt sau một từ khóa. Ví dụ:

•

không đặt password là password1.
Đừng bao giờ ghép hai từ với nhau để được một password. Ví dụ

•
•
•
•
•
•
•

như: vnevne.
Không đặt password dễ đoán.
không đặt password quá ngắn.
Không đặt password là từ thường xuyên gõ đúng như: 123qwe
Hãy thay đổi mật khẩu thường ít nhất một tháng một lần.
Hãy thay đổi ngay lập tức khi phát hiện ra tài khoản của mình bị
người khác sử dụng.

Đừng bao giờ chứa password trên máy tính của bạn.
Không nói cho người khác biết mật khẩu của mình.
15


•
•
•

Tránh đặt trùng password trên nhiều ứng dụng.
Không ghi password ra dạng plaintext cho dễ nhớ.
Sử dụng các mật khẩu có độ dài trên 21 kí tự sẽ khiên cho hacker
không thể bẻ khóa bằng cách dò từ điển hay vét cạn (thời gian rất
lâu).

3.2 Một số phương pháp tăng độ mạnh của mật khẩu và ngăn ngừa bị tấn
công
3.2.1 Thay đổi mật khẩu thường xuyên.
Thay đổi mật khẩu thường xuyên là một trong những tiêu chí hàng đầu
trong việc bảo vệ mật khẩu, thoe khuyến nghĩ của chính sách an toàn thông tin
ISO 27001 : 2005 thì chúng ta nên thay đổi mật khẩu sau 24 ngày hoặc 48 ngày
tùy vào nhu cầu của tổ chức. Mặc dù điều này sẽ gây ra đôi chút bất tiện cho
người dùng nhưng sẽ hạn chế rất nhiều khả năng các hacker bẻ khóa được mật
khẩu và tái sử dụng để truy cập bất hợp pháp vào hệ thống.
3.2.2 Theo Dõi Event Viewer Log.
Trong vai trò quản trị hệ thống hay người phụ trách vấn đề an ninh mạng
của tổ chức các bạn cần thường xuyên theo dõi tập tin nhật kí Event View, điều
này sẽ giúp chúng ta phát hiện ra những hành động khả nghi như xâm nhập trái
phép của hacker, hoặc có các virus đang lây lan trên mạng đang cố gắng kết nối
đến những máy tính khác nhau bằng tên netbios và các mật khẩu mặc định. Có

nhiều công cụ giám sát Event Log chuyên dụng cho từng hệ thống máy chủ
riêng biệt như các sản phẩm của GFI (www.gfi.com) hay chương trình
VisualLast ( hỗ trợ các quản trị mạng trong công
việc phân tích log file thông qua các báo cáo về tình trạng đăng nhập tương đối
rõ ràng. Đối với những chương trình chuyên dụng thì khi hệ thống có sự cố xảy
ra sẽ có những cảnh báo thích hợp bằng mail, sms hay cả gọi điện thoại tự động
đến cho quản trị viên.
Tập tin nhật kí được lưu trữ tại c:\\windows\system32\config\ , cần lưu ý
trong một số tình huống tập tin này rỗng do các bạn không hiệu lực chúng trong
16


chính sách bảo mật. hãy thiết lập chúng trong mục Security Settings\ Local
Policies.
3.2.3 Sử dụng mật khẩu dạng hình ảnh (Graphical password)
Về cơ bản, con người có xu hướng ghi nhớ các thông tin dưới dạng hình
ảnh dễ dàng hơn thông tin dưới các dạng khác. Chúng ta có thể gặp khó khăn
khi phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ gương mặt của những
người ta đã gặp, những nơi ta đã đến và những thứ ta đã thấy. Dựa vào đặc điểm
này, người ta đã tạo ra mật khẩu hình ảnh (graphical password).
Để đăng nhập vào một website hay hệ thống được bảo mật bằng graphical
password, thay vì phải nhập một chuỗi ký tự như ở alpha – numberic password,
người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên bức ảnh mà hệ thống đưa
ra. 4 điểm này chính là mật khẩu mà họ đã xác định và ghi nhớ trong quá trình
tạo mật khẩu. Dĩ nhiên người dùng cũng có thể chọn số lượng điểm bí mật nhiều
hơn 4 để tăng độ bảo mật.
Điểm mạnh của graphical password là dễ nhớ mà mức độ bảo mật lại cao
vì hacker không thể sự dụng cách tấn công từ điển để đánh cắp mật khẩu và các
chương trình keylogger cũng trở nên vô dụng vì các biểu tượng được xáo trộn
ngẫu nhiên mỗi lần đăng nhập. Tuy nhiên bạn cũng có thể bị lộ password nếu

người khác quan sát và ghi nhớ các biểu tượng cũng như điểm ảnh bạn chọn mỗi
lần đăng nhập.
3.2.4 Sử dụng mật khẩu dùng một lần duy nhất (One time password)
Nguyên lý hoạt động của mật khẩu một lần (One time password - OTP)
như sau: sau khi đã đăng ký dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ
được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị
tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ
cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn hay điện thoại di động
mà không cần đến kết nối internet.

17


Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng đăng xuất (log out) ra
khỏi hệ thống. Như vậy, nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó
cũng không thể dùng được, và do đó giải pháp OTP có tính bảo mật rất cao.
Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào
hệ thống được bảo mật bằng OTP. Công nghệ OTP được dùng nhiều trong
chứng thực trực tuyến (thương mại trực tuyến). Hiện nay người dùng các thiết bị
cầm tay như iPhone, Blackberry cũng có thể tự cài đặt cơ chế bảo mật OTP bằng
các chương trình nhưVeriSign, RSA SecureID hay SafeNet MobilePASS.

KẾT LUẬN
Hiểu được tầm quan trọng của mật khẩu, của bảo mật mật khẩu, thế nào là
một mật khẩu mạnh, các dạng tấn công mật khẩu và các cách phòng chống bẻ
khóa mật khẩu rất quan trọng đối với an ninh mạng.
Trên đây là toàn bộ báo cáo của chúng em về đề tài cracking password.
Thông qua bài báo cáo, chúng em đã hiểu tương đối rõ về mật khẩu, các dạng bẻ
18



khóa mật khẩu và làm thể nào để tăng độ bảo mật của mật khẩu…Tuy nhiên, chỉ
dừng lại ở mức độ lý thuyết, chưa có điều kiện cũng như thời gian để thực hành
với các công cụ tấn công và chống tấn công mật khẩu. Bài báo cáo còn nhiều
thiếu sót, chúng em hy vọng nhận được sự đóng góp ý kiến, giúp đỡ nhiệt tình
của thầy cô giáo và các bạn để bài báo cáo của chúng em được hoàn thiện hơn.

19