Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng

Báo cáo tốt nghiệp Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng LỜI NÓI ĐẦU Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trường mở cửa đã mang lại nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành công nghiệp máy tính và truyền thông phát triển đã đưa thế giới chuyển sang thời đại mới: thời đại công nghệ thông tin. Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành tựu và lợi ích to lớn. Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con người, con người có thể ngồi tại chỗ mà vẫn nắm bắt được các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ chức, công ty hay các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng. Và một nhu cầu tất yếu sẽ nảy sinh là người quản lý hệ thống phải kiểm soát được việc truy nhập sử dụng các tài nguyên đó. Một vài người có nhiều quyền hơn một vài người khác. Ngoài ra, người quản lý cũng muốn rằng những người khác nhau không thể truy nhập được vào các tài nguyên nào đó của nhau. Để thực hiện được các nhu cầu truy nhập trên, chúng ta phải xác định được người dùng hệ thống là ai để có thể phục vụ một cách chính xác nhất, đó chính là việc xác thực người dùng. Đây là một vấn đề nóng bỏng và đang được quan tâm hiện nay. Đó là một trong những nguyên nhân khiến em chọn đề tài "Giải pháp xác thực người dùng bằng công nghệ Captive Portal”. Với công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì trước tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt (thường dùng cho mục đích xác thực). Captive Portal sẽ chuyển hướng trình duyệt tới thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang Web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận các quy định đó trước khi truy cập Internet. Captive Portal thường được triển khai ở hầu hết các điểm truy nhập Wi-Fi và nó cũng có thể được dùng để điều khiển mạng có dây. Giải pháp xác thực người dùng Lê Thị Thùy Lương 2 Đề tài gồm phần mở đầu, bốn chương và kết luận Chương 1: Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và vấn đề bảo mật hệ thống mạng. Tìm hiểu khái niệm xác thực người dùng và các giải pháp xác thực người dùng phổ biến. Qua đó đưa ra được các ưu điểm và nhược điểm của các giải pháp đó. Chương II: Mạng không dây và các chính sách bảo mật Chương này tìm hiểu khái quát về mạng không dây và các chính sách bảo mật. Chương III: Công nghệ Captive Portal và sử dụng Radius xác thực trong WLAN Chương này đi vào khảo sát một công nghệ xác thực người dùng. Đó là xác thực người dùng bằng công nghệ Captive Portal. Chương IV: Cài đặt và thử nghiệm phân mềm ChilliSpot Chương này sẽ trình bày về cách cấu hình; cách triển khai cài đặt và sử dụng chương trình. Phần kết luận: Phần này tóm tắt kết quả đạt được, đưa ra những hạn chế của và hướng khai thác hệ thống trên thực tế. Giải pháp xác thực người dùng Lê Thị Thùy Lương 3 Chương 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính 1.1.1. Đe dọa an ninh từ đâu? Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu người muốn hướng tới cái chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác lại làm cho cái ác nảy sinh, lấn lướt cái thiện. Sự giằng co giữa cái thiện và cái ác ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại luôn nảy sinh theo thời gian. Mạng máy tính cũng vậy, có những người phải mất biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau. Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an ninh cho tổ chức rất rõ ràng. Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình, để thoả mãn thói hư ích kỷ. Loại người này thường làm hại người khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự của họ. Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của người khác như việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để chuyển trộm tiền... Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng máy tính toàn cầu đều có một lượng lớn các thông tin kết nối trực tuyến. Trong lượng lớn các thông tin ấy, có các thông tin bí mật như: các bí mật thương mại, các kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính... hay các thông tin về nhân sự, bí mật riêng tư... Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng. Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện được mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện được điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm. Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn. Như thế, cả hai mặt tích cực và tiêu cực ấy đều được Giải pháp xác thực người dùng Lê Thị Thùy Lương 4 thực hiện bởi bàn tay khối óc của con người, không có máy móc nào có thể thay thế được. Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con người. Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người có trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT (Computer Emegency Response Team) thì số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà băng... Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công. Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng. Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra. Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống. Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lường trước được. Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức. Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu. Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, mà trước hết là cho chính mình. 1.1.2. Các giải pháp cơ bản đảm bảo an ninh Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau: Giải pháp xác thực người dùng Lê Thị Thùy Lương 5 o Giải pháp về phần cứng. o Giải pháp về phần mềm. o Giải pháp về con người. Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình. Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng)... Giải pháp phần cứng thông thường đi kèm với nó là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và chi phí rất cao. Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa,... Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá dưới dạng mà những kẻ “nhòm trộm” không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế phát hiện sự sửa đổi đó. Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm đặc biệt (thường gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật - hay là Internet), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng. Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được. Vì như phần trên đã thấy, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật,... Còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy Giải pháp xác thực người dùng Lê Thị Thùy Lương 6 định có thể như: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm,... Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người. Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà nó đòi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được thực hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảy sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắc chắn hơn. 1.2. Vấn đề bảo mật hệ thống và mạng 1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng. Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. 1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống a. Đối tượng tấn công mạng (intruder) Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một số đối tượng tấn công mạng như: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng… Giải pháp xác thực người dùng Lê Thị Thùy Lương 7 Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức… b. Các lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp… Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. c. Chính sách bảo mật Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 1.3. Các kiến thức cơ bản về xác thực người dùng Khi người sử dụng muốn truy nhập vào một hệ thống máy tính, thông thường, người sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận được các thông tin ấy, máy tính kiểm tra xem người sử dụng có quyền truy nhập vào hệ thống không. Đây cũng là một nguyên tắc cơ bản được áp dụng cho một người khi muốn trao đổi thông tin với người khác: Trước tiên cần phải xác định người tham gia trao đổi thông tin có đúng là người muốn trao đổi không. Do đó cần phải có một phương thức Giải pháp xác thực người dùng Lê Thị Thùy Lương 8 để cung cấp đặc điểm nhận dạng nhằm đảm bảo người trao đổi thông tin là hợp lệ. Quá trình này được gọi là xác thực người sử dụng. Trên thế giới cũng như ở Việt Nam, vấn đề xác thực người dùng đang được quan tâm và đã có nhiều giải pháp được sử dụng và nghiên cứu. Có rất nhiều cách để xác thực: người sử dụng có thể cung cấp các thông tin mà chỉ có người đó mới biết: ví dụ mật khẩu, mã số cá nhân,… hoặc người đó có thể cung cấp các thông tin riêng khác như số chứng minh thư, thẻ từ, thẻ thông minh… Trong đó, mỗi giải pháp lại có những ưu điểm và nhược điểm riêng khác nhau. 1.3.1. Khái niệm về xác thực người dùng Xác thực người dùng là một quá trình qua đó hệ thống có thể xác minh rằng một ai đó thực sự là họ. Quá trình xác thực sẽ xác định xem một người có phải là người được sử dụng hệ thống không. Nó thường đi kèm với quá trình xác định quyền hạn của người đó trong hệ thống. 1.3.2. Các giải pháp xác thực người dùng phổ biến a. Giải pháp sử dụng tên và mật khẩu ™ Mô tả Đây là giải pháp truyền thống hay được sử dụng nhất, là giải pháp sử dụng tài khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (uername) và mật khẩu (password). Tên truy nhập dùng để phân biệt các người dùng khác nhau (thường là duy nhất trong hệ thống), còn mật khẩu để xác thực lại người sử dụng tên đó có đúng là người dùng thật sự không. Mật khẩu thường do người sở hữu tên truy nhập tương ứng đặt và được giữ bí mật chỉ có người đó biết. Khi người dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng nhập bằng cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối chiếu tên truy nhập của người dùng đưa vào với cơ sở dữ liệu tên người dùng, nếu tồn tại tên người dùng như vậy thì hệ thống tiếp tục đối chiếu mật khẩu được đưa vào tương ứng với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì người đăng nhập là người dùng hợp lệ của hệ thống. ™ Ưu điềm Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ liệu người dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tương ứng với Giải pháp xác thực người dùng Lê Thị Thùy Lương 9 mỗi tên truy nhập là quyền sử dụng của người đó trong hệ thống. Do đó các thông tin này không chiếm nhiều tài nguyên. Người dùng dễ hiểu và dễ sử dụng. Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng và không tốn kém. ™ Nhược điểm Giải pháp này có nhược điểm lớn nhất là không có được sự bảo mật cao. Vì người dùng thường có tên đăng nhập nhiều người dùng có. Mặt khác, người dùng thường chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn công. Kẻ tấn công có nhiều phương pháp để đạt được mật khẩu như thâm nhập vào hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật khẩu, hoặc có thể lừa người dùng để lộ mật khẩu. Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này: Đặt mật khẩu phức tạp: mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt như vậy thì kẻ muốn tấn công cũng sẽ rất khó đoán được mật khẩu. Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ không còn tác dụng đối với hệ thống và người dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ được thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn. Mã hóa thông tin: Trong môi trường làm việc là mạng, những nhà thiết kế thường dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trước khi chúng được gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đường truyền. Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) được sử dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có 2 cách để hệ thống mật khẩu sử dụng một lần có thể làm việc là: Danh sách các mật khẩu được tạo ra một cách ngẫu nhiên bởi hệ thống và được sao làm 2 bản, một bản cho người dùng và một bản cho hệ thống. Danh sách mật khẩu được tạo ra theo yêu cầu của người sử dụng và được hệ thống công nhận. Giải pháp xác thực người dùng Lê Thị Thùy Lương 10 Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị cho trước (do người dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp tục áp dụng thuật toán MD4 cho khóa đầu tiên để được khóa thứ 2 …và cứ áp dụng liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực người dùng, hệ thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi người dùng khóa trước đó (khóa thứ n-1). Nếu người dùng nhập đúng khóa n-1 thì hệ thống sẽ cho người dùng đăng nhập và ghi lại khóa n-1 vào bộ nhớ. Đến lần đăng nhập sau, hệ thống sẽ hỏi người dùng khóa thứ n-2 … Khi dùng thuật toán MD4 để sinh ra kết quả thì từ kết quả hầu như không thể suy ngược lại giá trị đầu vào nên hệ thống không thể tìm ra được khóa thứ n-1 là gì, mặc dù khi biết cả khóa thứ n. Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn công. Nếu người dùng tự thiết lập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ được đoán ra theo các cách giống như khi đoán các mật khẩu thông thường. Đối với những từ đoán được, kẻ tấn công sẽ áp dụng thuật toán MD4 để sinh ra các khóa và sẽ thử hết các khóa này cho đến khi tìm được khóa người dùng đang sử dụng. Còn trong trường hợp hệ thống sẽ tự sinh ra giá trị ban đầu và một lượng mật khẩu đủ dùng trong một thời gian nào đó, người dùng sẽ có một danh sách các mật khẩu được đánh thứ tự. Về phía người dùng, họ sẽ không thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho người dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngoài ra, kẻ tấn công còn có thể dùng phương pháp bắt gói tin đăng nhập của người dùng để lấy mật khẩu. ™ Ứng dụng Giải pháp này đã và đang được sử dụng rất nhiều trong các ứng dụng. Nó được ứng dụng trên một máy tính và đặc biệt được ứng dụng cả trên mạng. Kể cả các cơ quan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của mình các đường truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thông tin truyền và lưu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lượng truyền đi trên đường truyền nhỏ nên dù đường truyền có băng thông không lớn thì thông tin này cũng được truyền đi trong một khoảng thời gian chấp nhận được. Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật khẩu như: Hệ điều hành (Windows, Unix…), các dịch vụ thư điện tử, thương mại điện tử… Giải pháp xác thực người dùng Lê Thị Thùy Lương 11 b. Giải pháp dùng thẻ thông minh ™ Mô tả Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ như thẻ tín dụng được trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để kiểm soát bộ nhớ. Nó có thể lưu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác mà sự thay đổi của chúng cần được kiểm soát chặt chẽ. Ngoài ra, nó có thể lưu trữ các khóa mã hóa để người dùng có thể nhận dạng qua mạng, chữ ký điện tử … Đặc biệt, hiện nay thẻ thông minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho các vấn đề về xác thực người dùng. Hiện nay, các cơ quan tổ chức dùng thẻ rầt nhiều. Đầu tiên, những thông tin cần thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ được lưu vào bộ nhớ của thẻ. Sau đó, nó được cung cấp cho các nhân viên tương ứng với các thông tin đó. Mỗi cơ quan, tổ chức khác nhau sẽ có các yêu cầu về thông tin xác thực khác nhau nhưng thường là các thông tin như tên truy nhập, mật khẩu và một số thông tin cá nhân khác. Trong hệ thống thông tin đòi hỏi phải có xác thực người dùng, nhân viên trong tổ chức chỉ cần đưa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó để xác nhận với hệ thống là chính họ là người sở hữu chiếc thẻ đó. Khi đã nhập đúng mã này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng được ghi trong thẻ và chuyển các thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ sở dữ liệu người dùng. ™ Ưu điểm Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm được rất nhiều các nguy cơ gây mất an toàn thông tin. Mọi hoạt động của thẻ đều được kiểm soát bởi hệ điều hành nên các thông tin cần giữ bí mật sẽ không thể lấy ra được từ thẻ. Các thông tin bên trong thẻ không thể bị kẻ xấu lấy cắp như các thông tin được lưu trữ trong các phần mềm hệ quản trị cơ sở dữ liệu thông thường. Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều được lưu trữ bên trong thẻ. Nhà sản xuất thẻ cũng như người sở hữu thẻ đều không thể biết được các khóa này. Vì vậy, chúng không thể bị lấy cắp hay bị sao chép. Giải pháp xác thực người dùng Lê Thị Thùy Lương 12 Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sử dụng.