9
– Nhưng Password có thể bị mất, bị đánh cắp, bị thay đổi và bị
phá, điều này dẫn tới nguy cơ bảo mật cho hệ thống.
2.2. Các phương thức xác thực
Hầu hết các phương thức xác thực đều dựa trên:
+ Những gì ta biết (Username Password)
+ Những gì ta có (Smart Card, Certificate)
+ Những gì là ta (Sinh trắc học)
– HTTP Authentication – Xác thực trên WEB.
+ Basic Authentication
+ Digest Authentication
– Kết hợp với phương thức xác thực NTLM của Windows
– Negotiate Authentication – Thỏa thuận xác thực
– Xác thực dựa vào Certificate.
– Xác thực dựa vào Forms
– Xác thực dựa vào RSA Secure Token
– Xác thực dựa vào Sinh trắc học (xác thực vân tay, mặt, mắt….)
2.2.1. HTTP Authentications
a. Basic Authentication
Hình 5: Basic Authentications
– Là một phương thức xác thực phổ thông có trên nền tảng ứng
dụng Web.
10
– Nó sẽ xuất hiện ra khi Client yêu cầu những thông tin phải
được xác thực.
– Giới hạn những giao thức, cho phép những kẻ tấn công khai
thác.
– Sử dụng SSL để mã hóa dữ liệu Username Password để truyền
giữa Client và Server.
b. Degest Authentication
Hình 6: Degest Authentication
– Được thiết kế để nâng cao bảo mật hơn phương thức Basic
Authentication
– Được dựa trên nền tảng xác thực Challenge-Response
– Nâng cao bảo bảo mật hơn phương thức Basic Authentication,
hệ thống sẽ mã hóa Usernaem Password trước khi truyền đi trên
mạng.
2.2.2. Kết hợp với phương thức xác thực NTLM của
Windows
11
Hình 7: Xác thực NTLM của Windows
– Sử dụng công nghệ xác thực NT LAN Manager (NTLM) cho
HTTP
– Chỉ làm việc với IE và trên nền tảng Web server là IIS.
– Kết hợp với xác thực trên Windows sẽ thích hợp cho môi
trường mạng cục bộ của doanh nghiệp
– Nó là một phương thức xác thực mà không phải truyền bất kỳ
thông tin nào về Username password trên mạng.
2.2.3. Xác thực Negotiate.
– Đây là một phương thức xác thực mở rộng cho NTLM
Authentication
– Cung cấp xác thực dựa trên nền tảng Kerberos
– Sử dụng quá trình thương lượng để quyết định mức độ bảo
mật được sử dụng.
– Nó được cấu hình và sử dụng không chỉ cho mạng cục bộ.
12
2.2.4. Xác thực dựa vào Certificate.
Hình 8: Xác thực dựa vào Certificate
– Sử dụng Public Key để mã hóa và chứng chỉ số (Digital
Certificate) để xác thực người dùng.
– Nó được quan tâm và kết hợp với phương thức xác thực twofactor. Khi một người dùng biết được Username Password người
đó còn phải cung cấp Certificate nữa thì mới được xác thực.
– Người dùng có thể bị đánh cắp Certtificate.
– Rất nhiều phần mềm hiện nay hỗ trợ xác thực qua chứng chỉ
số.
2.2.5. Xác thực dựa vào Forms-Based.
13
Hình 9: Xác thực dựa vào Forms-Based
– Nó không được hỗ trợ trên nền tảng HTTP và SSL
– Nó là một lựa chọn cao cấp cho phương thức xác thực sử dụng
một Form, và thường tích hợp dạng HTML.
– Là một phương thức xác thực rất phổ biết trên Internet.
2.2.6. Phương thức xác thực RSA SecurID Token
14
Hình 10: Xác thực RSA SecurID Token
– Phương thức xác thực SecureID sử dụng một “token – Vé,
card). Có một thiết bị phần cứng sẽ sinh ra các mã xác thực sau
mỗi 60 giây và sử dụng một tấm Card để giải mã key.
– Một người dùng thực hiện quá trình xác thực và tài nguyên
mạng sẽ phải điền mã PIN và số hiển thị cho SecureID cho mỗi
thời gian đó.
2.2.7. Biometrics Authentications
15
Hình 11: Biometrics Authentications
– Một hệ thống xác thực dựa vào Sinh trắc học sẽ phải có những
thiết bị nhận diện được người dùng dựa vào các yếu tố sinh học
như: Vân tay, mắt, mặt, bàn tay….
– Đây là một phương thức xác thực có tính bảo mật rất cao và
thuận tiện cho người sử dụng không phải nhớ password hay
mang theo một tấm Card
3. Tấn công password
Tấn công password là ta tìm cách có được password của
một userID nào đó để xâm nhập vào hệ thống của họ.
16
3.1. Quy trình tấn công password
Hình 12: Quy trình tấn công password
3.2. Các kiểu tấn công password
Một hacker dùng các cách tấn công khác nhau để tìm
password và tiếp tục truy cập vào hệ thống. Các kiểu tấn công
password thường ở dạng sau:
Hình 13: Các kiểu tấn công password
+ Passive Online: Nghe trôm sự thay đổi password trên
mạng. Cuộc tấn công thụ động trực tuyến bao gồm:
17
sniffing, man-in-the-middle, và replay attacks (tấn công
dựa vào phản hồi)
+ Active Online: Đoán trước password nguời quản trị. Các
cuộc tấn công trực tuyến bao gồm việc đoán password tự
động.
+ Offline Attacks: Các kiểu tấn công như Dictionary, hybrid,
và brute-force.
+ Non-Electronic: Các cuộc tấn công dựa vào yếu tố con
người như Social engineering, Phising…
•
Passive Online Attacks
Một
cuộc
tấn
công thụ
động trực
tuyến là
đánh
hơi (sniffing) để tìm các dấu vết, các password trên một mạng.
Password là bị
bắt (capture)trong quá
trình xác
thực và sau
đó có thể được so sánh vớimột từ điển (dictionary) hoặc là danh
sách từ (word list). Tài khoản người dùng có password thường
được băm
(chuỗi
mãed)
hoặc
mã
hóa
(encrypted)
trước khi gửi lênmạngđể ngăn chặn truy cậptrái phép và sử
dụng. Nếu password được bảo vệ bằng cách trên,một số công
cụ đặc biệt giúp hacker có thể phá vỡ các thuật toán mã hóa
password.
•
Active Online Attacks
Cách dễ nhất để đạt được cấp độ truy cập của một quản trị
viên hệ thống là phải đoán từ đơn giản thông qua giả định là
các quản trị viên sử dụng một password đơn giản. Password
đoán là để tấn công. Active Online Attack dựa trên các yếu tố
con người tham gia vào việc tạo ra password và cách tấn công
này chỉ hữu dụng với những password yếu.
Trong các giai đoạn Enumeration, có những lỗ hổng của
NetBIOS Enumeration và Null Session. Giả sử rằng NetBIOS TCP
18
mở port 139, phương pháp hiệu quả nhất để đột nhập vào Win
NT hoặc hệ thống Windows 2000 là đoán password. Cái này
được thực hiện bằng cách cố gắng kết nối đến hệ thống giống
như một quản trị viên thực hiện. Tài khoản và password được
kết hợp để đăng nhập vào hệ thống.
Một hacker, đầu tiên có thể thử để kết nối với tài nguyên
chia sẽ mặc định là Admin$, C$ hoặc C:Windows. Để kết nối tới
các ổ đĩa máy tính, ổ đĩa chia sẻ, gõ lệnh sau đây trong Start >
Run:\ ip_address c$
Các chương trình tự động có thể nhanh chóng tạo ra file từ
điển, danh sách từ, hoặc kết hợp tất cả có thể có của các chữ
cái, số và ký tự đặc biệt và cố gắng để đăng nhập vào. Hầu hết
các hệ thống ngăn chặn kiểu tấn công này bằng cách thiết lập
một số lượng tối đa của các nỗ lực đăng nhập vào một hệ thống
trước khi tài khoản bị khóa. (ví dụ khi ta đăng nhập vào một
trang web mà ta nhập sai password 5 lần thì tài khoản ta từ
động bị khóa lại 1 ngày)
Trong các phần sau, chúng ta sẽ thảo luận làm thế nào
hacker có thể thực hiện việc tự động đoán password chặt chẽ
hơn, cũng như các biện pháp đối phó với các cuộc tấn công như
vậy.
•
Performing Automated Password Guessing: (Tự động
đoán password)
Để tăng tốc độ đoán của password, hacker thường
dùng công cụ tự động. Một cách có quá trình, dễ dàng để tự
động đoán password là sử dụng cửa sổ lệnh dựa trên cú pháp
chuẩn của lệnh NET USE. Để tạo ra một kịch bản đơn giản cho
việc đoán password tự động, thực hiện các bước sau đây:
19
1. Tạo ra một tên người dùng đơn giản và tập tin password
bằng cách sử dụng các cửa sổ notepad. Dùng các dòng
lệnh để tạo ra danh sách các từ điển. Và sau đó lưu vào
các tập tin vào ổ đĩa C, với tên là credentials.txt
2. Sử dụng lênh FOR
C:> FOR /F “token=1, 2*” %i in (credentials.txt)
1.
Gõ lệnh
net use \targetIPIPC$ %i /u: %j
để sử dụng file credentials.txt cố gắng logon vào hệ thống chia
sẽ ẩn trên hệ thống mục tiêu
•
Bảo Vệ Chống Lại Các Hoạt Động Đoán Password
Có hai vấn đề tồn tại là bảo vệ chống lại đoán password
và tấn công password. Cả hai cách tấn công đều rất thông minh
tạo trạng thái bất an khi người dùng tạo password riêng của
họ. Một
người
sử
dụng cũng
có
thể được chứng
thực (authenticated) và xác nhận (validated) bằng cách kiểm
tra. Trong
đó yêu
cầu hai hình
hạn như các thẻ thông
thức nhận
minh (smart
dạng (chẳng
card) và password) trong
khi xác thực người dùng. Bằng cách yêu cầu một cái gì đó người
dùng có thể
có (smart
card) và một
cái
gì
đó mà người
dùng biết (password), bảo mật tăng, và không dễ dàng tấn
công .
Cuộc tấn công Offline được thực hiện tại một vị trí khác
hơn là hành động tại máy tính có chứa password hoặc nơi
password được sử dụng. Cuộc tấn công Offline yêu cầu phần
cứng để truy cập vật lý vào máy tính và sao chép các tập
tin password từ hệ thống lên phương tiện di động. Hackersau
đó có file đó và tiếp tục khai thác lỗ hổng bảo mật. Bảng
sau minh họa vài loại hình tấn công offline:
Source: https://wikifin.net
Category: Blog