An toàn mật khẩu trên hệ thống mạng UNIX và LINUX

Bài viết này mô tả những cách thức kiểm tra tính an toàn mật khẩu trên các hệ thống UNIX, LINUX, và các hệ thống *.nix nói chung. Như các hệ thống trên Window, các mật khẩu *.nix được bảo vệ ngay tại hệ thống và trên đường truyền. Bảo vệ mật khẩu của bạn ngay tại hệ thống Mật khẩu trên hệ thống *nix được lưu trong file /etc/passwd, một file chứa các tên người sử dụng, UIDs, GIDs, và các mật khẩu được mã hoá cho người sử dụng trên hệ thống. Ngoài ra, file này còn lưu...
Nội dung trích xuất từ tài liệu:
An toàn mật khẩu trên hệ thống mạng UNIX và LINUXAn toàn mật khẩu trên hệ thống mạng UNIX và LINUXBài viết này mô tả những cách thức kiểm tra tính an toàn mật khẩu trên các hệ thốngUNIX, LINUX, và các hệ thống *.nix nói chung. Như các hệ thống trên Window, các mậtkhẩu *.nix được bảo vệ ngay tại hệ thống và trên đường truyền.Bảo vệ mật khẩu của bạn ngay tại hệ thốngMật khẩu trên hệ thống *nix được lưu trong file /etc/passwd, một file chứa các tên người sửdụng, UIDs, GIDs, và các mật khẩu được mã hoá cho người sử dụng trên hệ thống. Ngoài ra,file này còn lưu các thông tin khác, như tên đầy đủ của người sử dụng, đường dẫn thư mục,hay hệ thống shell.Bất kỳ ai truy cập hệ thống cũng có thể hiển thị nội dung của file /etc/passwd. Điều này tạo rakhả năng phá hoại với các user và những kẻ tấn công có thể tạo ra các lỗ hổng bảo mật để nhậnđược một bản sao của file mật khẩu này.Các hệ thống *.nix thường sử dụng thuật toán mã hoá (như thuật toán DES) để tạo ra các bảngbăm mật khẩu. DES sử dụng thuật toán mã hoá 56 bit. Với thuật toán này, DES đã được sửdụng như thuật toán mã hoá phổ biến trước đây. Tuy nhiên, theo thời gian, khi phần cứng pháttriển và giá thành thiết bị rẻ đi, thuật toán này đã trở nên dễ dàng giải mã và tạo lại mã. Vì vậy,với các hệ thống tốc độ nhanh sẽ việc crack các mật khẩu không phải quá khó.Ví dụ: l0phtCrack có thể sử dụng để crack các mật khẩu của Windows, chương trình crack củaAlec Mufet có thể sử dụng để crack mật khẩu hệ thống *.nix. Việc phá mã đã được phát triểntheo thời gian, được viết từ năm 1991 và hiện tại nó đã được phát triển đến phiên bản 5.0a.Việc phá mã có thể được cấu hình để tương thích với bất kỳ môi trường nào; các file cấu hìnhcó thể được sửa đổi hỗ trợ cho các định dạng file mật khẩu khác nhau, loại thuật toán mã hoákhác nhau, ... Việc phá mã sử dụng danh sách từ điển như nền tảng cho việc phá mã; các file từđiển này cũng có thể được cấu hình lại một cách dễ dàng. Nói chung, để liệt kê danh sách cấutrúc thư mục cho việc thử chương trình, bạn cũng có thể cấu hình tập từ điển hay các luật tạomã như một phần trong việc phá mã. Các luật này có thể bao gồm các phương thức như gắntrước hay sau các ký tự vào các từ chuẩn, gấp đôi hay đảo ngược các từ, thay đổi các ký tự từthường sang hoa ..., hay thay thế một từ này bằng một từ khác.Vậy làm cách nào để bảo vệ các mật khẩu trên hệ thống *.nix trong khi file /etc/passwd là filecó thể đọc và sự phát triển ồ ạt của các công cụ crack mật khẩu.Tăng tính an toàn của mật khẩuMột vài phương thức cải thiện mật khẩu đã được thực hiện cho phương thức an toàn mật khẩutrong hệ thống *.nix. Đầu tiên được giới thiệu là loại mật khẩu bóng (shadow password). Việcchứa các bảng băm mật khẩu trong file đọc được /etc/passwd không an toàn, vì vậy các bảngbăm này được đưa vào trong một file riêng rẽ, file /etc/shadow. File này chỉ có thể đọc bởiquyền root và vì vậy có khả năng bảo mật tốt hơn. Hai file này được sử dụng cùng nhau đểcung cấp việc chứng thực cho user.Các file mật khẩu bóng đã trở nên thông dụng và được sử dụng mặc định cho rất nhiều hệthống *.nix như Sun Solaris. Tuy nhiên, chúng không phải là mặc định của toàn bộ các hệthống. Chẳng hạn với Red Hat Linux, việc sử dụng mật khẩu bóng được lựa chọn trong cácbước cài đặt hệ thống. Các mật khẩu bóng nên được sử dụng ở bất cứ đâu trong hệ thống.Thứ hai, một số phiên bản của *.nix hiện tại cung cấp thuật toán mã hoá tốt hơn, (có thể sửdụng tuỳ chọn trong mã hoá), sử dụng thuật toán bảng băm MD5 thay thế cho DES.Thứ ba, các chính sách mật khẩu, như được thảo luận trong các bài viết trước, có thể tăng tínhbảo mật bằng cách đòi hỏi độ dài tối thiếu cho mật khẩu, thay đổi mật khẩu đều đặn,... Các tuỳchọn này có sẵn và phụ thuộc vào hệ thống *.nix và phiên bản của passwd trên hệ thống củabạn.Passwd là lệnh mặc định sử dụng cho việc thay đổi mật khẩu trên các hệ thống *.nix. Lệnh nàycũng hỗ trợ việc kiểm tra tính an toàn tối thiếu đối với các mật khẩu của người sử dụng nhưngkhông hỗ trợ tính năng đòi hỏi người sử dụng thay đổi mật khẩu của họ sau một khoảng thờigian. Ví dụ lệnh passwd trong Sun Solaris hỗ trợ tính năng trên, và cũng tạo ra các kiểm trasau: Độ dài tối thiểu, mà nhà quản trị có thể chỉ định (mặc định là 6 ký tự). Chú ý rằng bấtchấp độ dài mật khẩu, chỉ có 8 ký tự đầu được xem cho mục đích chứng thực. Phải chứa ít nhất 2 ký tự (hoa hoặc thường) và một số hay biểu tượng. Không thể là tên, đảo ngược tên truy cập hệ thống, hay bất cứ việc dịch chuyển ký tự từtên truy cập hệ thống. Các mật khẩu mới phải có ít nhất 3 ký tự khác so với mật khẩu cũ.npasswd, được viết bởi Clyde Hoover, thực hiện các kiểm tra sau: Kiểm tra từ vựng (độ dài tối thiểu); không cho phép các ký tự lặp lại hay các mẫu mậtkhẩu thông thường như các con số thường gặp; đòi hỏi mật khẩu là sự pha trộn giữa con số, kýtự, biểu tượng Kiểm ...