Tạo mật khẩu an toàn trong Windows – Phần 2

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu chi tiếtvề cách thiết lập mật khẩu Windows mặc định. Chúng ta đã biếtđược rằng, mật khẩu mặc định của Windows được thiết lập bằngDefault Domain Policy GPO, thành phần được liên kết với miền. Đâylà nơi thiết lập các rule của mật khẩu như: độ dài, tuổi thọ và độphức tạp.
Nội dung trích xuất từ tài liệu:
Tạo mật khẩu an toàn trong Windows – Phần 2 HỆ ĐIỀU HÀNH-MẠNG WINDOWS SERVERTạo mật khẩu an toàn trong Windows – Phần 2Share [Đọc: 515-Ngày đăng: 28-07-2009-Ngày sửa: 28-07-2009] Trong phần trước của loạt bài này, chúng tôi đã gi ới thi ệu chi ti ếtvề cách thiết lập mật khẩu Windows mặc định. Chúng ta đã bi ếtđược rằng, mật khẩu mặc định của Windows được thi ết lập b ằngDefault Domain Policy GPO, thành phần được liên kết với mi ền. Đâylà nơi thiết lập các rule của mật kh ẩu nh ư: độ dài, tuổi th ọ và đ ộphức tạp.Giớithiệu Trong phần hai này, chúng tôi sẽ tiếp tục giới thi ệu cho các b ạn v ề cáckỹ thuật hiện có thể xâm nhập hay bẻ khóa mật khẩu Windows. Mục đíchở đây không phải là chỉ ra các cách để bạn tr ở thành hacker mà ch ỉ là gi ớithiệu cho các bạn về những gì hacker đã và đang thực hiện để xâm nhập vàbẻ khóa mật khẩu Windows, từ đó tìm ra các biện pháp phòng tránh. Lưu ý : Nhiều công cụ được miêu tả trong bài được cung cấp từ cácsite hacker. Chúng tôi gợi ý rằng bạn không nên download bất c ứ trong s ốcác sản phẩm và các công cụ này trên mạng sản xuất ho ặc desktop. Bảođảm rằng mạng và môi trường sản xuất được bảo vệ từ bất cứ thứ gì cóthể đến từ một site cung cấp các công cụ này. Thêm vào đó, cũng có nhiềucông ty đã viết các nội quy bảo mật để ngăn chặn việc sử dụng các sảnphẩm và các công cụ. Bảo đảm rằng bạn làm việc với nhân viên bảo mậtcủa mình trước khi download, vài đặt hoặc sử dụng bất cứ sản ph ẩm nàotrong số này.SocialEngineering Ngoài những cách thành công và phổ biến nhất được những kẻ tấn côngsử dụng để truy cập vào mật khẩu người dùng là thông qua tấn công socialengineering. Tấn công Social engineering có thể đến từ nhiều phương phápvà chế độ khác nhau. Một số cách trong đó có thể là việc đ ổi chác lấy m ậtkhẩu, các tấn công khác có thể là việc nhân cách hóa HelpDesk, IT haynhân viên bảo mật bên trong công ty. Chỉ có một cách để phòng chống tấn công social engineering đó là giáodục người dùng. Người dùng phải được đào tạo về cách b ảo vệ m ật khẩucủa họ, thiết lập lại mật khẩu một cách thường xuyên, giữ bí mật nó vàmột số hành động khác.Khảnăngđoán Một phương pháp phổ biến khác để có được mật khẩu của người dùnglà biện pháp đoán. Nếu bạn muốn có một danh sách các mật kh ẩu d ễ đoán,hãy xem danh sách mà ConFlicker đã sử dụng đ ể xâm nh ập vào các tàikhoản Administrator trong tấn công gần đây của loại sâu này. B ản thân nóđã có một bộ cracker mật khẩu đi kèm, điều đó càng làm cho nó tr ở nênnguy hiểm hơn. Ở đây, việc giáo dục người dùng sẽ giúp tránh được kiểu tấn công này.Cung cấp cho người dùng một danh sách các mật khẩu t ốt đ ể h ọ có th ểbắt đầu từ đó. Các mật khẩu không nên có những biểu hiện dưới đây : • Quá phức tạp. • Các từ dễ trong từ điển. Thêm vào với việc đoán mật khẩu, người dùng rất hay viết ra mật khẩucủa mình vào đâu đó và cất giấu chúng ở m ột nơi dễ dàng b ị phát hi ện,một số người có thể để ngay trên monitor của họ, dưới bàn phím hoặc trênbàn của họ,… Một số còn có thể ghi mật khẩu của họ trực tiếp lên mànhình hoặc bàn phím, trong tầm nhìn rõ của bất cứ ai. Đây là m ột hành đ ộngkhông an toàn chút nào và cần phải được kiểm tra và thẩm định trong su ốtchu kỳ thẩm định bảo mật của công ty và máy tính. Nó c ần ph ải đ ược đ ưavào trong các thỏa thuận bảo mật được viết để người dùng sẽ không hànhđộng theo cách đó hoặc hành động kỷ luật sẽ được thực thi đối với họ.Cáccôngcụtấncông Có một số công cụ hack mật khẩu, tất cả trong số chúng đều có thể tấncông vào các mật khẩu của Windows. Những gì chúng thực hi ện ở đây làtấn công vào các mật khẩu được tạo bởi hệ điều hành. Những m ật khẩunày rất quan trọng đối với các mức khác nhau của hệ điều hành Windows,vì các hệ điều hành mới hơn hỗ trợ các thuật toán hash mật khẩu tốt hơn.Điểm yếu nhất của các thuật toán hash c ủa mật khẩu là LanManager(LM). LM được thiết kế cho Windows cho Workgroups và đã quá lỗi thờivà quá đát. Tiếp đến là NTLM, sau đó NTLMv2, và cuối cùng là Kerberos.Kerberos được sử dụng giữa tất cả các desktop và máy ch ủ bên trong môitrường Active Directory, tuy nhiên LM vẫn được hỗ trợ và được cho phép!(Chúng tôi sẽ giới thiệu về cách bảo vệ chống lại sự sử dụng LM trongphần tiếp theo). Các tấn công Dictionary là khi các công cụ như Cain và Able, sử d ụngmột bộ từ điển gồm có nhiều từ để thử và tìm ra được mật khẩu. CácDictionary hiện ở ở khắp mọi nơi trên Internet và các Dictionary tùy ch ỉnhcó thể được đưa vào Cain và Able. Các tấn công Brute Force cũng rất hay được sử dụng. Công c ụ tấn côngnày được cấu hình để hỗ trợ bộ các ký tự sẽ được sử dụng để tấn cônghash mật khẩu. Ở đây tất cả các biến thể của các ký tự sẽ được sử dụngđể tạo ra một hash, sau đó sẽ được so sánh với hash có liên quan đ ến m ậtkhẩu Windows. Hình 1 thể hiện các tùy chọn có trong công c ụ này đ ể th ựchiện một tấn công brute force. Các tấn công Brute Force có thể ...