Tiểu luận: PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN

Lúc đầu khi xuất hiện mạng máy tính, nảy sinh vấn đề nhiều người cùng sử dụng hệ thống và bảo mật thông tin, nên đã phát sinh ra password. Password lúc đầu chỉ đơn giản là người ta dùng một chuỗi kí tự để ngăn cản sự truy cập của những người khác. Khi vấn đề password cracking đang ngày một tăng lên, cùng với sự tăng tốc về tốc độ của máy tính và sự rẻ dần của bộ nhớ, khả năng crack password của hacker....
Nội dung trích xuất từ tài liệu:
Tiểu luận: PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUANHỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG CƠ SỞ TẠI TP.HỒ CHÍ MINH ĐỒ ÁN MÔN HỌC: BẢO MẬT THÔNG TIN TÌM HIỂU VỀ PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN GVHD:Thầy Lê Phúc Nhóm sinh viên thực hiện: 1. Trương Đình Hoàng 2. Nguyễn Thị Thanh Minh 3. Vũ Thanh Thảo1 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN Mở đầu Lúc đầu khi xuất hiện mạng máy tính, nảy sinh vấn đề nhiều người cùng sử dụng hệ thống và bảo mật thông tin, nên đã phát sinh ra password. Password lúc đầu chỉ đơn giản là người ta dùng một chuỗi kí tự để ngăn cản sự truy cập của những người khác. Khi vấn đề password cracking đang ngày một tăng lên, cùng với sự tăng tốc về tốc độ của máy tính và sự rẻ dần của bộ nhớ, khả năng crack password của hacker ngày càng cao và thời gian ngày càng ngắn lại. Cùng với đó là yêu cầu đối với người dùng khi sử dụng password cũng ngày càng cao: password phải được thay đổi theo chu kì, phải chọn password có độ mạnh theo quy định, và phải nhớ password của mình cũng như giữ bí mật nó. Từ các vấn đề trên,ta thấy: password là vấn đề nhạy cảm trong một máy tính, trong một mạng nhỏ cho đến mạng internet rộng lớn. Vì vậy, nội dung đồ án này sẽ trình bày tổng quát về password và các vấn đề liên quan như: xác thực, cracking password, cũng như đánh giá độ mạnh của một password. Từ đó chúng ta sẽ rút ra những kinh nghiệm để bảo vệ thông tin của mình trước các cuộc tấn công.2 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUANI.SƠ LƢỢC VỀ VẤN ĐỀ XÁC THỰC: Nói một cách đơn giản, xác thực là một quá trình nhận dạng ngườidùng. Trong môi trường mạng phát triển ngày càng mạnh mẽ, việc xác nhậnchính xác quyền truy cập hợp lệ của người dùng có ý nghĩa rất lớn trong bảomật thông tin. Hiện nay, có khá nhiều phương pháp xác thực, hầu hết cácphương thức xác thực đều dựa trên: o Những gì bạn biết (Username Password) o Những gì bạn có (Smart Card, Certificate) o Những gì là bạn (Sinh trắc học)A.Xác thực bằng username và password:1.HTTP Authenticationsa.Basic Authentication  Là một phương thức xác thực phổ thông có trên nền tảng ứng dụng Web.Nó sẽ xuất hiện khi Client yêu cầu những thông tin phải được xác thực.  Giới hạn những giao thức, cho phép những kẻ tấn công khai thác. 3 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN  Sử dụng SSL để mã hóa dữ liệu Username Password để truyền giữa Client và Server.b. Degest Authentication  Được thiết kế để nâng cao bảo mật hơn phương thức Basic Authentication  Được dựa trên nền tảng xác thực Challenge-Response  Nâng cao bảo bảo mật hơn phương thức Basic Authentication, hệ thống sẽ mã hóa Username Password trước khi truyền đi trên mạng.2.Kết hợp với phương thức xác thực NTLM của Windows:  Sử dụng công nghệ xác thực NT LAN Manager (NTLM) cho HTTP  Chỉ làm việc với IE và trên nền tảng Web server là IIS.  Kết hợp với xác thực trên Windows sẽ thích hợp cho môi trường mạng cục bộ của doanh nghiệp 4 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUAN  Nó là một phương thức xác thực mà không phải truyền bất kỳ thông tin nào về Username password trên mạng.3.Negotiate Authentication – Thỏa thuận xác thực:  Đây là một phương thức xác thực mở rộng cho NTLM Authentication  Cung cấp xác thực dựa trên nền tảng Kerberos  Sử dụng quá trình thương lượng để quyết định mức độ bảo mật được sử dụng.  Nó được cấu hình và sử dụng không chỉ cho mạng cục bộ. 5 Tháng 11-2009 PASSWORD VÀ CÁC VẤN ĐỀ LIÊN QUANB.Xác thực dựa vào smartcard và cirtificate:1. Xác thực dựa vào Certificate:  Sử dụng Public Key để mã hóa và chứng chỉ số (Digital Certificate) để xác thực người dùng.  Nó được quan tâm và kết hợp với phương thức xác thực two-factor.  Khi một người dùng biết được Username Password người đó còn phải cung cấp Certificate nữa thì mới được xác thực.  Người dùng có thể bị đánh cắp Certtificate.  Rất nhiều phần mềm hiện nay hỗ trợ xác thực qua chứng chỉ số. 6 ...