Tầm quan trọng của password mật khẩu đối với người dùng internet là điều tất yếu. Tuy nhiên, bạn cần phải hiểu rõ về các dạng password để vận dụng chúng tốt hơn nhằm bảo vệ tài khoản và dữ liệu của mình.

Các chương trình đánh cắp password ngày càng tinh vi, công nghệ xử lý và bảo mật password cũng vì thế mà liên tục được cải tiến. Nhân dịp BitDefender vừa giới thiệu công nghệ password mới bằng bản đồ 3D, Quản trị mạng cùng điểm qua một số giải pháp password trực tuyến đang được áp dụng hiện nay.

Mật khẩu truyền thống

Công nghệ bảo mật bằng mật khẩu (password) đã được áp dụng từ những ngày đầu tiên khi máy tính xuất hiện. Năm 1961, viện công nghệ MIT cho ra mắt một trong những hệ thống chia sẻ đầu tiên trên thế giới – CTSS – cùng với hệ thống mật khẩu sơ khai bao gồm lệnh LOGIN, yêu cầu người dùng nhập vào mật khẩu. Sau khi nhập lệnh PASSWORD, người dùng sẽ phải nhập tiếp mật khẩu của mình để được hệ thống xác nhận.

Cũng trong thập niên 1960, công nghệ bảo mật bằng mật khẩu dần được hoàn thiện thành dạng password được sử dụng phổ biến nhất cho đến ngày nay: alpha – numeric password, tức mật khẩu dưới dạng một chuỗi các chữ cái và chữ số. Bất kỳ chuỗi ký tự nào cũng có thể trở thành mật khẩu, nhưng người dùng được khuyến cáo nên đặt mật khẩu của mình phức tạp đủ để không bị người khác đoán ra. Mật khẩu càng phức tạp, khó đoán thì độ bảo mật càng cao. Tuy nhiên, độ phức tạp của mật khẩu cũng tỉ lệ nghịch với việc người dùng có thể nhớ chúng một cách dễ dàng.

Ngoài việc khó có thể tự đặt ra một mật khẩu đủ khó để không bị người khác đoán ra nhưng cũng phải đủ dễ để chính bản thân người dùng có thể ghi nhớ, alpha – numberic password còn phải đối mặt với các cuộc tấn công chiếm password và các chương trình đánh cắp mật khẩu.

Dạng tấn công phổ biến nhất là tấn công tra cứu từ điển (dictionary attack). Phương thức này hiểu đơn giản là kiểu đoán mật khẩu với các cụm từ có nghĩa thường được nhiều người chọn dùng làm mật khẩu (thay vì các chuỗi ký tự ngẫu nhiên như được khuyến cáo), kẻ tấn công sẽ dùng chương trình tự động thử tất cả các từ có nghĩa trong từ điển để bẻ khóa password.

Ngoài ra còn có hàng trăm chương trình keylogger được sử dụng để ghi nhận quá trình nhập password của nạn nhân rồi tự động gửi thông tin về cho kẻ có ý muốn đánh cắp password đó. Hoặc kiểu tra cứu từng ký tự trong mật khẩu (brute-force attack), chương trình sẽ tự động dò tìm từng ký tự trong chuỗi mật khẩu. Tuy dạng brute-force attack có tỉ lệ phá mật khẩu cao nhưng nếu người dùng sử dụng các loại mật khẩu bao gồm nhiều ký tự chữ và số xen lẫn ký tự đặc biệt thì có thể phải mất nhiều năm mới có thể tìm ra chuỗi mật khẩu hoàn thiện (Ví dụ: n$W0k1J^57$h@k3R mật khẩu được cho là có tính bảo mật cao nhưng lại khó nhớ).

Trước sự đe dọa của các chương trình đánh cắp mật khẩu, việc phát minh ra nhiều dạng password mới thay thế cho kiểu truyền thống là hết sức cần thiết, và mật khẩu hình ảnh cùng với mật khẩu một lần là 2 trong số những số ấy.

Mật khẩu dạng hình ảnh (Graphical password)

Về cơ bản, con người có xu hướng ghi nhớ các thông tin dưới dạng hình ảnh dễ dàng hơn thông tin dưới các dạng khác. Chúng ta có thể gặp khó khăn khi phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ gương mặt của những người ta đã gặp, những nơi ta đã đến và những thứ ta đã thấy. Dựa vào đặc điểm này, người ta đã tạo ra mật khẩu hình ảnh (graphical password).

Để đăng nhập vào một website hay hệ thống được bảo mật bằng graphical password, thay vì phải nhập một chuỗi ký tự như ở alpha – numberic password, người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên bức ảnh mà hệ thống đưa ra. 4 điểm này chính là mật khẩu mà họ đã xác định và ghi nhớ trong quá trình tạo mật khẩu. Dĩ nhiên người dùng cũng có thể chọn số lượng điểm bí mật nhiều hơn 4 để tăng độ bảo mật.
Ở một hình thức khác, người dùng sẽ chọn và ghi nhớ 4 hoặc nhiều hơn các biểu tượng trong quá trình tạo password và chọn lại chúng trong hàng loạt biểu tượng được sắp xếp ngẫu nhiên và thay đổi trong quá trình đăng nhập.

Trường Đại học Malaya (Malaysia) còn cung cấp một thuật toán khác: khi đăng ký tài khoản, người dùng sẽ tạo password bằng cách chọn các biểu tượng do máy chủ cung cấp. Khi đăng nhập, những biểu tượng này sẽ được thu nhỏ và xoay theo các chiều khác nhau, người dùng lúc này sẽ phải nhận ra biểu tượng mà mình đã chọn, sau đó nhập vào ô password những ký tự hiện bên dưới biểu tượng đó. Giải pháp này khá mất thời gian nên vẫn còn đang trong giai đoạn thăm dò ý kiến người dùng.

Điểm mạnh của graphical password là dễ nhớ mà mức độ bảo mật lại cao vì hacker không thể sự dụng cách tấn công từ điển để đánh cắp mật khẩu và các chương trình keylogger cũng trở nên vô dụng vì các biểu tượng được xáo trộn ngẫu nhiên mỗi lần đăng nhập. Tuy nhiên bạn cũng có thể bị lộ password nếu người khác quan sát và ghi nhớ các biểu tượng cũng như điểm ảnh bạn chọn mỗi lần đăng nhập.

Mật khẩu dùng một lần duy nhất (One time password)

Nguyên lý hoạt động của mật khẩu một lần (One time password - OTP) như sau: sau khi đã đăng ký dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn hay điện thoại di động mà không cần đến kết nối internet.

Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng đăng xuất (log out) ra khỏi hệ thống. Như vậy, nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được, và do đó giải pháp OTP có tính bảo mật rất cao.

Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào hệ thống được bảo mật bằng OTP. Công nghệ OTP được dùng nhiều trong chứng thực trực tuyến (thương mại trực tuyến). Hiện nay người dùng các thiết bị cầm tay như iPhone, Blackberry cũng có thể tự cài đặt cơ chế bảo mật OTP bằng các chương trình như VeriSign, RSA SecureID hay SafeNet MobilePASS.

Ngày càng có nhiều giải pháp mới giúp tăng cường tính bảo mật của password. Nhưng dù với bất cứ giải pháp nào thì người dùng cũng nên tự bảo vệ mình bằng cách lựa chọn và ghi nhớ mật khẩu của mình thật hiệu quả, cũng như tăng cường các biện pháp phòng vệ trước sự đe dọa của hacker và các chương trình keylogger.

Khóa thêm password

PCWorld - Giải pháp xác thực hai khóa có thể chống đỡ tốt hơn các cuộc tấn công gian lận trực tuyến.

Lâu nay, việc bảo mật trong lĩnh vực CNTT chủ yếu dựa trên một khóa duy nhất: mật khẩu (password). Từ đăng nhập máy tính, phần mềm ứng dụng đến đăng nhập máy chủ công ty và cả website ngân hàng, phương tiện chính để xác thực người dùng chỉ là password (tên đăng nhập hay user name - cũng là một dạng password - không có ý nghĩa bảo mật vì thường không được mã hóa). Thế nhưng, hầu hết các chuyên gia bảo mật đều nhận định password không còn an toàn trước các thủ đoạn tấn công hiện nay. Vấn đề với pasword đó là “ai nhập cũng như nhau”.

Password là “cái mà bạn biết” với hy vọng người khác không biết. Nhưng bạn có thể vô tình để lộ password hay bị người khác cố tình đọc trộm. Password cũng dễ đoán, dễ bị “bẻ khóa” hay đánh cắp (các chương trình mã độc như "Trojan horse" và "key logger" thường được tin tặc dùng cho mục đích này). Và khi điều đó xảy ra thì “ai cũng như ai”.

Trừ phi không biết hay “làm ngơ” về vấn đề bảo mật, còn đa phần người dùng đều có cảm giác bất an khi gõ password đăng nhập dịch vụ trực tuyến nào đó trên máy tính bất kỳ (nhất là máy tính công cộng). Lý do: password có thể bị “ngó” trộm.

Một số công ty áp dụng chính sách thay đổi password thường xuyên và sử dụng password phức tạp để tăng độ an toàn, nhưng đây không phải là giải pháp tốt và cũng không thật hiệu quả.

“Cái bạn biết” (password) người khác có thể biết, nhưng “cái bạn có” khó ai có được. Đó chính là cơ sở nền tảng của giải pháp xác thực hai khóa có khả năng bảo vệ tài khoản trực tuyến an toàn hơn. Hai khóa tốt hơn một khóa. Không như password, khóa thứ hai (cái người dùng có) thường là một vật hữu hình, đem đến cảm giác “chắc chắn” hơn cho người sở hữu. Một ứng dụng đời thường của giải pháp xác thực hai khóa đó là hệ thống ATM. Để rút tiền, người dùng cần phải đưa vào thẻ (cái họ có) và gõ mã số (cái họ biết).

Hệ thống ATM đã có từ lâu và giải pháp xác thực hai khóa cũng không phải mới. RSA đã đưa ra giải pháp SecureID từ năm 1995. Nhưng mãi đến gần đây, khi chi phí triển khai không còn quá đắt và có nhiều lựa chọn tiện lợi hơn, xu hướng giao dịch trực tuyến phát triển và các cuộc tấn công tài khoản ngày càng nghiêm trọng thì thị trường “khóa hai” (khóa bổ sung cho password) mới trở nên sôi động.

Khóa hai, nhiều lựa chọn

Để triển khai giải pháp xác thực hai khóa, ngoài phần cứng (khóa hai) còn cần phần mềm ở phía máy chủ. Phần mềm này, được gọi là “máy chủ xác thực”, có chức năng quản lý và kiểm soát khóa hai. Trên thị trường hiện có nhiều hãng cung cấp phần mềm và phần cứng cho xác thực hai khóa. Một số hãng cung cấp phần mềm máy chủ xác thực chỉ làm việc với phần cứng của mình; nhưng cũng có những phần mềm máy chủ xác thực làm việc được với khóa của nhiều hãng khác nhau.

Một cách tổng quát, có thể phân thành hai loại khóa hai: loại kết nối và loại không kết nối.

• Loại kết nối: làm việc với trực tiếp với hệ thống xác thực bằng cách truyền dữ liệu qua một kết nối vật lý (như USB hay Bluetooth), giảm thiểu việc tác động của người dùng.
  
  
• Loại không kết nối: cần người dùng trung chuyển thông tin giữa khóa hai và hệ thống xác thực.

Dưới đây sẽ phân tích từng loại khóa hai và so sánh các tính năng của chúng.

1. Thiết bị OTP

Thiết bị sinh password một lần - OTP (One Time Password) là loại khóa hai được dùng phổ biến nhất hiện nay vì rẻ và dễ dùng. Như tên gọi, OTP chỉ có giá trị sử dụng một lần nên tính bảo mật cao: sau khi người dùng gõ vào và đăng nhập thành công thì password này hết hiệu lực (lần đăng nhập sau sẽ dùng password khác); tin tặc nếu có lấy trộm password này cũng không đăng nhập hệ thống được.

Dựa trên thuật toán sinh password, thiết bị OTP cứng có 2 dạng: đồng bộ thời gian và dùng bộ đếm.

• Loại đồng bộ thời gian tạo ra mã số khó đoán (mật mã hay khóa) dựa vào đồng hồ trong và mã số này được xác thực với điều kiện đồng hồ trong của thiết bị OTP đồng bộ với máy chủ xác thực. Do sự xê dịch của đồng hồ, việc đồng bộ tuyệt đối chính xác là không thể nên máy chủ xác thực phải chấp nhận các khóa có sự sai lệch đôi chút. Điều quan trọng đó là thu hẹp hết mức “khung cửa” này để giảm thiểu khả năng bị tấn công. Đa phần các nhà cung cấp thiết bị OTP áp dụng phương thức cộng dồn thời gian xê dịch để điều chỉnh với mỗi xác thực thành công. Thiết bị OTP đồng bộ thời gian có thể phải cân chỉnh lại nếu không được sử dụng một thời gian dài.
  
  
• Loại dùng bộ đếm tăng bộ đếm trong mỗi khi sinh ra một khóa mới và khóa này được xác thực với điều kiện bộ đếm trong của thiết bị OTP đồng bộ với máy chủ xác thực. Khác với bộ đếm trong của thiết bị OTP, bộ đếm của máy chủ được điều chỉnh với mỗi xác thực thành công. Với loại này, thiết bị OTP và máy chủ xác thực dễ bị “mất đồng bộ”.

So với thiết bị OTP đồng bộ thời gian, thiết bị OTP dùng bộ đếm kém an toàn hơn trong việc chống đỡ kiểu tấn công thụ động online và offline. Tin tặc có thể thực hiện tấn công kiểu giả mạo (phishing) và thu thập nhiều khóa để dùng sau đó, hay ai đó lấy được thiết bị này có thể tạo sẵn các khóa mà không hành động ngay. Một số thiết bị OTP được bảo vệ bằng mã PIN (tương tự password), phương thức này chống được kiểu tấn công offline nhưng không chống được kiểu tấn công online. Cũng có một số thiết bị OTP có khả năng sinh chữ ký số và đây là công cụ hiệu quả để chống lại các cuộc tấn công chủ động.

Cả hai loại thiết bị OTP trên đều dùng pin và phải thay sau vài năm. Mỗi thiết bị được tạo duy nhất với mã số riêng do vậy người dùng phải lập lại quy trình đăng ký mỗi khi thay thế thiết bị OTP.

Một biến thể của thiết bị OTP đó là dùng phần mềm giả lập thiết bị phần cứng, cài trên thiết bị di động như PDA hay điện thoại di động (ĐTDĐ). Đây là giải pháp hiệu quả và ít tốn kém, ít nhất cho đến khi các thiết bị di động trở nên dễ bị can thiệp như máy tính và người ta cũng phải cài đặt firewall, trình chống virus, công cụ lọc spam... trên các thiết bị này. Thiết bị OTP "mềm" thường là mục tiêu nhân sao và người dùng có thể bị mất quyền kiểm soát khóa mềm của mình mà không biết.

Thiết bị OTP mềm trên thiết bị di động có thêm mã PIN bảo vệ gần đạt như thiết bị OTP cứng. Tuy không có chi phí phần cứng (thiết bị di động có sẵn) và chi phí phân phối trực tiếp nhưng khi triển khai đại trà có thể phải đối mặt với khó khăn trong việc cài đặt và vận hành phần mềm trên danh mục ĐTDĐ mở rộng không ngừng và cũng phải cân nhắc đến số người dùng, tuy nhỏ, không có ĐTDĐ tương thích hay không có ĐTDĐ.

2. Khóa SMS

SMS cũng có thể được dùng làm phương tiện sinh OTP như khóa hai. Có hai dạng khóa SMS: tức thời và lô.

• Với phương thức SMS tức thời, trước tiên người dùng thực hiện đăng nhập với password như bình thường, nếu thành công máy chủ xác thực sẽ sinh OTP và gửi ngay SMS cho người dùng để hoàn tất khóa xác thực thứ hai. Giao thức SMS không bảo đảm gửi tin thành công hay gửi kịp thời. Điều này có thể làm giảm tính khả dụng của việc xác thực hai khóa dựa trên SMS.
  
  
• Với khóa SMS lô thì khác, người dùng nhận một danh sách mã số trước khi đăng nhập. Mỗi mã số gắn với một ký tự hay số dòng. Người dùng cần nhập vào mã số tương ứng với dòng yêu cầu để làm khóa xác thực thứ hai. SMS lô có thể giảm đáng kể chi phí SMS và khắc phục được vấn đề chất lượng dịch vụ của giao thức SMS vì danh sách được gửi đến người dùng trước khi họ thực sự cần đến. Tuy nhiên khuyết điểm của SMS lô là khả năng bị tấn công lớn hơn.

Ngoài ra, còn có một hình thức khóa SMS khác đơn giản hơn: "reply" ký tự quy ước nào đó, chẳng hạn dấu #. Sau khi đăng nhập với username và password, người dùng sẽ nhận được cuộc gọi hay tin nhắn SMS và nhấn # trả lời để xác thực lần hai. Với cách này, việc xác thực được thực hiện trên 2 kênh khác nhau: một qua đường Internet và một qua sóng di động.

3. Smartcard và thiết bị đọc

Smartcard an toàn hơn thẻ từ (với công nghệ hiện nay có thể dễ dàng làm giả thẻ từ). Nhiều ngân hàng hiện đã chuyển sang dùng smartcard có chip bảo vệ.

Một ưu điểm phụ của việc áp dụng smartcard đó là khả năng dùng cho xác thực trực tuyến. Việc này yêu cầu người dùng phải có thiết bị đọc smartcard. Với khả năng lưu chứa thông tin chứng nhận và sinh chữ ký cho giao dịch, smartcard được xem là thiết bị xác thực tốt nhất. Có lẽ các tổ chức tài chính cuối cùng sẽ chuyển sang dùng smartcard, nhưng chi phí triển khai cơ sở hạ tầng cộng với chi phí trang bị thiết bị đọc thẻ cho người dùng có thể là trở ngại ban đầu.

Nguyên tắc xác thực với smartcard là "ký" bằng mật mã. Chữ ký này được xử lý bảo mật bằng chip trong smartcard. Mật mã không bao giờ rời khỏi cái vỏ an toàn của smartcard nên cung cấp mức bảo mật cao nhất. Việc truy cập các chức năng smartcard có thể được bảo vệ bằng mã PIN.

Có 2 loại thiết bị đọc smartcard: kết nối và không kết nối.

• Loại kết nối có thể giao tiếp trực tiếp với thiết bị đầu cuối của người dùng (qua USB, Bluetooth, ...) để trao đổi khóa. Bộ đọc kết nối yêu cầu cài đặt phần mềm trên thiết bị đầu cuối của người dùng để thuận tiện trao đổi dữ liệu giữa thiết bị đọc và máy chủ xác thực.
  
  
• Loại không kết nối không có giao tiếp trực tiếp với thiết bị đầu cuối của người dùng; người dùng phải trung chuyển thông tin giữa phía xác thực và thiết bị đọc. Người dùng nhập vào mật mã trên thiết bị đọc thông qua bàn phím và trình ứng dụng smartcard sẽ sinh khóa mã hóa rút gọn (thường là 6-11 chữ số) rồi hiển thị kết quả cho người dùng.

Bộ đếm ATC (Application Transaction Counter - bộ đếm giao dịch ứng dụng) được dùng để sinh khóa mã hóa. ATC tăng lên mỗi khi sinh một khóa. Máy chủ xác thực dùng thuật toán đồng bộ ATC và cho phép một khoảng sai lệch nhất định khi kiểm tra khóa mã hoá. Thường giải pháp xác thực smartcard được triển khai với ít nhất 2 trình ứng dụng, mỗi cái dùng một ATC riêng: một để xác thực và một để cho phép thẻ tín dụng ở thiết bị đầu cuối của người bán đề phòng tình huống việc đồng bộ ATC bị trục trặc.

SMS TỐT CHO NGÂN HÀNG

Sự “lỏng lẻo” của pasword, đặc biệt là password có liên quan đến tài chính, kích thích tin tặc. Số vụ tấn công liên quan đến mã số thẻ tín dụng (một dạng password) và thông tin tài khoản ngân hàng (bao gồm password đăng nhập) không ngừng tăng. Theo một báo cáo mới đây của Symantec, thông tin tài khoản ngân hàng được giá nhất trên thị trường “đen”, có thể lên đến 400USD. Để bảo vệ khách hàng và bảo vệ mình, nhiều ngân hàng đã áp dụng phương thức xác thực hai khóa cho dịch vụ giao dịch trực tuyến của mình. Đặc biệt, do sự phổ biến của ĐTDĐ, nhiều ngân hàng ở châu Âu và châu Á chọn phương thức xác thực qua SMS nhằm tạo tiện lợi cho khách hàng. Vibha Coburn, giám đốc Citibank Online Singapore, nói: “Chúng tôi chọn SMS vì hiện nay hầu như ai cũng có ĐTDĐ. Nó tiện lợi, dễ dùng và linh hoạt, khách hàng không cần mang theo thêm một thiết bị nào khác để giao dịch ngân hàng trực tuyến”. Ngoài Citibank Singapore và Hongkong, có thể kể thêm một số ngân hàng tên tuổi khác cũng chọn SMS như: Standard Chartered, OCBC, Commonwealth Bank... Có một số ý kiến e ngại việc xác thực qua SMS bị lệ thuộc vào mức độ phủ sóng của mạng di động, nhưng việc này cũng đâu khác gì sự lệ thuộc vào đường truyền Internet để thực hiện giao dịch trực tuyến. Hiện tại, SMS là giải pháp bảo mật khá lý tưởng (rẻ, tiện lợi, an toàn hơn) cho giao dịch trực tuyến. Một số dịch vụ ngân hàng và chứng khoán trực tuyến tại Việt Nam hiện cũng đã áp dụng phương thức xác thực này.

4. USB có chip

Khóa USB dễ dùng và nhỏ gọn. Về chức năng, khóa USB có gắn chip tương đương với smartcard cộng với bộ đọc (hầu như tất cả máy tính hiện nay đều có cổng USB).

Giống như thiết bị đọc thẻ chip loại kết nối, thường người dùng cần phải cài đặt phần mềm trên máy tính mới có thể làm việc với khóa USB. Tuy nhiên, cũng có những giải pháp "portable" cài sẵn phần mềm ngay trên thiết bị USB, phần mềm này có thể tự chạy khi khóa USB được gắn vào máy tính.

Một số khóa USB có thêm mã PIN bảo vệ hay dùng một dạng nào đó khác để xác thực người dùng chẳng hạn như quét vân tay.

5. Sinh trắc

Đa phần các thiết bị chúng ta xem xét ở trên đều có thể kết hợp với thiết bị quét dấu hiệu sinh trắc như vân tay hay con ngươi để xác thực người dùng. Nhận dạng sinh trắc "dương" sẽ mở khóa tính năng của thiết bị; thiết bị này vẫn cần sinh ra một dạng mật mã nào đó để chứng minh với máy chủ xác thực. Ví dụ thiết bị đọc thẻ chip thông thường đi kèm với bàn phím số cho phép người dùng nhập vào mã PIN và tự xác thực thẻ chip trước khi sinh mật mã. Bàn phím nhập mã PIN có thể được thay bằng thiết bị quét vân tay thân thiện với người dùng hơn.

Tuy dễ dùng, có triển vọng và thời thượng, nhưng các bộ cảm biến sinh trắc hiện vẫn còn khá đắt.

Chống phishing?

Giải pháp xác thực hai khóa khắc phục được vấn đề rò rỉ password. Ví dụ nếu có ai đó biết được password của bạn, họ vẫn không thể thực hiện giao dịch trực tuyến với danh nghĩa của bạn vì không có khóa hai. Tương tự, nếu khóa hai bị thất lạc, nó cũng vô dụng đối với ai đó vô tình có được vì họ không có password.

Một câu hỏi thú vị đặt ra là liệu khóa hai có giải quyết được vấn đề phishing hay không. Thuần túy về mặt kỹ thuật, câu trả lời là không. Giả sử có kẻ thiết lập một site phishing giả mạo website ngân hàng mà bạn giao dịch (ngân hàng này có áp dụng giải pháp xác thực hai khóa). Nếu bạn cung cấp password của mình và mật mã khóa hai cho site giả mạo, kẻ đó có thể được dùng ngay thông tin này. Hay là, kẻ đó có thể thay đổi bất kỳ giao dịch nào trong phiên làm việc của bạn theo hướng có lợi cho hắn (chẳng hạn chuyển tiền vào tài khoản của hắn thay vì tài khoản đối tác của bạn).

Tuy nhiên khóa hai không phải vô ích. Cụ thể, nó tác động về mặt kinh tế đối với phishing. Tuy tất cả những kẻ tấn công phishing đều quan tâm đến việc thu thập thông tin nhạy cảm (như số thẻ tín dụng, password tài khoản ngân hàng...), nhưng chỉ có một số ít quan tâm đến việc sử dụng những thông tin này, còn phần đông rao bán trên thị trường "đen". Ít ra, khóa hai sẽ gây khó khăn hơn cho việc sử dụng những thông tin đánh cắp này và làm giảm lợi nhuận của phishing.

Nếu khóa hai trở nên phổ biến, các kẻ tấn công phishing có thể sẽ thay đổi cuộc chơi và các cuộc tấn công thời gian thực sẽ ngày càng nhiều hơn. Tóm lại, khóa hai cũng không đủ bảo vệ an toàn về lâu dài, nhưng hiện tại nó được việc.

Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.

Trong lĩnh vực bảo mật, khó có sự tuyệt đối và vĩnh viễn. Đây là cuộc chiến có tính rượt đuổi, vấn đề là ai đi trước.

CÁC KIỂU TẤN CÔNG ĐÁNH CẮP TÀI KHOẢN

Tin tặc tấn công đánh cắp tài khoản để truy cập thông tin nhạy cảm của người dùng, vì mục đích lợi nhuận (như tài khoản ngân hàng) hay mục đích khác. Tổng quát, tấn công đánh cắp tài khoản có thể phân thành 2 loại: thụ động và tích cực. Tấn công thụ động Là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có 2 dạng: trực tuyến (online) và ngoại tuyến (offline).Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản của nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng. Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu “tay nghề” cao và cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện. . Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống “lỏng lẻo” hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của ComputerWorld). Hình thức phổ biến nhất của tấn công online là phishing. Chi phí cho tấn công online chủ yếu dùng để mua danh sách email, danh sách máy tính “yếu” có thể đặt website giả mạo hay đặt hàng viết chương trình phá hoại. Tấn công dạng này thường do tin tặc có “tay nghề” thực hiện. Tấn công chủ động Là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Kiểu tấn công "man-in-the middle" tạo website giả mạo đứng giữa người dùng và website thực là một ví dụ của tấn công chủ động. Kiểu tấn công chủ động không phải là vấn đề bảo mật hiện nay nhưng chúng sẽ là vấn đề trong tương lai gần. Khi việc xác thực hai khóa trở nên phổ biến và kiểu tấn công thụ động không còn tác dụng, bọn tội phạm sẽ phải dùng đến kiểu tấn công chủ động tinh vi hơn. Các công ty, đặc biệt là các tổ chức tài chính, cần chuẩn bị cho người dùng đối phó với làn sóng tấn công thứ hai này. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc" sang các website lừa đảo.

---

Tham khảo:
• An essential guide in the fight against Internet fraud, GPayments.
• How can a Bank prevent Online Banking Fraud, InForm.
• Internet Security Threat Report, Symantec.

moTP - mật khẩu dùng một lần di động

PCWord - Với giải pháp SSL VPN kết hợp cơ chế “mật khẩu dùng một lần” và chú “dế” yêu, bạn có trong tay khả năng truy cập an toàn như với thiết bị token

Hình 1: Mô hình kết nối có thiết bị token hỗ trợ xác thực

Một phân tích về hành vi truy cập Internet cho thấy rất nhiều người vẫn sử dụng một tài khoản để đăng nhập vào các trang web khác nhau. Theo Trusteer, nhà cung cấp bảo mật, 73% người dùng dùng mật khẩu dịch vụ ngân hàng trực tuyến của mình để đăng nhập vào ít nhất một trang web khác, 47% dùng cả tên (ID/Username) và mật khẩu (xem thêm tại trusteer.com). Điều này cho thấy, nhiều người dùng vẫn chưa chú trọng đến vần đề an toàn thông tin.

Để tăng cường bảo mật, nhiều ngân hàng, trung tâm tài chính, chứng khoán… đã triển khai và cung cấp cho người dùng thiết bị token. Thiết bị này xác thực người dùng thay cho cơ chế ID/Username và mật khẩu đăng nhập. Mỗi thiết bị token đều phân biệt nhau và được nhà cung cấp dịch vụ gán với một người dùng cụ thể.

Mật khẩu dùng một lần (one-time password - OTP) là một mật khẩu chỉ có giá trị trong một phiên đăng nhập hay một giao dịch cụ thể ở vào một thời điểm. Giả sử nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được vì mật khẩu này đã hết giá trị sử dụng. Các phương pháp tạo OTP: - Đồng bộ thời gian. - Giải thuật toán. OTP có thể được ứng dụng trên: - Thiết bị token. - Điện thoại di động (ĐTDĐ). - SMS: nhà cung cấp dịch vụ gửi một “mật khẩu dùng một lần” qua tin nhắn SMS đến ĐTDĐ của khách hàng có nhu cầu thực hiện một giao dịch. - OTP cấp phát trực tiếp: một hệ thống sẽ tạo và cung cấp trực tiếp “mật khẩu dùng một lần” cho người dùng cuối mà không cần phải đồng bộ thời gian; không cần đến các thiết bị token, điện thoại… làm “phương tiện trung gian”. Xem thêm tại www.pcworld.com.vn/A0710_124

Đối với các doanh nghiệp, đặc biệt là các doanh nghiệp có nhiều chi nhánh và đội ngũ nhân viên làm việc từ xa, để bảo vệ an toàn thông tin, họ đã tự xây dựng và triển khai cho mình nhiều giải pháp bảo mật, chẳng hạn bảo mật truy cập từ xa SSL VPN. Tuy SSL VPN khá tốt nhưng nếu hợp thêm cơ chế “mật khẩu dùng một lần” thì mức độ an toàn của hệ thống sẽ được nâng cao hơn.

	Vigor2950	Nokia E51	Máy khách truy cập SSL VPN vào Vigor2950
Bước 1:	- Username: testlab - Authentication Type: Local User Database - Nhập PIN: 1357(1)	- PIN: 0000 (giá trị mặc định dùng để khởi tạo dãy secret) - Nhập 25 con số bất kỳ =] xuất hiện dãy secret (16 ký tự): deb05a55fff33a97
Bước 2:	- Nhập dãy secret (16 ký tự): deb05a55fff33a97(2)	- Nhập PIN: 1357 (1) =] sinh ra password (6 ký tự): 4a5ea5(3)
Bước 3:			Đăng nhập với - Username: testlab - Password: 4a5ea5(4)
Ghi chú: (1): phần mềm mOTP cài đặt trên điện thoại Nokia E51 chỉ cho phép nhập tối đa 4 con số. (2): trên mỗi máy khác nhau, dãy secret sẽ khác nhau. Mỗi lần định nghĩa lại secret sẽ có dãy secret mới. (3): mỗi lần nhập mã PIN sẽ sinh password mới. (4): phải đăng nhập ngay, tối đa không quá 1 phút. Nếu sau 1 phút, người dùng phải nhập lại mã PIN trên Vigor2950 vào điện thoại E51 để tạo password mới. Đăng nhập lại với password mới này.

Hình 2: Tải phần mềm mOTP từ iTunes

Bài viết sau sẽ giới thiệu giải pháp SSL VPN kết hợp với cơ chế “mật khẩu dùng một lần” hoạt động tương tự trên thiết bị token nhằm xác thực người dùng truy cập từ xa vào hệ thống mạng nội bộ. Bạn không cần phải mua thiết bị token mà có thể dùng ngay chú “dế” yêu của mình, cùng phần mềm miễn phí “mật khẩu dùng một lần di động” (Mobile One Time Password - mOTP). Mỗi khi muốn truy cập vào hệ thống mạng nội bộ qua SSL VPN, người dùng phải nhập mã PIN (đã biết trước) vào ĐTDĐ để tạo ra mật khẩu đăng nhập. Sau khi thực hiện kết nối SSL VPN, bảng đăng nhập xuất hiện yêu cầu nhập username và password. Lúc này người dùng nhập username (đã biết trước) và mật khẩu vừa được khởi tạo trên điện thoại di động để đăng nhập vào mạng nội bộ. Bài viết không đi sâu vào chi tiết cách cấu hình SSL VPN mà chỉ giúp bạn đọc hiểu thêm về cơ chế xác thực “mật khẩu dùng một lần” trên các thiết bị hỗ trợ mOTP.

Hình 3: Mô hình kết nối SSL VPN đến Vigor2950 có Nokia E51 hỗ trợ xác thực

Để minh họa cho bài viết, chúng tôi dùng bộ định tuyến Vigor2950 của hãng DrayTek (Firmware v3.2.6_RC5 tích hợp sẵn cơ chế mật khẩu dùng 1 lần trong xác thực kết nối SSL, và VPN giao thức PPTP, L2TP). Chúng tôi dùng 2 điện thoại: Apple iPhone và Nokia E51 để thử nghiệm.

Hình 4: Thiết lập chế độ mOTP trên Vigor2950

Để tải mOPT và cài đặt vào máy, trên iPhone, bạn có thể dùng qua iTunes, còn trên E51, bạn truy cập http://motp.sourceforge.net tải về 2 tập tin MobileOTP.jar, MobileOTP.jad.

Sau khi cài đặt xong phần mềm mOTP vào điện thoại, bước tiếp theo và cũng quan trọng nhất là bạn phải thiết lập cùng thời gian trên cả điện thoại và Vigor2950. Nếu thời gian sai lệch sẽ dẫn đến việc tạo mật khẩu sai – 1 phút là thời gian tối đa để bạn nhập mật khẩu được tạo ra từ điện thoại vào ô mật khẩu đăng nhập trên màn hình máy tính, khi thực hiện một kết nối SSL VPN. Ở đây để xác lập thời gian chính xác, trên Vigor2950 bạn thiết lập đồng bộ thời gian với máy chủ ntp.org, chọn “time zone” GMT+7; và bạn nên “canh” thời gian trên Vigor2950 vừa nhảy qua phút mới thì chỉnh ngay lại thời gian trên điện thoại.

	Vigor2950	iPhone	Máy khách truy cập SSL VPN vào Vigor2950
Bước 1:	- Username: testlab - Authentication Type: Local User Database - Nhập PIN: 135790(1)	- “Lắc” iPhone để tạo secret (32 ký tự): 8ff1ac73bdbaa82695a4adcb68b389b8
Bước 2	- Username: testlab - Authentication Type: Local User Database - Nhập PIN: 135790(1)	- Nhập PIN: 1357 (1) =] sinh ra password (6 ký tự): 4a5ea5(3)	- Nhập dãy secret (32 ký tự): 8ff1ac73bdbaa82695a4adcb68b389b8 (2)
Bước 3			Đăng nhập với - Username: testlab - Password: e9d722(4)
Ghi chú: (1): phần mềm mOTP cài đặt trên iPhone cho phép nhập trên 4 con số. (2): trên mỗi máy khác nhau, dãy secret sẽ khác nhau. Mỗi lần định nghĩa lại secret sẽ có dãy secret mới. (3): mỗi lần nhập mã PIN sẽ sinh password mới. (4): phải đăng nhập ngay, tối đa không quá 1 phút. Nếu sau 1 phút, người dùng phải nhập lại mã PIN trên Vigor2950 vào iPhone để tạo password mới. Đăng nhập lại với password mới này.

Thiết bị token hoạt động ra sao? Thiết bị token hoạt động theo phương thức tự tạo các dãy số ngẫu nhiên và có giá trị chỉ trong một khoảng thời gian nhất định (thường dưới 1 phút). Chẳng hạn, khi người dùng muốn đăng nhập vào trang web ngân hàng - nơi đã cung cấp thiết bị token, để thực hiện giao dịch, người dùng phải nhập dãy số trên thiết bị token vào ô mật khẩu thì mới được truy cập. Nếu sau thời gian qui định trên thiết bị token, dãy số này sẽ không còn giá trị, và nếu người dùng vẫn chưa đăng nhập hay hoàn tất giao dịch thì họ phải nhấn nút hay thiết bị token sẽ tự động tạo ra dãy số mới và người dùng nhập dãy số mới này để đăng nhập hay hoàn tất giao dịch. Bạn có thể tham khảo một số dịch vụ dùng thiết bị token: www.payoo.com.vn, www.fpts.com.vn

Hình 5: Mô hình kết nối SSL VPN đến Vigor2950 có iPhone hỗ trợ xác thực

Sau khi bạn thiết lập xong các thông số SSL VPN trên Vigor2950. Phần thông số ở mục SSL VPN\User Account là phần mà bạn cần quan tâm. Tại ô nhập username, bạn nhấn chọn Enable Mobile One-Time Password (mOTP), lúc này 2 ô Pin Code và Secret sẽ hiện ra, ô password sẽ ẩn đi. Bạn thực hiện thiết lập theo các bước sau:

Hình 6: Kết nối SSL-VPN sau khi xác thực thành công

Với giải pháp SSL VPN kết hợp cơ chế “mật khẩu dùng một lần di động”, việc truy cập từ xa vào mạng nội bộ sẽ tin cậy, an toàn và bảo mật hơn.

Tuy nhiên, trong hệ thống mạng nội bộ, thông tin dữ liệu của doanh nghiệp được các nhà quản trị mạng bảo vệ; vậy còn những thông tin, dữ liệu, các giao dịch trên mạng internet của bạn sẽ được ai bảo vệ? Trước khi đặt câu hỏi này, bạn hãy tự bảo vệ chính mình. Hãng cung cấp bảo mật Trusteer khuyên người dùng nên tạo 3 tài khoản đăng nhập khác nhau: một cho các trang web về tài chính, một cho các trang web có chứa thông tin, dữ liệu nhạy cảm và một cho các trang web thông thường.

Bạn đã thực hiện những lời khuyên này chưa, nếu chưa hãy bắt đầu ngay từ bây giờ.

Một số lưu ý khi dùng SSL VPN với cơ chế xác thực “mật khẩu dùng một lần di động” trên Vigor2950 và điện thoại di động: - Mật khẩu có giá trị chỉ trong 1 phút. Sau đó phải nhập lại mã PIN để tạo mật khẩu mới. - Cơ chế xác thực dựa trên 3 yếu tố kết hợp: dãy secret, PIN và thời gian. - Phương pháp kết nối SSL Tunnel trên Vigor2950: + ActiveX: có thể dùng cho trình duyệt IE 6/7/8. + JavaApplet có thể dùng cho trình duyệt IE 6/7/8, Firefox, Google Chrome.

Hacker bẻ mật khẩu 16 ký tự trong chưa đầy 60 phút

GenK - Trong một thử nghiệm của trang web Ars Technica, 14.800 mật mã đã bị hack thành công, bao gồm cả những mật mã có độ dài 16 ký tự.

Trong một thử nghiệm của trang web Ars Technica, 14.800 mật mã đã bị hack thành công, bao gồm cả những mật mã có độ dài 16 ký tự.

Trang web nói trên đã cung cấp cho một đội ngũ hacker khoảng 16.449 mật khẩu được mã hóa, và yêu cầu họ giải mã được càng nhiều mật khẩu càng tốt trong vòng một giờ đồng hồ. Trong khoảng thời gian này, Jens Steube, lập trình viên trưởng của phần mềm bẻ khóa oclHashcat-plus đã bẻ khóa được tới 13.486 mật khẩu, tương đương với 82% tổng số password được giao. Thậm chí, hacker này còn không cần dùng tới một mạng máy vi tính có sức mạnh khủng khiếp, mà chỉ cần một máy vi tính với 2 card đồ họa.

Ngay cả thành viên "kém cỏi" nhất của đội hacker nói trên (biệt danh radix) cũng có khả năng bẻ khóa tới 62% số lượng password được giao trong vòng 1 giờ, và hacker này thậm chí còn vừa bẻ khóa password vừa trả lời phỏng vấn. Vậy, lý do gì dẫn tới việc các hacker này có thể làm việc hiệu quả tới vậy?

Với các mật khẩu ngắn, các hacker chỉ cần sử dụng biện pháp brute-force (tấn công vét cạn). Đây là một phương pháp trong đó máy vi tính thử nhập vào tất cả các chuỗi có thể xây dựng được từ các ký tự, ví dụ như từ aaaaa đến ZZZZZ. Với độ dài ngắn, số lượng chuỗi ký tự có thể tạo ra là không nhiều, do đó phương háp tấn công brute-force không tốn quá nhiều thời gian. Với các mật khẩu dài hơn, các hacker cần sử dụng các biện pháp tinh vi hơn.

Một thành viên trong đội hacker này, Jeremi Gosney, thêm một vài tham số vào các tấn công brute-force của mình. Anh ta cho máy vi tính của mình đoán các mật khẩu 7 – 8 ký tự, bao gồm toàn các chữ cái viết thường (không viết hoa). Gosney cũng sử dụng các cuộc tấn công kiểu Markov: phương pháp dựa vào các điểm giống nhau trong cấu trúc của mật khẩu (ví dụ như chữ hoa ở đầu, chữ thường ở giữa, các ký tự lạ và chữ số ở cuối cùng) để giảm thiểu số lần máy vi tính phải đoán mật khẩu.

Các hacker cũng sử dụng các cuộc tấn công dạng từ điển (dictionary attack). Tấn công dạng từ điển sẽ dò tìm mật khẩu yêu cầu từ một danh sách các từ ngữ có sẵn (gọi là một "wordlist"). Thực tế, "từ điển" ("wordlist") trong "tấn công từ điển" lớn hơn rất nhiều lần so với một cuốn từ điển thông thường. Các wordlist mà bạn có thể tìm thấy miễn phí ở trên mạng chứa hàng triệu từ ngữ từ nhiều ngôn ngữ khác nhau, và cả những mật khẩu thông thường như "password123".

Bất kể ai sở hữu một chiếc máy vi tính có sức mạnh tương đối và kết nối Internet đều có thể sử dụng các công cụ này – kể cả những kẻ dò mật khẩu kém cỏi nhất cũng có thể giải mã ra được khoảng 60% số mật khẩu được giao trong vòng vài giờ. Các chuyên gia dò tìm mật khẩu có thể tìm ra nhiều password hơn với tốc độ nhanh hơn. Rất nhiều mật khẩu có thể bị giải mã vì chúng đi theo những xu hướng phổ biến, do đó bạn có thể dựa vào các lời khuyên sau đây để tăng tính bảo mật cho mật khẩu của mình:

- Hãy sử dụng mật khẩu càng dài càng tốt. Mật khẩu càng dài thì càng khó bị bẻ khóa.
- Hãy sử dụng vài chữ cái viết hoa, nhất là ở phần giữa của mật khẩu. Các mật khẩu chỉ sử dụng các chữ cái viết thường và các chữ số dễ bị bẻ khóa hơn rất nhiều.
- Rất nhiều mật khẩu bắt đầu bằng chữ cái hoặc ký tự lạ và kết thúc bằng các con số. Hãy thay đổi cấu trúc này để tạo ra một mật khẩu có cấu trúc khó đoán.

Trong thời đại mà các công ty để lộ thông tin cá nhân của người dùng ngày càng nhiều, bao gồm cả những cái tên lớn như Twitter hay Sony, hãy nhớ rằng trách nhiệm bảo vệ tài khoản của bạn thuộc về bạn trước tiên.