Trong chương này, các bạn sẽ:

• Tìm hiểu cách xác định và triển khai các phương pháp, yếu tố và thuộc tính xác thực
• Tìm hiểu về các khái niệm và yêu cầu thiết kế ủy quyền

Một trong những nguyên lý cốt lõi của bảo mật máy tính là khái niệm rằng tất cả các hành động sẽ được kiểm soát thông qua một hệ thống phê duyệt; ví dụ: chỉ các bên được ủy quyền mới có thể thực hiện các hành động truy cập tài nguyên, thao tác trên tài nguyên và lưu trữ một mục. Hệ thống quản lý danh tính và truy cập là cơ chế thực hiện điều này. Chương này xem xét các yếu tố nền tảng đằng sau các hệ thống xác thực.

Certification Objective Chương này bao gồm CompTIA Security + mục tiêu bài thi 2.4: Tóm tắt các khái niệm thiết kế xác thực và ủy quyền.

Authentication Methods

Xác thực (Authentication) là quá trình xác minh danh tính đã được thiết lập trước đó trong hệ thống máy tính. Có nhiều phương pháp thực hiện chức năng này, mỗi phương pháp đều có những ưu điểm và nhược điểm, được trình bày chi tiết trong các phần sau.

Directory Services

Thư mục (directory) là một cơ chế lưu trữ dữ liệu tương tự như cơ sở dữ liệu, nhưng nó có một số điểm khác biệt được thiết kế để cung cấp các dịch vụ truy xuất dữ liệu hiệu quả so với các cơ chế cơ sở dữ liệu tiêu chuẩn. Một thư mục được thiết kế và tối ưu hóa để đọc dữ liệu, cung cấp các thao tác tìm kiếm và truy xuất rất nhanh. Các loại thông tin được lưu trữ trong một thư mục có xu hướng là dữ liệu thuộc tính mô tả. Một thư mục cung cấp chế độ xem dữ liệu tĩnh có thể được thay đổi mà không cần giao dịch cập nhật phức tạp. Dữ liệu được mô tả phân cấp theo cấu trúc giống nhau và một giao diện mạng để đọc là điển hình. Sử dụng phổ biến của thư mục bao gồm danh sách địa chỉ e-mail, dữ liệu máy chủ miền và bản đồ tài nguyên của tài nguyên mạng. Lightweight Directory Access Protocol (LDAP) thường được sử dụng để xử lý xác thực và ủy quyền người dùng và kiểm soát quyền truy cập vào các đối tượng Active Directory (AD)

Để kích hoạt khả năng tương tác, X.500 được tạo ra như một tiêu chuẩn cho các dịch vụ thư mục. Phương pháp chính để truy cập thư mục X.500 là thông qua Giao thức truy cập thư mục (DAP – Directory Access Protocol), một giao thức nặng rất khó thực hiện hoàn toàn, đặc biệt là trên PC và các nền tảng hạn chế hơn. Điều này dẫn đến LDAP, chứa chức năng được sử dụng phổ biến nhất. LDAP có thể giao tiếp với các dịch vụ X.500 và quan trọng nhất là có thể được sử dụng qua TCP với tài nguyên máy tính ít hơn đáng kể so với việc triển khai X.500 đầy đủ. LDAP cung cấp tất cả các chức năng mà hầu hết các thư mục cần và dễ dàng hơn và tiết kiệm hơn để triển khai; do đó, LDAP đã trở thành tiêu chuẩn Internet cho các dịch vụ thư mục. Các tiêu chuẩn LDAP được quản lý bởi hai thực thể riêng biệt, tùy thuộc vào việc sử dụng: Liên minh Viễn thông Quốc tế (ITU – International Telecommunication Union) điều chỉnh tiêu chuẩn X.500 và LDAP được điều chỉnh cho việc sử dụng Internet bởi Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF – Internet Engineering      Task Force). Nhiều RFC áp dụng cho chức năng LDAP, nhưng một số RFC quan trọng nhất là RFC 4510 đến 4519

Khi tích hợp với các hệ thống dựa trên đám mây, bạn có thể thấy khó khăn trong việc quản lý thông tin đăng nhập trên hai miền khác nhau. Các nhà cung cấp khác nhau đã tạo ra các công nghệ dựa trên thư mục để giải quyết vấn đề này, chẳng hạn như AWS Directory Service cho Microsoft Active Directory, còn được gọi là AWS Managed Microsoft AD. Dịch vụ này cho phép khối lượng công việc nhận biết thư mục và tài nguyên AWS của bạn sử dụng Active Directory trong AWS Cloud. Vì AWS Managed Microsoft AD được xây dựng trên Microsoft Active Directory thực tế, bạn có thể sử dụng các công cụ quản trị Active Directory tiêu chuẩn và tận dụng các tính năng Active Directory có sẵn, chẳng hạn như Group Policy và các tính năng đăng nhập một lần (SSO – single sign-on).

Exam Tip Máy client bắt đầu phiên LDAP bằng cách kết nối với máy chủ LDAP, được gọi là Tác nhân hệ thống thư mục (DSA – Directory System Agent), theo mặc định trên TCP và UDP cổng 389 hoặc trên cổng 636 cho LDAPS (LDAP qua SSL).

Federation

Liên kết (Federation), hoặc liên kết danh tính (identity federation), xác định các chính sách (defines policies), giao thức và thực tiễn để quản lý danh tính trên các hệ thống và tổ chức. Mục tiêu cuối cùng của Federation là cho phép người dùng truy cập liền mạch vào dữ liệu hoặc hệ thống trên các domain. Liên kết được kích hoạt thông qua việc sử dụng các tiêu chuẩn ngành như Ngôn ngữ đánh dấu xác nhận bảo mật (SAML- Security Assertion Markup Language), được thảo luận trong Chương 24, “Triển khai xác thực và ủy quyền”.

Exam Tip Hệ thống quản lý truy cập nhận dạng liên kết cho phép người dùng xác thực và truy cập tài nguyên trên nhiều doanh nghiệp bằng một thông tin xác thực. Nhưng đừng nhầm lẫn điều này với đăng nhập một lần (SSO), cho phép người dùng truy cập vào nhiều tài nguyên trong một tổ chức hoặc doanh nghiệp.

Attestation

Chứng thực (Attestation) là việc cung cấp bằng chứng hoặc bằng chứng về một số thực tế. Trong trường hợp xác thực, việc chứng thực có thể được thực hiện bởi một dịch vụ kiểm tra thông tin đăng nhập được cung cấp và nếu chúng chính xác và khớp với các giá trị được yêu cầu, dịch vụ có thể chứng thực rằng mục nhập là hợp lệ hoặc chính xác. Chứng thực được sử dụng trong toàn bộ an ninh mạng bất cứ khi nào bên thứ ba hoặc tổ chức xác minh một đối tượng là hợp lệ hoặc một mục là đúng về giá trị

Technologies

Có nhiều cách để thực hiện xác thực và nhiều công nghệ có thể được sử dụng để hỗ trợ nỗ lực.

Time-based One-Time Password (TOTP)

Thuật toán Mật khẩu một lần dựa trên thời gian (TOTP – Time-based One-Time Password) là một triển khai cụ thể của HOTP (sẽ được thảo luận tiếp theo) sử dụng khóa bí mật có dấu thời gian hiện tại để tạo mật khẩu dùng một lần (OTP – one-time password). Nó được mô tả trong RFC 6238 (tháng 5 năm 2011).

HMAC-based One-Time Password (HOTP)

Mật khẩu dùng một lần dựa trên HMAC (HOTP – HMAC-based One-Time Password) là một thuật toán có thể được sử dụng để xác thực người dùng trong hệ thống bằng cách sử dụng máy chủ xác thực. (HMAC là viết tắt của hash-based message authentication code.) Nó được định nghĩa trong RFC 4226 (tháng 12 năm 2005).

Exam Tip Mật khẩu HOTP có thể vẫn hợp lệ và hoạt động trong một khoảng thời gian không xác định. Mật khẩu TOTP được coi là an toàn hơn vì chúng có giá trị trong thời gian ngắn và thay đổi thường xuyên.

Short Message Service (SMS)

Việc sử dụng Dịch vụ Tin nhắn Ngắn (SMS – Short Message Service), hoặc nhắn tin văn bản, trong điện thoại di động cung cấp yếu tố xác thực thứ hai được gửi đến một số đã xác định trước. Tin nhắn được gửi cung cấp một mã mà người dùng nhập vào hệ thống. Mã này thường có thời gian hết hạn, như trong Hình 12-1. Đây là một cách để xác minh rằng thông tin xác thực đầu tiên, thường là mật khẩu, đã được nhập bởi người được mong đợi – giả sử họ có quyền kiểm soát điện thoại di động. Đây là một ví dụ thực tế về xác thực đa yếu tố, sẽ được thảo luận ở phần sau của chương này.

Figure       12-1

Sample  SMS verification codes

Token Key

Token Key là thiết bị vật lý mang mã thông báo kỹ thuật số được sử dụng để nhận dạng người dùng. Đây là một phần tử “một cái gì đó bạn có” trong một sơ đồ xác thực đa yếu tố. Định dạng của mã thông báo thực tế có thể thay đổi từ thẻ thông minh, fob bàn phím, thiết bị USB. Thẻ lân cận (Proximity cards) được sử dụng trong hệ thống truy cập vật lý là thiết bị mang mã thông báo.

Như trong tất cả các yếu tố “thứ bạn có”, token là bằng chứng về loại sự kiện sở hữu và để ngăn việc sử dụng chúng nếu bị mất, chúng được hỗ trợ bằng mã PIN. Các token khác nhau có thể mang các dạng khóa khác nhau. Các phím có thể động, thay đổi theo thời gian hoặc tĩnh. Dynamic tokens bổ sung tính bảo mật trong đó giá trị thay đổi theo thời gian và không thể bị bắt và phát lại. Ví dụ về token thương mại được hiển thị trong hình 12-2.

.

Figure       12-2

Token authenticator from Blizzard Entertainment

Static Codes

Static codes chỉ là vậy — mã không thay đổi hoặc có bản chất tĩnh. Có nhiều trường hợp sử dụng mà những điều này là cần thiết, chẳng hạn như các thiết bị không có sự can thiệp của người dùng. Các thiết bị không có sự can thiệp của người dùng được triển khai rộng rãi trong nhiều hệ thống. Một ví dụ sẽ là đồng hồ đo điện thông minh, một thiết bị cần giao tiếp với các hệ thống khác và xác thực danh tính của nó. Việc sử dụng mã tĩnh có một điểm yếu là nếu bị xâm nhập, các khóa sẽ không còn giá trị. Tiêu chuẩn là sử dụng bảo vệ bằng mật mã cho tất cả việc truyền các mã tĩnh, làm cho mã không thể đọc được ngay cả khi dữ liệu kênh liên lạc được sao chép.

Authentication Applications

Cần một yếu tố thứ hai để xác thực? Chúng tôi có một ứng dụng cho điều đó. Và đây không chỉ là một trò đùa, mà là một phương pháp xác thực ngày càng phổ biến hoạt động bằng cách xác minh rằng người dùng có một thiết bị di động nhất định mà họ sở hữu. Ứng dụng xác thực hoạt động bằng cách chấp nhận thông tin nhập của người dùng và nếu thông tin nhập của người dùng là chính xác, ứng dụng đó có thể chuyển thông tin đăng nhập thích hợp đến hệ thống yêu cầu xác thực. Điều này có thể ở dạng giá trị kỹ thuật số được lưu trữ hoặc mã dùng một lần để đáp ứng một thách thức.

Các ứng dụng xác thực tồn tại cho nhiều nền tảng — từ Android đến iOS, Linux và Windows— và có nhiều nhà cung cấp cho mỗi nền tảng. Việc sử dụng ứng dụng trên thiết bị là yếu tố xác thực thứ hai và là một phần của sơ đồ xác thực đa yếu tố.

Push Notifications

Push notification authentication hỗ trợ xác thực người dùng bằng cách đẩy thông báo trực tiếp đến một ứng dụng trên thiết bị của người dùng. Người dùng nhận được cảnh báo rằng một nỗ lực xác thực đang diễn ra và họ có thể phê duyệt hoặc từ chối quyền truy cập thông qua giao diện người dùng trên ứng dụng. Bản thân Push notification không phải là một bí mật; nó chỉ là một phương tiện mà người dùng có thể xác thực và phê duyệt quyền truy cập. Đây là một giao tiếp ngoài băng tần và thể hiện một kênh giao tiếp thứ hai, do đó, việc hack tài khoản trở nên khó khăn hơn đáng kể.

Phone Call

Một hình thức xác thực khác của người dùng có tương tác với hệ thống thông qua cuộc gọi điện thoại. Cuộc gọi điện thoại xác thực được gửi từ hệ thống xác thực đến một số điện thoại được chỉ định, sau đó có thể xác minh rằng người dùng đang sở hữu thiết bị di động thực sự.

Exam Tip Tokens đại diện cho điều gì đó bạn có liên quan đến xác thực cũng như các thiết bị có thể lưu trữ nhiều thông tin hơn người dùng có thể ghi nhớ, điều này làm cho chúng rất có giá trị để kiểm soát truy cập. Các chi tiết trong tình huống trước một câu hỏi sẽ cung cấp các tiêu chí cần thiết để chọn phương pháp mã thông báo tốt nhất cho câu hỏi.

Smart Card Authentication

Thẻ thông minh (smart card) (còn được gọi là thẻ mạch tích hợp [ICC] hoặc thẻ chip) là một thẻ có kích thước bằng thẻ tín dụng với các mạch tích hợp nhúng được sử dụng để cung cấp xác thực bảo mật nhận dạng. Thẻ thông minh có thể tăng cường bảo mật vật lý vì chúng có thể mang mã thông báo mật mã dài quá lâu để nhớ và không gian quá lớn để đoán. Ngoài ra, do cách thức sử dụng và sử dụng thẻ thông minh, việc sao chép số không phải là một lựa chọn thực tế. Thẻ thông minh có thể được sử dụng trong nhiều trường hợp mà bạn muốn kết hợp thứ bạn biết (mã PIN hoặc mật khẩu) với thứ bạn có (và không thể bị trùng lặp, chẳng hạn như thẻ thông minh). Nhiều máy tính xách tay loại công ty tiêu chuẩn được cài đặt đầu đọc thẻ thông minh và việc sử dụng chúng được tích hợp vào hệ thống truy cập người dùng Windows.

Biometrics

Yếu tố sinh trắc học (Biometric factors) là phép đo các yếu tố sinh học nhất định để xác định một người cụ thể so với những người khác. Những yếu tố này dựa trên các bộ phận của cơ thể con người là duy nhất. Yếu tố sinh học độc đáo được biết đến nhiều nhất là dấu vân tay. Đầu đọc dấu vân tay đã có mặt trong vài năm nay trên máy tính xách tay và các thiết bị di động khác, trên bàn phím và các thiết bị USB độc lập.

Tuy nhiên, nhiều yếu tố sinh học khác có thể được sử dụng, chẳng hạn như võng mạc hoặc mống mắt của mắt, hình dạng của bàn tay và hình dạng của khuôn mặt. Khi chúng được sử dụng để xác thực, có một quy trình gồm hai phần: đăng ký và sau đó xác thực. Trong quá trình ghi danh, một máy tính sẽ lấy hình ảnh của yếu tố sinh học và chuyển nó thành một giá trị số, được gọi là mẫu. Khi người dùng cố gắng xác thực, tính năng sinh trắc học sẽ được quét bởi trình đọc và máy tính sẽ tính toán một giá trị theo cùng kiểu với mẫu và sau đó so sánh giá trị số đang được đọc với giá trị được lưu trữ trong cơ sở dữ liệu. Nếu chúng khớp, quyền truy cập được cho phép. Vì các yếu tố vật lý này là duy nhất, về mặt lý thuyết, chỉ người được ủy quyền thực sự mới được phép truy cập.

Tuy nhiên, trong thế giới thực, lý thuyết đằng sau sinh trắc học bị phá vỡ. Các token có mã kỹ thuật số hoạt động rất tốt vì mọi thứ vẫn ở trong lĩnh vực kỹ thuật số. Máy tính kiểm tra mã của bạn, chẳng hạn như 123, đối với cơ sở dữ liệu; nếu máy tính tìm thấy 123 và số đó có quyền truy cập, máy tính sẽ mở cửa. Tuy nhiên, sinh trắc học lấy một tín hiệu tương tự, chẳng hạn như dấu vân tay hoặc khuôn mặt và cố gắng số hóa nó, sau đó nó được khớp với các chữ số trong cơ sở dữ liệu. Vấn đề với tín hiệu tương tự là nó có thể không mã hóa theo cùng một cách chính xác hai lần. Ví dụ, nếu bạn đến làm việc với một miếng băng ở cằm, liệu sinh trắc học dựa trên khuôn mặt sẽ cấp cho bạn quyền truy cập hay từ chối nó? Do đó, các mẫu phức tạp hơn theo cách có thể có xác suất trùng khớp hoặc đo lường độ gần gũi.

Fingerprint

Máy quét vân tay (fingerprint scanner) đo dạng vân tay duy nhất của một người và chuyển mẫu đó thành giá trị số hoặc mẫu, như đã thảo luận trong phần trước. Đầu đọc vân tay có thể được cải tiến để đảm bảo rằng mẫu là mẫu sống — một mẫu có máu lưu thông hoặc hoạt động sinh học khác có thể phát hiện được — để ngăn chặn việc giả mạo đơn giản với khuôn Play-Doh của bản in. Máy quét vân tay được sản xuất rẻ và được sử dụng rộng rãi trong các thiết bị di động. Một trong những thách thức của máy quét dấu vân tay là chúng không hoạt động nếu người dùng đeo găng tay (ví dụ: găng tay y tế) hoặc đã bị mòn dấu vân tay khi lao động chân tay, như nhiều người tham gia vào thương mại sheetrock thực hiện trong công việc bình thường.

Retina

Máy quét võng mạc (retinal scanner) kiểm tra các mô hình mạch máu ở phía sau của mắt. Được cho là duy nhất và không thay đổi, võng mạc là một sinh trắc học có thể phát hiện dễ dàng. Tính năng quét võng mạc không được người dùng chấp nhận vì nó liên quan đến việc quét tia laser vào bên trong nhãn cầu của người dùng, điều này gây ra một số vấn đề tâm lý cho một số người dùng cảnh giác với việc để tia laser quét vào bên trong mắt của họ. Việc phát hiện này yêu cầu người dùng phải ở ngay trước thiết bị để thiết bị hoạt động. Nó cũng đắt hơn vì độ chính xác của máy dò và sự tham gia của tia laser và tầm nhìn của người dùng.

Iris

Máy quét mống mắt (iris scanner) hoạt động theo cách tương tự như máy quét võng mạc ở chỗ nó sử dụng hình ảnh của một phép đo sinh học duy nhất (trong trường hợp này là sắc tố liên quan đến mống mắt của mắt). Điều này có thể được chụp ảnh và đo lường từ xa, loại bỏ trở ngại tâm lý khi đặt mắt của một người gần máy quét. Nhược điểm của việc có thể chụp quét mống mắt ở khoảng cách xa là điều này rất dễ thực hiện mà người đó không biết và thậm chí có thể chế tạo kính áp tròng bắt chước một mẫu. Ngoài ra còn có một số vấn đề khác liên quan đến tình trạng y tế như mang thai và một số bệnh có thể được phát hiện bằng những thay đổi trong mống mắt của một người và nếu tiết lộ, sẽ là vi phạm quyền riêng tư.

Facial

Nhận dạng khuôn mặt (Facial recognition) chủ yếu là công cụ khoa học viễn tưởng cho đến khi nó được tích hợp vào các điện thoại di động khác nhau. Một cảm biến nhận dạng khi bạn di chuyển điện thoại vào vị trí có thể nhìn thấy khuôn mặt của bạn, cùng với trạng thái không đăng nhập, sẽ bật camera hướng về phía trước, khiến hệ thống tìm kiếm chủ sở hữu đã đăng ký của nó. Hệ thống này đã được chứng minh là có khả năng phân biệt đối xử khá cao và hoạt động khá tốt, chỉ có một nhược điểm: người khác có thể di chuyển điện thoại trước mặt người dùng đã đăng ký và nó có thể mở khóa. Về bản chất, một người dùng khác có thể kích hoạt cơ chế mở khóa khi người dùng không hề hay biết. Hạn chế nhỏ khác là đối với một số giao dịch nhất định, chẳng hạn như xác định tích cực cho các giao dịch tài chính, vị trí của điện thoại trên vị trí NFC, cùng với khuôn mặt của người dùng cần phải ở một hướng nhất định đối với điện thoại, dẫn đến một số khó xử các chức vụ. Nói cách khác, việc phải đặt khuôn mặt của bạn vào một vị trí thích hợp trên điện thoại để nhận dạng bạn trong khi giữ nó sát vào đầu đọc thẻ tín dụng NFC có chiều cao đối diện có thể rất khó xử.

Voice

Nhận dạng giọng nói (Voice recognition) là việc sử dụng các chất âm độc đáo và các mẫu giọng nói để xác định một người. Từ lâu là chủ đề của phim khoa học viễn tưởng, sinh trắc học này là một trong những công cụ khó nhất để phát triển thành một cơ chế đáng tin cậy, chủ yếu là do các vấn đề về tỷ lệ chấp nhận sai và từ chối, sẽ được thảo luận một chút ở phần sau của chương.

Vein

Một sinh trắc học khác là sử dụng các mẫu tĩnh mạch máu (blood vein patterns) để xác định người dùng. Con người có một hệ thống mạch máu chung, nhưng các yếu tố riêng lẻ có thể khác nhau về kích thước và cấu trúc vi mô, và những mô hình hạt mịn này được cho là duy nhất. Cảm biến có thể đo lường các mẫu này và sử dụng chúng để xác định người dùng. Ba vị trí mô hình mạch máu phổ biến được sử dụng: lòng bàn tay, ngón tay và các tĩnh mạch trong võng mạc. Phép đo này được thực hiện thông qua phân tích quang phổ của mô, sử dụng tần số phát hiện hemoglobin trong máu. Đây là các phép đo không xâm lấn, nhưng chúng yêu cầu ở gần mục của người dùng được đo.

Gait Analysis

Phân tích dáng đi (Gait analysis) là phép đo kiểu dáng được thể hiện bởi một người khi họ bước đi. Phân tích dáng đi, chiều dài, tốc độ và tốc độ di chuyển của các điểm cụ thể cung cấp một chữ ký duy nhất có thể được ghi lại và so sánh với các mẫu trước đó. Ngay cả khi không được sử dụng để xác thực, như mẫu trước đó được yêu cầu, phân tích dáng đi có thể được sử dụng để xác định nghi phạm trong một nhóm người khác, cho phép theo dõi các cá nhân trong đám đông. Từ góc độ kiểm soát truy cập, trong các tình huống bảo mật cao, camera có thể ghi lại dáng đi của nhân viên đến và so sánh với các giá trị đã biết, cung cấp một yếu tố bổ sung từ xa và sớm để xác định danh tính.

Efficacy Rates

Các phép đo sinh trắc học có một mức độ không chắc chắn, và do đó hiệu quả của các giải pháp sinh trắc học đã là một vấn đề kể từ khi chúng được phát triển lần đầu tiên. Khi mỗi thế hệ cảm biến cải thiện độ chính xác của các phép đo, các sai số đã được giảm xuống mức hiện có thể quản lý được. Để sinh trắc học có hiệu quả, chúng phải có cả tỷ lệ dương tính giả thấp và tỷ lệ âm tính giả thấp. Điều khoản tỷ lệ chấp nhận sai (FAR – false acceptance rate) và tỷ lệ từ chối sai (FRR – false rejection rate) mô tả khả năng một người dùng không chính xác sẽ được chấp nhận sai hoặc một người dùng chính xác sẽ bị từ chối giả, tương ứng, như được đề cập chi tiết trong các phần tiếp theo. Hai thước đo này khác nhau và trong khi tỷ lệ từ chối sai thấp là quan trọng đối với khả năng sử dụng, thì tỷ lệ chấp nhận sai thấp lại quan trọng hơn từ góc độ bảo mật. Người dùng phải lặp lại cố gắng xác thực là không tốt, nhưng việc xác thực xảy ra đối với người dùng trái phép còn tệ hơn.

Xem bản đầy đủ trong sách in Comptia Security+ Tiếng Việt, kèm full mp3 bài trình bày và video eCourseware Comptia Security + bản quốc tế.

Thực hành với hướng dẫn chi tiếp step by step trên Comptia CertMaster Lab

Đăng kí Voucher thi chứng chỉ quốc tế tại đây.

Các bài viết khác về Comptia Security+

FlashSale