Đang tải... (xem toàn văn)
ĐẶT VẤN ĐỀ Khi nhu cầu giao dịch, trao đổi thông tin trên các mạng truyền thông ngày càng cao sẽ đòi hỏi các dịch vụ đảm bảo tính an ninh của tài khoản người dùng càng phải phát triển. Một trong những công nghệ đó là OTP (One – Time Password). OTP được nhiều website khuyến cáo người dùng nên sử dụng như các trang game (www.volam.zing.vn), giao dịch điện tử (ibanking), và gần đây là Facebook, nhằm tăng tính bảo mật cho tài khoản khách hàng của họ. Sự ra đời của các thiết bị bảo mật theo công nghệ OTP, mà tiêu biểu là Yubikey tạo điều kiện thuận lợi cho người dùng. Chỉ với một thao tác nhẹ nhàng, đơn giản lên Yubikey, người dùng đã tạo ra một mật khẩu mới cho họ mà sau mỗi lần thoát ra thì mật khẩu đó không còn tác dụng, do đó tài khoản của họ rất khó có thể bị đột nhập. Yubikey không là xa lạ với các nước phát triển nhưng ở Việt Nam nó vẫn là một thứ sản phẩm xa lạ và có phần “xa xỉ”, nhất là đối với sinh viên. Do đó, đây là lần đầu tiên nhóm có cơ hội tìm hiểu về Yubikey. Trong quá trình tìm tòi không thể tránh những thiếu sót, rất mong sự đóng góp của thầy và các bạn. Xin chân thành cảm ơn NỘI DUNG I. Giới thiệu OTP 1. OTP và các loại mật khẩu khác ……………………………………4 2. Tìm hiểu công nghệ OTP …………………………………………..9 II. Giới thiệu Yubikey 1. Yubikey là gì? ……………………………………………………...10 2. Sử dụng Yubikey như thế nào? ……………………………………11 3. Yubikey hoạt động như thế nào? …………………………………..12 III. Làm thế nào thêm Yubikey vào hệ thống riêng của mình? ………………16 IV. Giải pháp xác thực USB OTP Token ……………………………………..27 V. Giới thiệu một số sản phẩm OTP trên thị trường ………………………...29 VI. Mức độ an toàn của OTP …………………………………………………31 Tài liệu tham khảo …………………………………………………………….33
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA KTMT LỚP KTMT02 Báo cáo Môn: AN TOÀN MẠNG Đề tài: Yubikey Authentication Giảng viên hướng dẫn: ThS. Phạm Xuân Khánh Nhóm sinh viên thực hiện: Ngô Thị Hồng Ngân 07520240 Đinh Tiên Hoàng 07520543 1 Thành phố Hồ Chí Minh, ngày 17 tháng 12 năm 2010 ĐẶT VẤN ĐỀ Khi nhu cầu giao dịch, trao đổi thông tin trên các mạng truyền thông ngày càng cao sẽ đòi hỏi các dịch vụ đảm bảo tính an ninh của tài khoản người dùng càng phải phát triển. Một trong những công nghệ đó là OTP (One – Time Password). OTP được nhiều website khuyến cáo người dùng nên sử dụng như các trang game (www.volam.zing.vn), giao dịch điện tử (ibanking), và gần đây là Facebook, nhằm tăng tính bảo mật cho tài khoản khách hàng của họ. Sự ra đời của các thiết bị bảo mật theo công nghệ OTP, mà tiêu biểu là Yubikey tạo điều kiện thuận lợi cho người dùng. Chỉ với một thao tác nhẹ nhàng, đơn giản lên Yubikey, người dùng đã tạo ra một mật khẩu mới cho họ mà sau mỗi lần thoát ra thì mật khẩu đó không còn tác dụng, do đó tài khoản của họ rất khó có thể bị đột nhập. Yubikey không là xa lạ với các nước phát triển nhưng ở Việt Nam nó vẫn là một thứ sản phẩm xa lạ và có phần “xa xỉ”, nhất là đối với sinh viên. Do đó, đây là lần đầu tiên nhóm có cơ hội tìm hiểu về Yubikey. Trong quá trình tìm tòi không thể tránh những thiếu sót, rất mong sự đóng góp của thầy và các bạn. Xin chân thành cảm ơn! 2 NỘI DUNG I. Giới thiệu OTP 1. OTP và các loại mật khẩu khác ……………………………………4 2. Tìm hiểu công nghệ OTP ………………………………………… 9 II. Giới thiệu Yubikey 1. Yubikey là gì? …………………………………………………… 10 2. Sử dụng Yubikey như thế nào? ……………………………………11 3. Yubikey hoạt động như thế nào? ………………………………… 12 III. Làm thế nào thêm Yubikey vào hệ thống riêng của mình? ……………… 16 IV. Giải pháp xác thực USB OTP Token …………………………………… 27 V. Giới thiệu một số sản phẩm OTP trên thị trường ……………………… 29 VI. Mức độ an toàn của OTP ………………………………………………… 31 Tài liệu tham khảo …………………………………………………………….33 3 I. GIỚI THIỆU VỀ OTP Vì Yubikey là thiết bị hoạt động theo nguyên tắc OTP (one - time password) nên chúng ta sẽ tìm hiểu về OTP trước tiên. 1. OTP và các loại mật khẩu khác a. Mật khẩu truyền thống • Đây là công nghệ bảo mật đã áp dụng từ những ngày đầu tiên khi máy tính xuất hiện. Năm 1961, viện công nghệ MIT cho ra mắt một trong những hệ thống chia sẻ đầu tiên trên thế giới – CTSS – cùng với hệ thống mật khẩu sơ khai bao gồm lệnh LOGIN, yêu cầu người dùng nhập vào mật khẩu. Sau khi nhập lệnh PASSWORD, người dùng sẽ phải nhập tiếp mật khẩu của mình để được hệ thống xác nhận. • Cũng trong thập niên 1960, công nghệ bảo mật bằng mật khẩu dần được hoàn thiện thành dạng password được sử dụng phổ biến nhất cho đến ngày nay: alpha – numeric password, tức mật khẩu dưới dạng một chuỗi các chữ cái và chữ số. Bất kỳ chuỗi ký tự nào cũng có thể trở thành mật khẩu, nhưng người dùng được khuyến cáo nên đặt mật khẩu của mình phức tạp đủ để không bị người khác đoán ra. Mật khẩu càng phức tạp, khó đoán thì độ bảo mật càng cao. Tuy nhiên, độ phức tạp của mật khẩu cũng tỉ lệ nghịch với việc người dùng có thể nhớ chúng một cách dễ dàng. Ngoài việc khó có thể tự đặt ra một mật khẩu đủ khó để không bị người khác đoán ra nhưng cũng phải đủ dễ để chính bản thân người dùng có thể ghi nhớ, alpha 4 – numberic password còn phải đối mặt với các cuộc tấn công chiếm password và các chương trình đánh cắp mật khẩu. • Dạng tấn công phổ biến nhất là tấn công tra cứu từ điển (dictionary attack). Phương thức này hiểu đơn giản là kiểu đoán mật khẩu với các cụm từ có nghĩa thường được nhiều người chọn dùng làm mật khẩu (thay vì các chuỗi ký tự ngẫu nhiên như được khuyến cáo), kẻ tấn công sẽ dùng chương trình tự động thử tất cả các từ có nghĩa trong từ điển để bẻ khóa password. • Ngoài ra còn có hàng trăm chương trình keylogger được sử dụng để ghi nhận quá trình nhập password của nạn nhân rồi tự động gửi thông tin về cho kẻ có ý muốn đánh cắp password đó. Hoặc kiểu tra cứu từng ký tự trong mật khẩu (brute-force attack), chương trình sẽ tự động dò tìm từng ký tự trong chuỗi mật khẩu. Tuy dạng brute- force attack có tỉ lệ phá mật khẩu cao nhưng nếu người dùng sử dụng các loại mật khẩu bao gồm nhiều ký tự chữ và số xen lẫn ký tự đặc biệt thì có thể phải mất nhiều năm mới có thể tìm ra chuỗi mật khẩu hoàn thiện (Ví dụ: n$W0k1J^57$h@k3R mật khẩu được cho là có tính bảo mật cao nhưng lại khó nhớ). • Trước sự đe dọa của các chương trình đánh cắp mật khẩu, việc phát minh ra nhiều dạng password mới thay thế cho kiểu truyền thống là hết sức cần thiết, và mật khẩu hình ảnh cùng với mật khẩu một lần là 2 trong số những số ấy. b. Mật khẩu dạng hình ảnh (Graphical password) • Về cơ bản, con người có xu hướng ghi nhớ các thông tin dưới dạng hình ảnh dễ dàng hơn thông tin dưới các dạng khác. Chúng ta có thể gặp khó khăn khi phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ gương mặt của những người ta đã gặp, những nơi ta đã đến và những thứ ta đã thấy. Dựa vào đặc điểm này, người ta đã tạo ra mật khẩu hình ảnh (graphical password). 5 • Để đăng nhập vào một website hay hệ thống được bảo mật bằng graphical password, thay vì phải nhập một chuỗi ký tự như ở alpha– numberic password, người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên bức ảnh mà hệ thống đưa ra. 4 điểm này chính là mật khẩu mà họ đã xác định và ghi nhớ trong quá trình tạo mật khẩu. Dĩ nhiên người dùng cũng có thể chọn số lượng điểm bí mật nhiều hơn 4 để tăng độ bảo mật. • Ở một hình thức khác, người dùng sẽ chọn và ghi nhớ 4 hoặc nhiều hơn các biểu tượng trong quá trình tạo password và chọn lại chúng trong hàng loạt biểu tượng được sắp xếp ngẫu nhiên và thay đổi trong quá trình đăng nhập. 6 Hình1: chọn password theo hình ảnh • Trường Đại học Malaya (Malaysia) còn cung cấp một thuật toán khác: khi đăng ký tài khoản, người dùng sẽ tạo password bằng cách chọn các biểu tượng do máy chủ cung cấp. Khi đăng nhập, những biểu tượng này sẽ được thu nhỏ và xoay theo các chiều khác nhau, người dùng lúc này sẽ phải nhận ra biểu tượng mà mình đã chọn, sau đó nhập vào ô password những ký tự hiện bên dưới biểu tượng đó. Giải pháp này khá mất thời gian nên vẫn còn đang trong giai đoạn thăm dò ý kiến người dùng. Hình 2: thuật toán của trường đại học Malaysia • Điểm mạnh của graphical password là dễ nhớ mà mức độ bảo mật lại cao vì hacker không thể sự dụng cách tấn công từ điển để đánh cắp mật khẩu và các chương trình keylogger cũng trở nên vô dụng vì các biểu tượng được xáo trộn ngẫu nhiên mỗi lần đăng nhập. Tuy nhiên bạn cũng có thể bị lộ password nếu người khác quan sát và ghi nhớ các biểu tượng cũng như điểm ảnh bạn chọn mỗi lần đăng nhập. 7 c. Mật khẩu dùng một lần duy nhất (One time password - OTP) • Nguyên lý hoạt động của OTP như sau: sau khi đã đăng ký dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn hhay điện thoại di động mà không cần đến kết nối internet. Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng đăng xuất (log out) ra khỏi hệ thống. Như vậy, nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được, và do đó giải pháp OTP có tính bảo mật rất cao. • Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào hệ thống được bảo mật bằng OTP. Công nghệ OTP được dùng nhiều trong chứng thực trực tuyến (thương mại trực tuyến). Hiện nay người dùng các thiết bị cầm tay như iPhone, Blackberry cũng có thể tự cài đặt cơ chế bảo mật OTP bằng các chương trình như VeriSign, RSA SecureID hay SafeNet MobilePASS. Ngày càng có nhiều giải pháp mới giúp tăng cường tính bảo mật của password. Nhưng dù với bất cứ giải pháp nào thì người dùng cũng nên tự bảo vệ mình bằng cách lựa chọn và ghi nhớ mật khẩu của mình thật hiệu quả, cũng như tăng cường các biện pháp phòng vệ trước sự đe dọa của hacker và các chương trình keylogger. 8 Hình 3: công nghệ OTP trên mobile 2. Tìm hiểu công nghệ OTP a. Mục đích: làm cho việc truy cập bất hợp pháp đến những tài nguyên được giới hạn trở nên khó khăn hơn, ví dụ như với một tài khoản máy. Thông thường, password cố định có thể được truy cập bởi người dùng bất hợp pháp dễ dàng hơn trong trường hợp họ có đủ thời gian và số lần truy cập. bằng việc thường xuyên thay đổi password, giống như cài chúng ta làm với OTP, sự rủi ro này có thể giảm xuống đáng kể. b. 3 kiểu cơ bản • Kiểu thứ nhất, dùng một thuật toán để tạo ra một passworrd mới dựa trên password trước đó: dựa trên phương pháp của Leslie Lamport là dùng một hàm một chiều (hàm f). Hệ thống OTP làm việc bằng cách khởi đầu với một giá trị s, sau đó sản sinh ra các password với 9 giá trị : f(s), f(f(s)), f(f(f(s))) rất nhiều lần tương đương với số lần sử dụng. Nếu như một người nào đó thấy được password sử dụng một lần, họ chỉ có thể truy cập được một phiên duy nhất, nó sẽ không thể lặp lại lần nữa khi phiên truy cập đó kết thúc. Để có được password trong dãy từ password của lần truy cập trước đó, người đó phải tìm cách để tính ngược được hàm nghịch đảo (f-1), Vì hàm f là hàm một chiều nên điều này cực kỳ khó để thực hiện. Nếu f là một hàm mã hóa hash (cryptographic hash function) thì nó không thể nào tính toán được (như với trình độ hiện nay). • Kiểu thứ hai được dựa trên sự đồng bộ thời gian giữa nhà cung cấp dịch vụ (authentication server) và khách hàng (clien) được cung cấp password: Password sử dụng một lần kiểu đồng bộ thời gian luôn có mối quan hệ mật thiết với một thiết bị phần cứng gọi là token (ví dụ một người được cung cấp thiết bị token cá nhân để tạo một password sử dụng một lần). Bên cạnh thiết bị này là 1 đồng hồ chính xác được đồng bộ với đồng hồ của nhà cung cấp dịch vụ. Trong hệ thống OTP này, thời gian là một phần quan trọng của thuật toán tạo ra password, từ đó việc tạo ra passworrd mới dựa trên thời gian hiện tại khác với việc dựa trên password trước đó hay là một từ khóa. Điện thoại di động hoặc PDA cũng có thể được dùng để tạo OTP… • Kiểu thứ 3 cũng sử dụng một thuật toán nhưng pasword thì được căn cứ trên một trò chơi (challenge) .Ví dụ, một số ngẫu nhiên được chọn bởi server xác thực hoặc transection detail và một bộ đếm thay cho password trước đó. II. GIỚI THIỆU YUBIKEY Như đã nói, Yubikey là thiết bị sử dụng công nghệ OTP. 1. Yubikey là gì? 10 [...]... app/model/blog.rb 20 # Authentication setting :yubikey_ required, :boolean, false setting :yubikey_ api_id, :string, '' setting :yubikey_ api_key, :string, '' Hình 10: Blog-Wide Yubikey Settings UI Sau đó, có 2 thiết lập user-specific: Yubikey ID và Yubikey Required Vấn đề trước là phải liên kết một tài khoản Typo với ID Yubikey public duy nhất trong khi sau này chỉ cho phép Yubikey authentication chọn... kiểm tra cả Yubikey OTP từ form đăng nhập lẫn Yubikey ID public của user đều trống Listing 6 Typo: Yubikey Authentication Part 2 filename: app/model/user.rb # Authenticate a user's Yubikey ID # # Example: # @user.authenticate _yubikey( this_blog, 'thcrefhcvijl', # 'thcrefhcvijldvlfugbhrghkibjigdbunhjlfnbtvfbc') # def authenticate _yubikey( this_blog, yubikey_ id = '', yubikey_ otp = '') 26 if (yubikey_ id.empty?... _('Password') %>: Yubikey authentication - start > : Yubikey authentication - end > . THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA KTMT LỚP KTMT02 Báo cáo Môn: AN TOÀN MẠNG Đề tài: Yubikey Authentication Giảng viên hướng dẫn: ThS. Phạm Xuân Khánh Nhóm sinh viên. Giới thiệu Yubikey 1. Yubikey là gì? …………………………………………………… 10 2. Sử dụng Yubikey như thế nào? ……………………………………11 3. Yubikey hoạt động như thế nào? ………………………………… 12 III. Làm thế nào thêm Yubikey vào. bởi server xác thực hoặc transection detail và một bộ đếm thay cho password trước đó. II. GIỚI THIỆU YUBIKEY Như đã nói, Yubikey là thiết bị sử dụng công nghệ OTP. 1. Yubikey là gì? 10 • Nó là