Vấn đề về quản lý mật
khẩu trong IE và Firefox
1, Giới thiệu
Hai phần của bài viết này sẽ trình bày cho bạn một phân tích về các
k thuật bảo mật, rủi ro, các tấn công và cách phòng chng của hai
hệ thống quản lý mật khẩu trình duyệt được sử dụng rộng rãi, đó là
Internet Explore và Firefox. Đối tượng chính trong bài viết này đề
cập đến hai trình duyệt IE 6 và 7, Firefox 1.5 và 2.0 và cụ thể là
nhng nội dung sau:
Kỹ thuật lưu mật khẩu: Ý nghĩa của việc bảo vệ các
username và password trên hthng file cục bộ thông qua mã hóa.
Các kiểu tấn công: Các phương pháp phá hoại hay vượt qua
được sự bảo vệ.
Những sai lầm về bảo mật: Người dùng sử dụng mật khẩu
không có kiến thức về khả năng rủi ro.
Khả năng sử dụng: Nhng đặc tính nhằm nâng cao hay cản
trở khả năng sử dụng của các đặc tính bảo mật.
Bi
ện pháp đối phó v
à kh
ắc phục
: Nhng hành động cần thiết
để người dùng và các tổ chức giảm những rủi ro không đáng có.
Internet Explorer và Firefox đã cùng nhau chia sẻ khoảng gần 95%
thị phần của tất cả các trình duyt. AutoComplete và Password
Manager là các tính năng để lưu username, password và URL tương
của IE (từ phiên bản 4) và Firefox (từ phiên bản 0.7)
Mỗi trình duyt có các tính năng riêng để hỗ trợ người dùng bằng
việc nhớ các username và password khác nhau như một sự thẩm
định cho các trang web. Vì vậy, khi vào một URL
như http://www.gmail.com, nơi có các trường nhập vào, thì c
Internet Explorer và Firefox đều sẽ nhắc nhở nời dùng xem có
muốn lưu username hay password hay không. Khi người dùng vào
lại trang web này thì trình duyệt sẽ tự động điền vào đầy đủ các
trường đó.
Mặc dù những tính năng này giúp đơn giản hóa đáng kể trách
nhiệm của người dùng song chúng cũng đưa ra những vấn đề cần
phải suy xét về bảo mật, điều mà sẽ được nói đến trong những phần
dưới đây.
2, Một trường hợp về bộ quản lý mt khẩu
Sự cần thiết của các bộ quản lý mật khẩu liên quan trực tiếp đến
khó khăn để có thể nhớ một số lượng lớn username và password
cho các trang web cụ thể. Thực tế, cần phải chú ý là bộ quản lý mật
khẩu có thể tăng cường toàn bộ tính bảo mật vì chúng có quyền cho
phép mức entropy lớn hơn trong việc sử dụng các bộ nhận dạng và
mật khẩu. Vì vậy người dùng có thể tạo nhiều username khác nhau
thay vì một username để cho những kẻ tấn công khó khăn hơn trong
việc phỏng đoán.
Xét theo khía cnh cân bằng mà nói thì người dùng phải tin tưởng
vào ứng dụng để thực hiện vai trò của nó (như việc lưu, xử lý một
cách an toàn và những khả năng tiến bộ để cho phép tồn tại của nó).
Việc quản lý mật khẩu không phải là một phương thuốc chữa bách
bệnh song chúng cũng có tác dụng thúc đẩy về mặt công nghệ, tăng
khả năng rào chắn đối với những tấn công bằng cách cải thiện giao
diện người dùng để tính toán các môi trường thông thường vẫn cần
đến sự thẩm định.
Người dùng cũng như các doanh nghiệp cần phải được bảo đảm
rằng các hệ thống quản lý mật khẩu phải được sử dụng và thực hiện
đúng quy cách, kiến thức về khả năng rủi ro liên quan. Bài viết này
có thể được sử dụng như một kiến thức cơ bản cho việc thiết kế các
bquản lý mật khẩu an toàn hơn bằng việc ôn lại nhng tấn công,
từ đó xây dng một giải pháp vững chắc đối phó với các tấn công
tương lai.
3, Công việc đầu tiên