Chap 8 - Security

Machine Translated by Google
Chương 8
Quản lý danh tính và quyền truy cập
MỤC TIÊU BÀI THI+ BẢO MẬT COMPTIA

NỘI DUNG TRONG CHƯƠNG NÀY BAO GỒM:
Miền 2.0: Kiến trúc và Thiết kế
2.4. Tóm tắt các khái niệm thiết kế xác thực và ủy quyền
Miền 3.0: Triển khai 3.7. Đưa ra một
kịch bản, triển khai các biện pháp kiểm soát quản lý danh tính
và tài khoản 3.8. Đưa ra
một kịch bản, triển khai các giải pháp xác thực và ủy quyền
Danh tính là một trong những lớp bảo mật quan trọng nhất trong các tổ
chức hiện đại. Danh tính và các tài khoản được kết nối cho phép các
tổ chức đó kiểm soát ai có quyền truy cập vào hệ thống và dịch vụ của
họ; để xác định các hành động mà người dùng, hệ thống và dịch vụ đang
thực hiện; và kiểm soát các quyền mà các tài khoản đó có và không có.
Tất cả điều đó có nghĩa là kiến trúc và cách triển khai quản lý quyền
truy cập và danh tính được thiết kế tốt là rất quan trọng đối với
cách thức hoạt động của các tổ chức.
Chương này bắt đầu bằng việc giới thiệu cho bạn khái niệm về bản
sắc, tập hợp các khẳng định về một chủ đề. Danh tính được xác
nhận thông qua quy trình xác thực chứng minh rằng danh tính đó
thuộc về người dùng đang xác nhận danh tính đó. Sau đó, người dùng đó
được ủy quyền thực hiện các hành động dựa trên các quyền và đặc
quyền liên quan đến tài khoản người dùng của họ. Bạn sẽ tìm hiểu về xác thực
các phương pháp, khuôn khổ và công nghệ cũng như các chi tiết chính về việc
triển khai và cách bảo mật chúng.
Khi bạn đã khám phá danh tính, xác thực và ủy quyền, bạn sẽ tìm hiểu về các
loại tài khoản bao gồm tài khoản người dùng, tài khoản quản trị, dịch vụ,
khách và tài khoản dùng chung. Bạn cũng sẽ tìm hiểu về cách sử dụng chính
sách tài khoản để quản lý và bảo mật tài khoản.
Cuối cùng, bạn sẽ xem cách các quyền của hệ thống tệp hoạt động với các
tài khoản để kiểm soát những tệp nào người dùng có thể đọc, ghi và thực thi.
Danh tính
Danh tính là tập hợp các tuyên bố được đưa ra về một chủ đề. Chủ thể thường
là con người, ứng dụng, thiết bị hoặc tổ chức, nhưng ứng dụng nhận dạng
phổ biến nhất là đối với các cá nhân. Danh tính thường được liên kết với thông
tin về chủ đề, bao gồm các chi tiết quan trọng đối với việc sử dụng danh tính
của họ. Thông tin này bao gồm các thuộc tính hoặc thông tin về chủ đề.
Các thuộc tính có thể bao gồm nhiều loại thông tin, từ tên, tuổi, vị trí hoặc
chức danh công việc đến các thuộc tính hình thể như tóc, màu mắt hoặc chiều
cao.
Các thuộc tính đôi khi được phân biệt với các đặc điểm. Khi được sử dụng
theo cách này, các thuộc tính là những thứ có thể thay đổi, như tiêu đề
hoặc địa chỉ của chủ thể, trong khi các đặc điểm vốn có của chủ thể,
chẳng hạn như chiều cao, màu mắt hoặc nơi sinh.
Khi một chủ thể muốn sử dụng danh tính của mình, họ cần sử dụng một trong số
những cách phổ biến để khẳng định hoặc yêu cầu danh tính:
Tên người dùng, phương tiện được sử dụng phổ biến nhất để xác nhận
danh tính. Điều quan trọng cần nhớ là tên người dùng được liên kết
với danh tính và bản thân nó không phải là yếu tố xác thực.
Chứng chỉ có thể được lưu trữ trên hệ thống hoặc được ghép nối với thiết
bị lưu trữ hoặc mã thông báo bảo mật.
Mã thông báo, một thiết bị vật lý có thể tạo mã, cắm qua USB hoặc kết
nối qua Bluetooth hoặc các phương tiện khác để xuất trình chứng chỉ
hoặc thông tin khác.
Khóa SSH, là biểu diễn mật mã nhận dạng thay thế tên người dùng và mật
khẩu.
Thẻ thông minh sử dụng chip nhúng. Cả thẻ có khả năng đọc chip vật
lý và không tiếp xúc cũng như thẻ lai đều được triển khai rộng rãi và
thẻ thông minh mật mã thường có khả năng tạo cặp khóa trên chính thẻ.
Cặp chìa khóa bị mất
Các cặp khóa bị lộ hoặc bị mất có thể gây rắc rối lớn về bảo mật.
Tải khóa riêng lên kho lưu trữ mã công khai là một vấn đề tương đối phổ
biến và rất tiếc là các phương pháp quản lý cụm mật khẩu kém
cho các cặp khóa hoặc thậm chí sử dụng mật khẩu hoặc cụm mật khẩu trống cho
khóa SSH không may lại phổ biến.
Mặc dù các nhà cung cấp dịch vụ đám mây tích cực giám sát cả việc tải cặp
khóa lên các dịch vụ lưu trữ phổ biến của bên thứ ba và các hoạt động khai
thác nhanh chóng xảy ra sau những lần lộ thông tin đó, việc đảm bảo rằng
tổ chức của bạn đào tạo các nhà phát triển và quản trị viên về các
phương pháp quản lý và xử lý thích hợp là một lớp bảo mật quan trọng.
Nếu bạn đang thắc mắc về thẻ thông minh và cách sử dụng các cặp khóa của
chúng, thì thẻ thông minh được thiết kế tốt thường tạo các cặp khóa trên thẻ
để ngăn các bản sao của cặp khóa được lưu trữ ở một vị trí khác. Điều
này có nghĩa là tính bảo mật của thẻ cũng như việc tạo và lưu trữ khóa
của thẻ là rất quan trọng để giữ an toàn cho các cặp khóa.
Xác thực và ủy quyền
Khi một đối tượng muốn xác nhận danh tính, họ cần chứng minh rằng
danh tính đó là của họ. Điều đó có nghĩa là họ cần phải xác thực.
Các công nghệ xác thực như giao thức xác thực, máy chủ và tiêu chuẩn
đều nhằm mục đích đảm bảo rằng đối tượng chính là người mà họ tuyên
bố, rằng quy trình xác thực vẫn an toàn và bảo mật cũng như các
khả năng như khả năng sử dụng đăng nhập một lần (SSO) hoạt động
tốt .
Ủy quyền xác minh những gì bạn có quyền truy cập. Khi được kết hợp,
xác thực và ủy quyền trước tiên sẽ xác minh bạn là ai, sau đó cho
phép bạn truy cập tài nguyên, hệ thống hoặc các đối tượng khác dựa
trên những gì bạn được phép sử dụng.
Công nghệ xác thực và ủy quyền Một loạt các công nghệ xác thực
và ủy quyền hiện đang được sử dụng để xác thực và ủy quyền. Đối với
kỳ thi Bảo mật+, bạn sẽ cần phải làm quen với kiến thức cơ
bản của một số trong số chúng, bao gồm cả công nghệ hiện tại và
lịch sử.
Hãy xem xét các công nghệ xác thực mà bạn cần biết.
Giao thức xác thực mở rộng (EAP) là một khung xác thực thường được
sử dụng cho các mạng không dây. Hiện có nhiều cách triển khai khác
nhau sử dụng khung EAP, bao gồm các phương pháp mở và dành
riêng cho nhà cung cấp như EAP-TLS, LEAP và EAP-TTLS. Mỗi giao thức
này triển khai các tin nhắn EAP bằng cách sử dụng các tiêu chuẩn nhắn
tin của giao thức đó. EAP thường được sử dụng để xác thực mạng không
dây.
Giao thức xác thực bắt tay thử thách (CHAP) là một giao thức
xác thực được thiết kế để cung cấp tính bảo mật cao hơn các giao
thức như PAP mà bạn sẽ đọc ở phần sau của phần này.
CHAP sử dụng thử thách được mã hóa và bắt tay ba chiều để gửi
thông tin xác thực, như trong Hình 8.1.
HÌNH 8.1 Chuỗi thách thức và phản hồi CHAP
Microsoft đã giới thiệu phiên bản CHAP của riêng họ có tên là MS-
CHAP, nhưng các lỗ hổng trong cả hai phiên bản MS-CHAP 1 và 2 đã khiến
nó bị thay thế phần lớn bởi các giao thức khác.
Giao thức xác thực mật khẩu (PAP) là giao thức xác thực lấy mật
khẩu làm trung tâm thường được sử dụng với Giao thức điểm-điểm (PPP)
để xác thực người dùng. Mặc dù PAP vẫn xuất hiện trong đề cương
kỳ thi Security+ nhưng bạn không thể sử dụng PAP trong các triển khai
hiện đại vì nó đã được thay thế bằng các triển khai CHAP và EAP.
Có chuyện gì với PAP vậy? PAP gửi mật khẩu không được mã hóa,
khiến nó không phù hợp để sử dụng trong hầu hết các mạng hiện đại.
802.1X là tiêu chuẩn IEEE để kiểm soát truy cập mạng (NAC) và được sử dụng
để xác thực cho các thiết bị muốn kết nối với mạng. Trong hệ thống
802.1X, người thay thế gửi yêu cầu xác thực đến người xác thực như
bộ chuyển mạch mạng, điểm truy cập hoặc bộ điều khiển không dây. Những bộ
điều khiển đó kết nối với máy chủ xác thực, thường thông qua
RADIUS. Sau đó, các máy chủ RADIUS có thể dựa vào thư mục phụ trợ sử
dụng LDAP hoặc Active Directory làm nguồn thông tin nhận dạng.
Hình 8.2 cho thấy một ví dụ về thiết kế kiến trúc 802.1X phổ biến sử
dụng EAP, RADIUS và LDAP.
HÌNH 8.2 Kiến trúc xác thực 802.1 với EAP, RADIUS và LDAP
RADIUS (Dịch vụ người dùng quay số xác thực từ xa) là một trong những hệ
thống xác thực, ủy quyền và kế toán (AAA) phổ biến nhất cho các thiết bị
mạng, mạng không dây và các dịch vụ khác.
RADIUS có thể hoạt động thông qua TCP hoặc UDP và hoạt động theo mô hình
client-server. RADIUS gửi mật khẩu bị che giấu bởi bí mật chung và hàm
băm MD5, nghĩa là độ bảo mật mật khẩu của nó không mạnh lắm. Lưu lượng
RADIUS giữa máy chủ truy cập mạng RADIUS và máy chủ RADIUS thường được mã
hóa bằng đường hầm IPSec hoặc các biện pháp bảo vệ khác để bảo vệ lưu lượng.
RADIUS thường được liên kết với các hệ thống AAA (xác
thực, ủy quyền và kế toán). Trong hệ thống AAA, trước tiên người dùng
phải xác thực, thường bằng tên người dùng và mật khẩu.
Sau đó, hệ thống cho phép họ thực hiện các hành động mà họ
được ủy quyền theo chính sách hoặc cài đặt quyền. Kế toán theo
dõi việc sử dụng tài nguyên như thời gian, băng thông hoặc
mức sử dụng CPU.
Hệ thống kiểm soát truy cập bộ điều khiển truy cập thiết bị đầu cuối Plus
(TACACS+), là phần mở rộng do Cisco thiết kế cho TACACS, Hệ thống
kiểm soát truy cập bộ điều khiển truy cập thiết bị đầu cuối. TACACS+
sử dụng lưu lượng TCP để cung cấp các dịch vụ xác thực, ủy quyền và
kế toán. Nó cung cấp mã hóa toàn bộ gói cũng như các điều khiển
lệnh chi tiết, cho phép các lệnh riêng lẻ được bảo mật khi cần.
Kerberos được thiết kế để hoạt động trên các mạng không tin cậy và
sử dụng xác thực để bảo vệ lưu lượng xác thực của nó. Người dùng
Kerberos bao gồm ba thành phần chính: thành phần chính, thường
là tên người dùng; ví dụ giúp phân biệt các bầu cử sơ bộ tương tự; và
các lĩnh vực, bao gồm các nhóm người dùng.
Các lĩnh vực thường được phân tách bằng ranh giới tin cậy và có các trung
tâm phân phối khóa Kerberos (KDC) riêng biệt. Hình 8-3 thể hiện luồng
xác thực Kerberos cơ bản.
HÌNH 8.3 Quá trình xác thực Kerberos
Khi khách hàng muốn sử dụng Kerberos để truy cập một dịch vụ,
khách hàng sẽ yêu cầu phiếu xác thực hoặc vé cấp vé (TGT). Máy chủ
xác thực sẽ kiểm tra thông tin xác thực của khách hàng và phản
hồi bằng TGT, được mã hóa bằng khóa bí mật của dịch vụ cấp vé
(TGS). Khi máy khách muốn sử dụng một dịch vụ, máy khách sẽ gửi
TGT tới TGS (thường cũng là KDC) và bao gồm tên của tài nguyên
mà nó muốn sử dụng. TGS gửi lại khóa phiên hợp lệ cho dịch vụ và
khách hàng đưa ra khóa đó cho dịch vụ để truy cập nó.
Các hệ thống dựa trên Internet thường dựa vào một số công nghệ cốt lõi để
thực hiện việc xác thực và ủy quyền. Chúng bao gồm những điều sau đây:
Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) là một tiêu chuẩn mở dựa
trên XML để trao đổi thông tin xác thực và ủy quyền. SAML thường
được sử dụng giữa nhà cung cấp nhận dạng và nhà cung cấp dịch vụ
cho các ứng dụng dựa trên web. Việc sử dụng SAML có nghĩa là các
nhà cung cấp dịch vụ có thể chấp nhận các xác nhận SAML từ nhiều
nhà cung cấp danh tính, khiến SAML trở thành giải pháp chung cho
các môi trường liên kết như những môi trường mà chúng ta sẽ thảo
luận sau trong chương này.
OpenID là một tiêu chuẩn mở để xác thực phi tập trung.

Nhà cung cấp danh tính OpenID có thể được tận dụng cho các trang web
của bên thứ ba bằng cách sử dụng danh tính đã được thiết lập. Một
ví dụ phổ biến về điều này là chức năng “Đăng nhập bằng Google” mà
nhiều trang web cung cấp, nhưng Google không phải là ví dụ duy nhất
về nhà cung cấp danh tính OpenID chính. Microsoft, Amazon và nhiều
tổ chức khác là nhà cung cấp danh tính OpenID (IdP). Các bên tin cậy
(RP) chuyển hướng yêu cầu xác thực đến IdP, sau đó nhận được phản
hồi với xác nhận rằng người dùng chính là người mà họ cho là do xác
thực thành công và người dùng đã đăng nhập bằng OpenID cho người dùng
đó.
OAuth là một tiêu chuẩn mở để ủy quyền được nhiều trang web sử

dụng. OAuth cung cấp phương pháp để người dùng xác định thông tin nào
sẽ cung cấp cho các ứng dụng và trang web của bên thứ ba mà
không cần chia sẻ thông tin xác thực. Bạn có thể đã gặp phải
điều này với các công cụ như plugin Google Drive yêu cầu quyền truy
cập vào tệp hoặc thư mục của bạn hoặc khi bạn sử dụng công cụ hội
thảo trên web yêu cầu quyền truy cập vào lịch Google với danh sách
các quyền mà công cụ đó cần hoặc muốn thực hiện yêu cầu chức năng.
Mục tiêu của kỳ thi Security+ hiện không bao gồm một công
nghệ xác thực quan trọng nào khác được nhiều trang web và ứng
dụng sử dụng. Mặc dù Facebook Connect là một công nghệ
của Facebook nhưng nó được triển khai rộng rãi và
cung cấp các API xác thực cho phép người dùng Facebook đăng nhập
vào các sản phẩm của bên thứ ba. Mặc dù Facebook Connect không
có khả năng xuất hiện trong thử nghiệm nhưng bạn vẫn nên biết
về nó vì bạn có thể gặp phải nó trong cùng bối cảnh với các hoạt
động triển khai dựa trên SAML-, OAuth- và OpenID như một
tùy chọn xác thực được hỗ trợ khác.
Những công nghệ này là một phần chính tạo nên nền tảng cho nhiều
triển khai liên kết và SSO dựa trên web.
Dấu hiệu duy nhất trên
Hệ thống đăng nhập một lần (SSO) cho phép người dùng đăng nhập
bằng một danh tính duy nhất và sau đó sử dụng nhiều hệ thống
hoặc dịch vụ mà không cần xác thực lại. Hệ thống SSO mang lại
những lợi thế đáng kể vì chúng đơn giản hóa các tương tác của
người dùng với hệ thống xác thực và ủy quyền, nhưng chúng yêu cầu
phải đánh đổi số lượng ranh giới bảo mật dựa trên danh tính hiện có.
Điều này có nghĩa là nhiều tổ chức cuối cùng phải triển khai đăng
nhập một lần cho nhiều hệ thống nhưng có thể yêu cầu các bước xác
thực bổ sung hoặc sử dụng tài khoản đặc quyền bổ sung cho môi trường bảo mật cao.
Đăng nhập một lần thường được triển khai bằng LDAP và Kerberos, chẳng
hạn như trong các miền Windows và cơ sở hạ tầng Linux hoặc thông
qua triển khai SAML cho các ứng dụng web và dịch vụ liên kết.
Liên đoàn
Trong nhiều tổ chức, thông tin nhận dạng được xử lý bởi nhà
cung cấp nhận dạng (IdP). Nhà cung cấp nhận dạng quản lý vòng đời của
danh tính kỹ thuật số từ quá trình tạo ra thông qua bảo trì cho đến khi
ngừng sử dụng danh tính trong các hệ thống và dịch vụ mà nó hỗ trợ.
Nhà cung cấp danh tính thường là một phần của quá trình triển khai danh tính
liên kết , trong đó họ được ghép nối với các bên tin cậy, tin tưởng nhà cung
cấp danh tính sẽ xử lý quá trình xác thực và sau đó dựa vào xác
thực đó để cấp quyền truy cập vào các dịch vụ. Liên kết thường được sử dụng
cho nhiều dịch vụ web, nhưng cũng có thể sử dụng cho các mục đích khác.
Dưới đây là một số thuật ngữ thường được sử dụng trong môi trường
liên kết mà bạn nên biết:
Hiệu trưởng, thường là người dùng
Nhà cung cấp danh tính (IdP), những người cung cấp dịch vụ
nhận dạng và xác thực thông qua quy trình chứng thực trong đó
IdP xác thực rằng người dùng chính là người mà họ xác nhận
Nhà cung cấp dịch vụ (SP), những người cung cấp dịch vụ cho người dùng
có danh tính đã được nhà cung cấp danh tính chứng thực
Ngoài ra, thuật ngữ bên tin cậy (RP) đôi khi được sử dụng với ý nghĩa tương
tự như bên cung cấp dịch vụ. RP sẽ yêu cầu xác thực và xác
nhận danh tính từ IdP.
Dịch vụ thư mục

Dịch vụ thư mục được sử dụng trong mạng để cung cấp thông tin về hệ
thống, người dùng và các thông tin khác về tổ chức.
Các dịch vụ thư mục như Giao thức truy cập thư mục nhẹ (LDAP) thường được
triển khai như một phần của cơ sở hạ tầng quản lý danh tính và cung cấp thông
tin được tổ chức theo cấp bậc về tổ chức. Chúng thường được sử dụng để cung
cấp một thư mục tổ chức cho email và các thông tin liên hệ khác.
Hình 8.4 hiển thị ví dụ về phân cấp thư mục LDAP cho Inc.com, nơi có hai
đơn vị tổ chức (OU): an ninh và nhân sự. Mỗi đơn vị đó bao gồm một số mục
được gắn nhãn với một tên chung (CN). Ngoài cấu trúc được hiển thị trong
sơ đồ, mỗi mục sẽ có thêm

thông tin không được hiển thị trong sơ đồ đơn giản này, bao gồm
tên phân biệt, địa chỉ email, số điện thoại, địa điểm văn phòng
và các chi tiết khác.
HÌNH 8.4 Hệ thống phân cấp tổ chức LDAP Vì các
thư mục chứa lượng dữ liệu tổ chức rất lớn và có thể được sử dụng để
hỗ trợ nhiều dịch vụ, bao gồm cả xác thực dựa trên thư mục, nên
chúng phải được bảo vệ tốt. Cùng một nhóm nhu cầu thường có nghĩa
là các máy chủ thư mục cần được hiển thị công khai để cung cấp
dịch vụ cho các hệ thống hoặc đối tác kinh doanh cần truy cập thông
tin thư mục. Trong những trường hợp đó, có thể cần phải có biện
pháp bảo mật bổ sung, kiểm soát truy cập chặt chẽ hơn hoặc thậm
chí là một dịch vụ thư mục công cộng hoàn toàn riêng biệt.
Đề cương bài kiểm tra Security+ đề cập đến các dịch vụ thư mục
dưới dạng danh mục chung dưới tiêu đề xác thực, nhưng chỉ đề cập
cụ thể LDAP trong Miền 1, trong bối cảnh các cuộc tấn công chèn LDAP
và trong Miền 3, trong đó LDAPS (LDAP bảo mật) được đề cập. Mặc dù
chúng tôi nói ngắn gọn về LDAP và Active Directory như hai trong
số các công nghệ thư mục được triển khai phổ biến nhất, nhưng
bản tóm tắt tập trung vào khái niệm rộng hơn hơn là một công nghệ
cụ thể.
Phương thức xác thực
Sau khi bạn đã xác nhận danh tính bằng cách cung cấp tên người dùng
hoặc một số phương tiện khác, bước tiếp theo là chứng minh rằng danh
tính đó thuộc về bạn. Quá trình đó là cốt lõi của quá trình xác thực.
Sử dụng mật khẩu vẫn là phương tiện xác thực phổ biến nhất,
nhưng mật khẩu có một số sai sót. Điều đầu tiên và quan trọng nhất
là mật khẩu có thể bị đánh cắp và sử dụng bởi các bên thứ ba một cách
dễ dàng. Trừ khi chủ sở hữu mật khẩu thay đổi nó, những kẻ tấn công
vẫn có thể sử dụng được mật khẩu đó. Mật khẩu cũng dễ bị tấn công vũ
phu, cho phép kẻ tấn công quyết tâm có thể dành đủ thời gian thoải
mái sử dụng chúng để cuối cùng đột nhập vào hệ thống. Điều này đã dẫn đến
việc sử dụng nhiều yếu tố, ngăn chặn mật khẩu bị mất hoặc bị đánh
cắp cho phép dễ dàng xâm phạm tài khoản.
Xác thực đa yếu tố
Một cách để đảm bảo rằng một yếu tố bị xâm phạm như mật khẩu không tạo
ra rủi ro quá mức là sử dụng xác thực đa yếu tố (MFA). Xác thực đa
yếu tố đang trở nên phổ biến rộng rãi
và trên thực tế ngày càng trở thành một lựa chọn mặc định cho các
tổ chức có ý thức bảo mật hơn. Giờ đây, tài khoản và mật khẩu lừa đảo sẽ
không khiến cá nhân hoặc tổ chức có nguy cơ bị vi phạm dữ liệu trong
hầu hết các trường hợp.
Có ba loại yếu tố chính:
Thông tin bạn biết, bao gồm mật khẩu, mã PIN hoặc câu trả lời cho câu
hỏi bảo mật.
Thứ gì đó bạn có như thẻ thông minh, USB hoặc mã thông báo Bluetooth
hoặc đồ vật hoặc vật dụng khác mà bạn sở hữu như khóa bảo mật
Titan được hiển thị trong Hình 8.5.
HÌNH 8.5 Khóa bảo mật USB Titan key

Các giao thức Nhận dạng nhanh trực tuyến (FIDO) do Liên minh FIDO
cung cấp sử dụng các kỹ thuật mã hóa để cung cấp khả năng xác
thực mạnh mẽ. Nếu bạn quan tâm đến việc sử dụng mã thông báo hoặc muốn
biết thêm về cách chúng được triển khai để xác thực an toàn bằng
cặp khóa, bạn có thể đọc thêm tại https://fidoalliance.org/how-fido-
works/.
Bạn là ai, điều này phụ thuộc vào đặc điểm thể chất của người đang xác
thực bản thân. Dấu vân tay, quét võng mạc, giọng nói và thậm chí cả
tốc độ và kiểu gõ của bạn đều được đưa vào dưới dạng tùy chọn cho
loại yếu tố này.
Đề cương bài kiểm tra Bảo mật+ cũng mô tả các thuộc tính:
Bạn đang ở đâu đó, đôi khi được gọi là yếu tố vị trí, dựa trên vị
trí hiện tại của bạn. GPS, vị trí mạng và dữ liệu khác có thể được
sử dụng để đảm bảo rằng chỉ những người dùng ở vị trí mà họ cần mới có
thể xác thực.
Một số việc bạn có thể làm, được sử dụng trong tính năng Mật khẩu hình
ảnh hoặc mật khẩu cử chỉ trên điện thoại Android của Windows 10.
Đây là một loại yếu tố kiến thức đòi hỏi một hình thức tương tác khác.
Điều gì đó bạn thể hiện, có thể là một kiểu hành vi hoặc đặc điểm
tương tự. Đây thường là một dạng của các yếu tố “bạn là ai”,
như tốc độ gõ hoặc các kiểu tương tự.
Một người mà bạn biết, có thể bao gồm các mối quan hệ tin cậy từ những
người khác.
Giống như tất cả các công nghệ bảo mật, chỉ là vấn đề thời gian cho đến khi các
cuộc tấn công mới nhằm vào xác thực đa yếu tố làm tổn hại đến hệ thống của chúng tôi.
Hệ thống MFA. Các cuộc tấn công hiện tại đã tập trung vào các điểm yếu trong
các hệ thống sử dụng tin nhắn văn bản cho yếu tố thứ hai bằng cách sao chép
điện thoại di động hoặc chuyển hướng tin nhắn SMS được gửi qua hệ thống VoIP.
Các cuộc tấn công có mục tiêu có thể đánh cắp và nhanh chóng sử dụng yếu tố thứ
hai bằng cách lây nhiễm vào điện thoại di động và các kỹ thuật tương tự khác sẽ
ngày càng trở nên cần thiết để những kẻ tấn công có thể xâm phạm
tài khoản thành công và do đó sẽ xuất hiện thường xuyên hơn nhiều trong tương lai
gần.
Mật khẩu một lần
Cách triển khai phổ biến của yếu tố thứ hai là sử dụng mật khẩu một lần. Mật khẩu
dùng một lần là một cách quan trọng để chống trộm mật khẩu và các cuộc tấn công
dựa trên mật khẩu khác. Đúng như tên gọi của nó, mật khẩu một lần chỉ có thể
sử dụng được một lần. Kẻ tấn công có thể lấy được mật khẩu một lần nhưng không
thể tiếp tục sử dụng mật khẩu đó và điều đó có nghĩa là các cuộc tấn công vũ
phu sẽ liên tục cố gắng xác định mục tiêu thay đổi liên tục. Mặc dù có khả
năng một cuộc tấn công vũ phu có thể khớp ngẫu nhiên với mật khẩu một lần trong
thời gian nó hợp lệ, nhưng khả năng một cuộc tấn công như vậy thành công là
cực kỳ nhỏ và các biện pháp kiểm soát thông thường ngăn chặn các cuộc tấn công
vũ phu sẽ khiến điều đó xảy ra. loại thành công về cơ bản là không thể.
Có hai mô hình chính để tạo mật khẩu một lần. Đầu tiên là mật khẩu một
lần dựa trên thời gian (TOTP), sử dụng thuật toán để lấy mật khẩu một lần bằng
cách sử dụng thời gian hiện tại như một phần của quy trình tạo mã. Các ứng
dụng xác thực như Google Authenticator sử dụng TOTP, như trong Hình 8.6. Mã này có
hiệu lực trong một khoảng thời gian nhất định và sau đó chuyển sang mã dựa
trên thời gian tiếp theo, nghĩa là ngay cả khi mã bị xâm phạm, mã đó sẽ chỉ có hiệu
lực trong một khoảng thời gian tương đối ngắn.
HÌNH 8.6 Trình xác thực của Google hiển thị việc tạo mã TOTP
Hình 8.6 cho thấy một ví dụ về Google Authenticator, một hệ thống

TOTP dựa trên ứng dụng phổ biến có sẵn miễn phí. Mã có hiệu lực
trong một khoảng thời gian nhất định, được hiển thị bằng hoạt ảnh
của biểu đồ hình tròn ở góc dưới bên phải và trong ứng dụng, chúng
chuyển sang màu đỏ khi sắp hết hạn và được thay thế bằng mã mới.
Mô hình tạo mật khẩu một lần khác là mật khẩu một lần dựa trên
HMAC (HOTP). HMAC là viết tắt của mã xác thực tin nhắn dựa trên hàm
băm. HOTP sử dụng giá trị gốc mà cả ứng dụng tạo mã thông báo hoặc mã
HOTP và máy chủ xác thực đều sử dụng, cũng như hệ số di chuyển. Đối
với mã thông báo HOTP hoạt động khi bạn nhấn nút, yếu tố chuyển động
là bộ đếm, cũng được lưu trữ trên mã thông báo và máy chủ. Trình tạo
mật khẩu HOTP như mã thông báo PayPal được hiển thị trong Hình
8-7 dựa vào một sự kiện chẳng hạn như nhấn nút để khiến chúng
tạo mã. Vì các mã được lặp lại nên chúng có thể được kiểm
tra từ lần sử dụng mã thông báo cuối cùng đã biết, với các lần lặp
lại cho đến khi tìm thấy báo chí hiện tại. Thích TOTP
giải pháp, các ứng dụng xác thực cũng có thể triển khai HOTP và hoạt động giống
như cách triển khai mã thông báo phần cứng.
HÌNH 8.7 Một token PayPal HOTP
Đề cương bài kiểm tra Bảo mật+ gọi các mã thông báo như thế này là “khóa mã thông báo”.
Do đó, nếu bạn thấy mã thông báo hoặc khóa mã thông báo, bạn nên lưu ý rằng
chúng thường có ý nghĩa có thể thay thế cho nhau và hầu hết các tài liệu tham
khảo trong thế giới thực đều có thể gọi chúng là mã thông báo, mã thông báo
phần cứng hoặc mã thông báo bảo mật.
Ngoài mã thông báo ứng dụng và phần cứng, cách triển khai phổ biến thứ ba của
hệ thống mật khẩu một lần là sử dụng mã dựa trên dịch vụ tin nhắn ngắn (SMS) hoặc
tin nhắn văn bản. Trong mô hình này, khi người dùng cố gắng xác thực, một tin nhắn
SMS sẽ được
được gửi đến điện thoại của họ và sau đó họ nhập mã đó làm yếu tố bổ sung
cho quá trình xác thực.
Tấn công mật khẩu dùng một lần
Mật khẩu dùng một lần không tránh khỏi bị tấn công, mặc dù chúng có thể
khiến các cuộc tấn công truyền thống vào các tài khoản dựa vào việc
lấy mật khẩu không thành công. Mật khẩu TOTP có thể bị đánh cắp bằng cách
lừa người dùng cung cấp chúng, giành quyền truy cập vào một thiết
bị như điện thoại nơi chúng được tạo hoặc nói cách khác là có quyền
truy cập gần như theo thời gian thực vào chúng. Điều này có nghĩa là kẻ
tấn công phải sử dụng mật khẩu TOTP bị đánh cắp ngay lập tức. Mật khẩu
một lần được gửi qua SMS có thể được chuyển hướng bằng SIM nhân bản hoặc
nếu điện thoại là một phần của mạng VoIP, bằng cách xâm phạm hệ thống hoặc
tài khoản VoIP và chuyển hướng yếu tố SMS.
Trong trường hợp mã thông báo phần cứng và phần mềm cũng như SMS không phù
hợp, một số tổ chức sẽ triển khai thông báo đẩy dựa trên cuộc gọi điện
thoại. Thông báo đẩy là tin nhắn được gửi tới người dùng để thông báo cho
họ về một sự kiện, trong trường hợp này là nỗ lực xác thực. Nếu người
dùng trả lời cuộc gọi điện thoại với yêu cầu xác thực—thường bằng cách
nhấn một nút cụ thể trên bàn phím—thì quá trình xác thực có thể tiếp tục.
Các cuộc gọi điện thoại gặp phải một số vấn đề do yếu tố xác thực, bao gồm cả
tốc độ thấp hơn, có thể gây ra sự cố với thời gian chờ đăng nhập; khả năng
chiếm đoạt cuộc gọi bằng nhiều phương tiện khác nhau; và chi phí bổ sung cho
tổ chức thực hiện do chi phí gọi điện thoại.
Mặc dù mật khẩu một lần được tạo động khi cần thiết phổ biến hơn nhưng
đôi khi vẫn cần có mật khẩu một lần không yêu cầu thiết bị hoặc kết nối.
Trong những trường hợp đó, mã tĩnh vẫn là một lựa chọn hữu ích. Mã tĩnh cũng
được tạo theo thuật toán giống như các mật khẩu dùng một lần khác nhưng
được tạo trước và thường được in hoặc lưu trữ ở một vị trí an toàn.
Điều này tạo ra một mô hình rủi ro mới, đó là bài báo họ đang
được in trên đó có thể bị đánh cắp hoặc nếu chúng được lưu trữ dưới dạng điện
tử thì tệp chúng được lưu trữ có thể bị mất hoặc bị truy cập. Điều này
tương đương với việc mất mã thông báo kích hoạt khi nhấn nút hoặc điện thoại
thông minh đã mở khóa, vì vậy mã tĩnh có thể nguy hiểm nếu chúng không
được bảo mật đúng cách.
Sinh trắc học
Các yếu tố sinh trắc học là một ví dụ về yếu tố “bạn là ai” và chúng dựa vào
đặc điểm sinh lý riêng của người dùng để xác thực danh tính của họ. Một số công
nghệ sinh trắc học cũng được tính là một trong những yếu tố mà đề cương
bài kiểm tra Bảo mật+ mô tả vì chúng là thứ bạn thể hiện, chẳng hạn như giọng
nói hoặc dáng đi. Một số công nghệ sinh trắc học phổ biến nhất bao gồm:
Dấu vân tay, kiểm tra các kiểu đường vân và rãnh độc đáo trên đầu ngón
tay của bạn bằng máy quét quang học, siêu âm hoặc điện dung. Quét vân
tay đã được triển khai rộng rãi trong cả Windows, sử dụng máy quét dấu
vân tay trên máy tính xách tay cũng như với các thiết bị Android và Apple
sử dụng đầu đọc dấu vân tay.
Quét võng mạc sử dụng các mẫu mạch máu độc đáo trong võng mạc để phân
biệt người dùng.
Hệ thống nhận dạng mống mắt sử dụng nhận dạng mẫu và hình ảnh hồng ngoại
để nhận dạng duy nhất đôi mắt của một cá nhân. Nhận dạng mống
mắt có thể được thực hiện từ xa hơn so với quét võng mạc, khiến nó thích
hợp hơn trong nhiều trường hợp.
Kỹ thuật nhận dạng khuôn mặt khớp các đặc điểm cụ thể với hình ảnh gốc
trong cơ sở dữ liệu. Nhận dạng khuôn mặt được sử dụng rộng rãi trong
Apple iPhone cho FaceID, khiến nó trở thành công nghệ sinh trắc học
được triển khai rộng rãi.
Hệ thống nhận dạng giọng nói dựa vào mẫu, nhịp điệu và âm thanh giọng
nói của người dùng để nhận dạng người dùng.
Nhận dạng tĩnh mạch, đôi khi được gọi là công nghệ so khớp tĩnh mạch
hoặc mạch máu, sử dụng máy quét có thể nhìn thấy hình dạng của tĩnh
mạch, thường ở ngón tay của người dùng. Máy quét tĩnh mạch không cần
chạm vào người dùng, không giống như máy quét dấu vân tay, khiến chúng
ít bị ảnh hưởng bởi những thứ như bụi bẩn hoặc tình trạng da.
Phân tích dáng đi đo lường cách một người bước đi để xác định họ.
Công nghệ sinh trắc học được đánh giá dựa trên bốn biện pháp chính.
Đầu tiên là lỗi Loại I hoặc tỷ lệ từ chối sai (FRR). Lỗi từ chối sai có
nghĩa là một biện pháp sinh trắc học hợp pháp đã được đưa ra và hệ
thống đã từ chối nó. Lỗi loại II hoặc lỗi chấp nhận sai được đo bằng
tỷ lệ chấp nhận sai (FAR).
Những điều này xảy ra khi một yếu tố sinh trắc học được đưa ra và được
chấp nhận khi nó không nên như vậy. Chúng được so sánh bằng cách sử dụng
thước đo gọi là đặc tính vận hành tương đối (ROC). ROC so sánh FRR với FAR
của hệ thống, thường dưới dạng biểu đồ. Đối với hầu hết các hệ thống,
khi bạn giảm khả năng từ chối sai, bạn sẽ tăng tỷ lệ chấp nhận sai và xác
định vị trí nên đặt độ chính xác của hệ thống để giảm thiểu việc chấp
nhận sai và ngăn chặn việc từ chối sai là một yếu tố quan trọng trong cấu hình
sinh trắc học hệ thống.
Vị trí trên biểu đồ này nơi FAR và FRR giao nhau được gọi là tỷ lệ lỗi chéo.
Hình 8-8 cho thấy một ví dụ đơn giản về loại biểu đồ này.
HÌNH 8.8 FAR so với FRR, với CRR được hiển thị
Đánh giá sinh trắc học
Khi bạn đánh giá các hệ thống sinh trắc học, việc biết FAR và FRR của
chúng sẽ giúp bạn xác định tỷ lệ hiệu quả của chúng hoặc mức độ hiệu quả
của chúng trong việc thực hiện chức năng mong muốn. Liên minh FIDO đặt
ngưỡng FRR để chấp nhận chứng nhận các yếu tố sinh trắc học là 3
trên 100 lần thử và 1 trên 10.000 đối với FAR.
Họ cũng bổ sung thêm một số liệu khác mà đề cương kỳ thi Security+
không có: Tỷ lệ đối sánh trình bày cuộc tấn công của kẻ mạo danh (IAPMR),
một thước đo giải quyết câu hỏi về tần suất một cuộc tấn công sẽ thành
công. IAPMR là một biện pháp đầy thách thức vì nó yêu cầu các cuộc
tấn công được thiết kế đặc biệt để tận dụng điểm yếu của bất kỳ hệ
thống sinh trắc học nhất định nào.
Ngoài các biện pháp như thế này, trong thế giới thực, bạn phải đánh giá
mức độ chấp nhận của người dùng đối với hệ thống sinh trắc học.
Máy quét võng mạc không thành công vì hầu hết mọi người không muốn
cúi xuống và nhìn vào máy quét võng mạc. Đồng thời, các thế hệ máy quét
dấu vân tay đầu tiên gặp khó khăn khi quét nhiều dấu vân tay và ngay
cả bây giờ, những người đã bị mòn dấu vân tay do lao động chân tay
hoặc do tiếp xúc với hóa chất hoặc các trường hợp khác cũng không
thể sử dụng nhiều đầu đọc dấu vân tay. Điều đó có nghĩa là hệ thống
sinh trắc học thường phải được triển khai với phương pháp dự phòng có
sẵn cho một số phần trăm người dùng, ngay cả khi họ đồng ý sử dụng hệ
thống.
Do đó, việc triển khai sinh trắc học không phải là một giải pháp dễ
dàng như người ta tưởng. Điều đó không có nghĩa là chúng không hữu ích;
Việc sử dụng rộng rãi FaceID và TouchID của Apple, cũng như việc áp
dụng rộng rãi đầu đọc dấu vân tay của Android, cho thấy rằng yếu tố sinh
trắc học có thể được triển khai thành công cho nhiều người dùng một
cách hợp lý.
Nếu bạn muốn đọc thêm về chủ đề này, Duo có phần giải thích chi tiết và
chi tiết về nhiều công nghệ sinh trắc học
mà bạn có thể kiểm tra tại Duo.com/labs/research/the-good-and-

sinh trắc học xấu.
Xác thực dựa trên kiến thức
Một tùy chọn xác thực khác mà bạn có thể gặp phải là xác
thực dựa trên kiến thức (KBA). KBA thường được sử dụng để đặt lại
mật khẩu dưới dạng câu hỏi bảo mật. Các câu hỏi xác thực dựa trên
kiến thức cũng được sử dụng để xác thực người dùng đang tạo tài
khoản bằng cách tự động tạo ra các câu hỏi mà người yêu cầu tài
khoản có thể biết. Một ví dụ về điều này là hỏi về số tiền khai
thuế của năm trước khi đăng nhập vào trang web của Sở Thuế vụ Hoa
Kỳ (IRS). IRS biết rằng bạn đã biết thông tin này và rất ít
người khác biết. Các ngân hàng và các tổ chức khác sẽ sử dụng các
câu hỏi tương tự với thông tin về số dư thế chấp, địa chỉ trước đó
hoặc các chi tiết khác để giúp xác thực danh tính của bạn.
Trong bất kỳ triển khai KBA nào, điều quan trọng là những người
khác không thể dễ dàng khám phá ra câu trả lời, câu trả lời đó là
duy nhất và câu trả lời đó là điều mà người dùng có thể dễ dàng
ghi nhớ hoặc có thể sẽ biết. Các câu hỏi về mật khẩu ngày càng
tránh xa những câu hỏi cụ thể về con vật cưng hoặc chiếc xe đầu tiên
của bạn, vì thông tin đó có nhiều khả năng được tìm thấy qua mạng xã
hội hoặc các phương pháp khác. Cho phép người dùng đặt câu hỏi
của riêng họ hoặc hỏi về những thông tin khó hiểu hơn là một
lựa chọn an toàn hơn.
Quản lý xác thực
Việc quản lý mật khẩu và dữ liệu xác thực khác có thể gặp
khó khăn, đặc biệt khi bạn đang điều hành một doanh nghiệp lớn
với nhiều thiết bị và tài khoản.
Đối với cá nhân, một tùy chọn cung cấp mức độ bảo mật cao là khóa
mật khẩu (thường được gọi là khóa bảo mật). Đây là những thiết
bị phần cứng hỗ trợ những thứ như mật khẩu một lần, khóa chung
mật mã cho chứng chỉ bảo mật và các giao thức bảo mật khác nhau như FIDO
và Universal 2nd Factor (U2F). Chúng có sẵn ở nhiều dạng thức khác
nhau và có nhiều kiểu kết nối khác nhau; hầu hết đều cung cấp USB và/hoặc
Bluetooth.
Đề cương bài kiểm tra Security+ gọi các khóa bảo mật như YubiKeys,
Titan Keys và các mã thông báo phần cứng hai yếu tố USB
khác là “khóa mật khẩu”. Bạn sẽ cần phải biết cụm từ đó cho kỳ
thi, nhưng nếu bạn đang tìm mua thiết bị, bạn sẽ gặp nhiều may mắn
hơn khi tìm kiếm khóa bảo mật.
Kho mật khẩu (thường được gọi là trình quản lý mật khẩu) là một
giải pháp phổ biến khác để quản lý xác thực. Chúng là các giải
pháp phần mềm lưu trữ, quản lý và bảo mật mật khẩu cũng như các thông
tin khác, cho phép người dùng sử dụng mật khẩu mạnh mà không cần ghi
nhớ hàng chục, thậm chí hàng trăm mật khẩu phức tạp riêng lẻ.
Các ứng dụng quản lý mật khẩu doanh nghiệp được triển khai rộng rãi
trong các tổ chức để giúp quản lý máy chủ, ứng dụng và thiết bị,
đồng thời chúng có các tính năng bổ sung như ghi nhật ký và kiểm
tra cũng như các công cụ quản lý để đảm bảo rằng mật khẩu được luân
chuyển và giám sát đúng cách để sử dụng và lạm dụng.
Máy tính cũng có khả năng có các mô-đun bảo mật tích hợp hoặc bổ sung
như tiêu chuẩn Mô-đun nền tảng đáng tin cậy (TPM) . Các mô-đun hoặc
chip TPM có bộ xử lý mật mã tích hợp dùng để lưu trữ các cặp khóa RSA
được bảo vệ bằng mật khẩu do chủ sở hữu hệ thống đặt. Mô-đun TPM có
thể giúp ngăn chặn các thay đổi trái phép đối với chương trình cơ sở
và phần mềm như một phần của quy trình khởi động an toàn hoặc đáng
tin cậy và chúng được hỗ trợ bởi các hệ điều hành cho phép mã hóa ổ đĩa
và các tính năng bảo mật dựa trên mật mã khác. Mặc dù một số hệ
thống, bao gồm nhiều máy tính xách tay cấp doanh nghiệp, có tích hợp chip TPM,
chúng cũng có thể được thêm vào các hệ thống hỗ trợ chúng dưới dạng mô-đun bổ sung.
Tùy chọn cuối cùng bạn nên biết là sử dụng các mô-đun bảo mật phần cứng
(HSM). HSM, thường được tìm thấy dưới dạng thiết bị vật lý độc lập hoặc thẻ mở
rộng plug-in cho máy tính, tích hợp bộ xử lý mật mã để tạo, lưu trữ và quản lý
khóa mã hóa một cách an toàn; cung cấp dịch vụ mã hóa và giải mã; và thực hiện xử
lý mật mã khác một cách an toàn. Các nhà cung cấp đám mây hiện cung cấp HSM dưới
dạng dịch vụ, cho phép thêm HSM vào cơ sở hạ tầng đám mây một cách an toàn.
Một phần quan trọng trong thiết kế HSM là tính bảo mật của chính thiết bị và HSM
thường có chứng nhận bảo mật của bên thứ ba để chứng minh rằng chúng đã được đánh
giá và xác thực để đáp ứng các tiêu chuẩn như FIPS-140, tiêu chuẩn bảo mật mật mã
của chính phủ Hoa Kỳ.
Tài khoản
Yêu cầu danh tính và được phép truy cập hệ thống hoặc dịch vụ cần có tài khoản.
Tài khoản chứa thông tin về người dùng, bao gồm những thông tin như quyền và quyền
được liên kết với tài khoản.
Loại tài khoản

Có nhiều loại tài khoản và hầu hết chúng đều có thể được mô tả là một trong
số ít loại tài khoản cơ bản:
Tài khoản người dùng, có thể chạy nhiều loại từ quyền truy cập cơ bản vào
hệ thống, thiết bị hoặc ứng dụng cho đến cấp quyền cho người dùng với các
quyền và đặc quyền rộng rãi.
Các tài khoản đặc quyền hoặc quản trị, như tài khoản root hoặc thành viên của
nhóm bánh xe trên hệ thống Linux và Unix và tài khoản Quản trị viên mặc định
của Windows.
Các tài khoản hoặc thông tin xác thực được chia sẻ và chung, thường bị cấm
bởi các chính sách bảo mật. Mặc dù tài khoản dùng chung có thể hữu ích nhưng
nhiều tổ chức xây dựng khả năng ủy quyền để cho phép nhiều người dùng hành động
theo cùng một cách hoặc có cùng quyền nhằm tránh các vấn đề về tài khoản dùng
chung, chẳng hạn như không thể xác định ai đã đăng nhập vào tài khoản dùng
chung hoặc mỗi người dùng thực hiện hành động gì người chia sẻ tài khoản đã
lấy.
Tài khoản khách được cung cấp cho người dùng tạm thời và thường có các đặc
quyền rất hạn chế nhưng cũng có thể có ít thông tin hơn về người dùng sử dụng
chúng, nếu có.
Tài khoản dịch vụ được liên kết với các ứng dụng và dịch vụ.
Không nên sử dụng tài khoản dịch vụ để đăng nhập tương tác và nhiều tổ chức có
chính sách bảo mật cụ thể để đảm bảo bảo mật tài khoản dịch vụ.
Chính sách và kiểm soát tài khoản
Chính sách tài khoản được thiết lập để cung cấp các biện pháp kiểm soát về cách
thức và thời điểm tài khoản có thể được sử dụng, để kiểm soát độ phức tạp của mật khẩu,
tuổi thọ và các chi tiết khác. Hãy cùng khám phá một số cài đặt chính sách tài khoản
phổ biến mà bạn cần chuẩn bị triển khai như một phần của Security+
bài thi.
Độ phức tạp của mật khẩu xác định cấu trúc của mật khẩu. Trước khi triển khai rộng rãi
các công nghệ MFA, độ phức tạp của mật khẩu là một trong những biện pháp kiểm soát
được triển khai phổ biến nhất nhằm cố gắng ngăn chặn tình trạng mật khẩu dễ bị
ép buộc một cách thô bạo. Cài đặt độ phức tạp của mật khẩu sẽ đặt những ký
tự nào có thể và không thể được sử dụng cho mật khẩu, độ dài của mật khẩu, liệu
nó có thể chứa các từ hay không hoặc nếu có những từ cụ thể mà mật khẩu không thể chứa
và mọi cài đặt liên quan xác định mức độ phức tạp của mật khẩu. Sự đánh đổi với độ phức
tạp của mật khẩu là việc yêu cầu độ phức tạp cao hơn có thể khiến người dùng ít
nhớ được mật khẩu của mình hơn và có thể dành thêm thời gian cũng như tiền bạc cho
việc hỗ trợ đặt lại mật khẩu. Sự phức tạp cũng có thể khiến người dùng ghi lại mật khẩu
của họ,
có thể ở một vị trí không an toàn hoặc sử dụng lại các mật khẩu phức tạp để
không phải nhớ nhiều.
Tuổi thọ của mật khẩu cũng được sử dụng phổ biến, mặc dù việc sử dụng MFA ngày
càng tăng đã khiến nhiều tổ chức ngừng yêu cầu thay đổi mật khẩu thường
xuyên. Khi mật khẩu là biện pháp bảo vệ duy nhất cho tài khoản, tuổi thọ của
mật khẩu được coi là một cách để hạn chế khoảng thời gian tối đa mà
mật khẩu có thể bị lộ nếu bị xâm phạm. Điều này dẫn đến nhiều thử nghiệm
khác nhau về tuổi thọ so với hành vi của người dùng, với nhiều nghiên cứu lưu
ý rằng bạn càng yêu cầu thay đổi thường xuyên thì mật khẩu càng có nhiều khả năng
bắt đầu chỉ là mật khẩu cũ với một thay đổi nhỏ. Cài đặt lịch sử mật khẩu được
sử dụng để ngăn chặn việc sử dụng lại mật khẩu. Lịch sử mật khẩu cơ bản theo
dõi các mật khẩu trong quá khứ cho một số lần lặp nhất định do quản trị
viên đặt. Các hệ thống lịch sử mật khẩu nâng cao hơn có thể nhận ra
liệu mật khẩu có quá giống với các mục nhập trước đó hay không để đảm bảo rằng
những mật khẩu có thay đổi nhỏ sẽ không được sử dụng.
Cuộc chiến về mật khẩu
Xung đột liên tục giữa hành vi của người dùng và kiểm soát mật khẩu
dẫn đến các cài đặt bổ sung kiểm soát tần suất người dùng có thể thay đổi
mật khẩu của họ. Các cài đặt này được áp dụng sau khi người dùng nhận ra
rằng họ có thể chỉ cần đặt lại mật khẩu của mình nhiều lần cho đến
khi lịch sử đầy và sau đó quay lại mật khẩu cũ của họ. Điều khiển càng
kém thân thiện với người dùng thì càng có nhiều người dùng tìm ra
cách để vượt qua nó, khiến nhiều điều khiển bằng mật khẩu này trở
nên kém hữu ích hơn so với lúc đầu chúng có thể xuất hiện. Trong cách sử
dụng hiện đại, MFA có xu hướng trở thành giải pháp tốt nhất khi được triển
khai tốt.
Ngoài các biện pháp kiểm soát liên quan đến mật khẩu, các biện pháp kiểm soát
tài khoản có thể tận dụng các thông tin khác từ quá trình đăng nhập.
Các biện pháp kiểm soát chung bao gồm:
Thời gian trong ngày có thể ngăn nhân viên truy cập hệ thống sau
ca làm việc của họ, có khả năng làm giảm cơ hội cho kẻ tấn công sử
dụng tài khoản khi chủ tài khoản không thông báo hoặc khiến người
trong nội bộ lạm dụng đặc quyền của họ. Đăng nhập theo thời
gian phổ biến hơn đối với những người làm việc theo ca hoặc theo giờ.
Vị trí mạng của hệ thống đang được xác thực. Điều này có thể giúp
ngăn dữ liệu bị truy cập từ sai mạng hoặc có thể giúp duy trì
ranh giới tin cậy bằng cách đảm bảo hệ thống chỉ xác thực từ
bên trong mạng được bảo vệ.
Dữ liệu vị trí địa lý có thể được sử dụng để chỉ cho phép đăng nhập từ khu
vực được rào chắn địa lý, vị trí hoặc các vị trí được điều khiển bằng dữ liệu GPS
được xác định trước. Gắn thẻ địa lý đôi khi cũng được sử dụng với tính năng này
để gắn thẻ dữ liệu hoặc hệ thống cụ thể với các vị trí mà chúng có thể được sử dụng.
Thông tin địa lý cũng được sử dụng để xác định xem có xảy
ra sự cố không thể di chuyển về thời gian khi người dùng đăng
nhập từ địa điểm này đến địa điểm khác với khoảng cách đủ giữa hai
địa điểm để đảm bảo rằng người dùng không thể di chuyển đến địa
điểm mới trong thời gian nhất định hay không. Các kỹ thuật như
thế này có thể xác định các lần đăng nhập rủi ro và rất có thể
được triển khai bằng công cụ quản lý sự kiện và thông tin bảo
mật (SIEM) hoặc công cụ tương tự có thể điều chỉnh dữ liệu
từ nhiều hệ thống.
Mặc dù kiểm soát mật khẩu, cài đặt vị trí địa lý và vị trí mạng
cũng như kiểm soát thời gian trong ngày đều giúp đảm bảo rằng người
dùng đăng nhập theo cách an toàn, kiểm tra tài khoản giúp đảm bảo
rằng tài khoản được quản lý tốt, tài khoản đó có quyền tài khoản phù
hợp, và có các biện pháp kiểm soát thích hợp. Kiểm tra tài khoản,
có thể là thủ công hoặc tự động, tập trung vào việc đảm bảo rằng các
tài khoản được định cấu hình như mong đợi với các quyền và quyền phù
hợp dựa trên vai trò của người dùng hoặc các quy tắc và tiêu chuẩn
của tổ chức đối với loại tài khoản hoặc người dùng đó.
Cuối cùng, khi tài khoản gặp sự cố, tài khoản có thể bị khóa hoặc vô hiệu hóa.
Việc khóa tài khoản thường được tự động hóa và dựa trên những lần đăng nhập
không chính xác. Việc khóa có thể yêu cầu sự can thiệp của con người
hoặc có thể tự động mở khóa sau một khoảng thời gian.
Các khóa mở khóa sau một khoảng thời gian nhất định được gọi là thuật
toán dự phòng và có nhiều thiết kế thuật toán dự phòng khác nhau nhằm mục
đích làm chậm hoặc ngăn chặn những kẻ tấn công vũ phu trong khi vẫn cho
phép người dùng hợp pháp có cơ hội đăng nhập vào tài khoản của họ mà không cần
gọi hỗ trợ. .
Trong trường hợp tài khoản cần phải chấm dứt do thỏa hiệp hoặc thay đổi vòng
đời như chấm dứt hoặc ngừng hoạt động hoặc nếu các vấn đề khác xảy ra, việc vô
hiệu hóa tài khoản là một lựa chọn quan trọng. Các tài khoản bị vô hiệu hóa,
thay vì các tài khoản bị xóa, có thể là một nguyên nhân gây lo ngại vì chúng
vẫn có thể có các đặc quyền mà kẻ tấn công có thể sử dụng nếu tài khoản
được khôi phục có chủ ý hoặc do vô tình. Do đó, việc kiểm tra tài khoản
thường xem xét các tài khoản bị vô hiệu hóa để xem liệu chúng có được quản
lý tốt hay không và liệu tổ chức có thói quen kích hoạt lại chúng hay
xác thực lý do tại sao chúng được kích hoạt lại hay không.
Quản lý quyền truy cập đặc quyền
Các công cụ quản lý quyền truy cập đặc quyền (PAM) có thể được sử dụng để xử
lý các tài khoản quản trị và tài khoản đặc quyền mà bạn đã đọc trước đó trong
phần này. Các công cụ PAM tập trung vào việc đảm bảo duy trì khái niệm về đặc
quyền tối thiểu bằng cách giúp quản trị viên chỉ định nhóm đặc quyền tối
thiểu cần thiết cho một vai trò hoặc nhiệm vụ. Các công cụ PAM thường cung
cấp các điều khiển chi tiết hơn, chi tiết hơn; tăng cường khả năng kiểm
toán; và khả năng hiển thị và báo cáo bổ sung về trạng thái của các tài khoản
đặc quyền.
Đề án kiểm soát truy cập
Tài khoản người dùng và kiểm soát tài khoản rất quan trọng nhưng hệ thống cũng
triển khai các sơ đồ kiểm soát truy cập để xác định người dùng, dịch vụ
và chương trình nào có thể truy cập các tệp khác nhau hoặc các đối tượng khác
họ chủ trì. Bài kiểm tra Bảo mật+ đề cập đến một số sơ đồ kiểm soát truy
cập phổ biến mà chúng ta sẽ xem xét tiếp theo.
Kiểm soát truy cập dựa trên thuộc tính (ABAC) dựa trên các chính sách
được điều khiển bởi thuộc tính của người dùng. Điều này cho phép các bộ
quy tắc phức tạp dựa trên sự kết hợp của các thuộc tính cung cấp cho người
dùng các quyền cụ thể phù hợp với thuộc tính mà họ có. Vì các thuộc tính
có thể được đặt trong các ngữ cảnh cụ thể, điều này cũng có nghĩa là các
sơ đồ ABAC có thể rất linh hoạt. Nhược điểm của chính sách ABAC là chúng
cũng có thể phức tạp để quản lý tốt do tính linh hoạt của chúng.
Các sơ đồ kiểm soát truy cập dựa trên thuộc tính rất hữu ích cho bảo mật
ứng dụng, trong đó chúng thường được sử dụng cho các hệ thống doanh nghiệp
có vai trò và quyền người dùng phức tạp khác nhau tùy thuộc vào cách thức
và vai trò mà người dùng tương tác với hệ thống. Chúng cũng được sử
dụng với cơ sở dữ liệu và hệ thống quản lý nội dung, vi dịch vụ và API
vì những lý do tương tự.
Hệ thống kiểm soát truy cập dựa trên vai trò (RBAC) dựa vào các vai trò
sau đó được khớp với các đặc quyền được gán cho các vai trò đó. Điều này
làm cho RBAC trở thành một lựa chọn phổ biến cho các doanh nghiệp có
thể nhanh chóng phân loại nhân viên với các vai trò như “thủ quỹ”
hoặc “quản trị viên cơ sở dữ liệu” và cung cấp cho người dùng quyền
truy cập thích hợp vào hệ thống và dữ liệu dựa trên các vai trò đó. Các hệ
thống RBAC có ba quy tắc chính:
Phân công vai trò, trong đó nêu rõ rằng các chủ thể chỉ có thể
sử dụng các quyền phù hợp với vai trò mà họ đã được chỉ định.
Ủy quyền vai trò, trong đó nêu rõ rằng vai trò tích cực của chủ thể
phải được ủy quyền cho chủ thể. Điều này ngăn cản đối tượng đảm nhận
những vai trò mà lẽ ra họ không thể đảm nhận.
Ủy quyền cấp phép, trong đó nêu rõ rằng các chủ thể chỉ có thể sử
dụng các quyền mà vai trò tích cực của họ được phép sử dụng.
Cùng với nhau, ba quy tắc này mô tả cách áp dụng các quyền trong hệ thống
RBAC. Với ba quy tắc này, hệ thống phân cấp vai trò có thể được
được xây dựng để cho phép cấp các quyền cụ thể ở cấp độ phù hợp dựa trên
vai trò trong bất kỳ môi trường cụ thể nào.
Một chi tiết quan trọng đối với hệ thống RBAC là nhiều hệ thống hỗ trợ
nhiều vai trò cho các chủ thể. Điều đó có nghĩa là bạn có thể có vai trò
tích cực cũng như các vai trò khác mà bạn có thể sử dụng. Một ví dụ
quen thuộc về điều này có thể là khả năng sử dụng lệnh sudo trên hệ thống
Linux. Người dùng có vai trò là chính họ (vai trò người dùng) và họ cũng
có thể đảm nhận vai trò siêu người dùng (root). Khi vai trò root hoặc
superuser đang hoạt động, họ có thể thực hiện các hành động mà root được
phép thực hiện. Khi không, họ không thể thực hiện những hành động đó
hoặc truy cập các đối tượng bị hạn chế quyền truy cập bởi vai trò gốc.
Kiểm soát truy cập dựa trên quy tắc, đôi khi còn được gọi là RBAC (và
đôi khi RuBAC để giúp phân biệt với kiểm soát truy cập dựa trên vai trò) được
áp dụng bằng cách sử dụng một bộ quy tắc hoặc danh sách kiểm soát truy cập (ACL),
áp dụng cho các đối tượng hoặc tài nguyên khác nhau. Khi cố gắng truy cập một
đối tượng, quy tắc sẽ được kiểm tra để xem liệu quyền truy cập có được
phép hay không. Một ví dụ phổ biến về kiểm soát truy cập dựa trên quy tắc
là bộ quy tắc tường lửa.
Hệ thống kiểm soát truy cập bắt buộc (MAC) dựa vào hệ điều hành để thực thi
quyền kiểm soát do quản trị viên chính sách bảo mật thiết lập.
Khi triển khai MAC, người dùng không có khả năng cấp quyền truy cập vào tệp
hoặc thay đổi các chính sách bảo mật được đặt tập trung. Việc triển khai MAC
trước đây chỉ được tìm thấy trong các hệ thống của chính phủ và quân
đội, nhưng giờ đây chúng có thể được tìm thấy trong các hệ thống bảo mật cao
cụ thể như SELinux và trong Windows dưới dạng Kiểm soát tính toàn vẹn bắt
buộc (MIC). Việc triển khai MAC nhìn chung vẫn còn tương đối hiếm so với kiểm
soát truy cập tùy ý.
Kiểm soát truy cập tùy ý (DAC) là một sơ đồ kiểm soát truy cập mà nhiều người đã
quen sử dụng từ PC tại nhà của họ. nhất
loại kiểm soát truy cập tùy ý phổ biến chỉ định chủ sở hữu cho các đối tượng
như tệp và thư mục, sau đó cho phép chủ sở hữu ủy quyền và quyền đối với các
đối tượng đó theo ý muốn.
Quyền truy cập tệp Linux cung cấp một ví dụ dễ hiểu về điều này. Chủ sở hữu của
tệp (hoặc thư mục) có thể đặt các quyền áp dụng cho chủ sở hữu, nhóm hoặc thế
giới và họ có thể chọn cho phép đọc, sửa đổi hoặc thực thi tệp.
Ngoài các sơ đồ kiểm soát truy cập, đề cương bài kiểm tra Security+ còn đề cập
đến hai cách triển khai cụ thể của hệ thống kiểm soát truy cập mà bạn cần làm quen:
Quản lý quyền truy cập đặc quyền là tập hợp các điều khiển, công cụ và quy
trình được sử dụng để xử lý các đặc quyền cho các tài khoản và quyền nâng
cao. Các tài khoản như quản trị viên, tài khoản root hoặc tài khoản cấp cao
tương tự cần được quản lý và bảo mật. Việc quản lý các tài khoản
quản trị và đặc quyền thường bắt đầu bằng việc đảm bảo thực thi đặc
quyền tối thiểu để cung cấp cho người dùng và tài khoản những quyền mà họ
cần để thực hiện công việc của mình.
Các giải pháp PAM có thể được triển khai để quản lý và kiểm soát các tài
khoản này như một phần của chiến lược giảm thiểu rủi ro.
Truy cập có điều kiện mô tả quá trình kiểm tra trạng thái bảo mật của thiết
bị và người dùng trước khi cho phép truy cập vào dữ liệu, mạng hoặc
các tài nguyên khác. Microsoft đã triển khai các biện pháp kiểm soát
truy cập có điều kiện thông qua Active Directory và Intune, nhưng các sơ đồ
kiểm soát khác cũng phù hợp với mô tả này. Ưu điểm của quyền truy cập có
điều kiện là nó không chỉ đơn giản là tìm kiếm các quyền để cung
cấp quyền kiểm soát truy cập. Thay vào đó, bạn cần có cả quyền hoặc
quyền truy cập vào một đối tượng và hệ thống hoặc thiết bị đủ an toàn hoặc
đáng tin cậy để truy cập vào đối tượng đó.
Quyền của hệ thống tệp Loại kiểm
soát truy cập cuối cùng mà bạn cần biết trong phần này của kỳ thi Security+ là
kiểm soát hệ thống tệp. Hệ thống tập tin
các điều khiển xác định tài khoản, người dùng, nhóm hoặc dịch vụ
nào có thể thực hiện các hành động như đọc, ghi và thực thi (chạy) tệp.
Mỗi hệ điều hành có một bộ quyền và khả năng kiểm soát hệ thống
tệp riêng và bạn nên đảm bảo rằng mình quen thuộc với cả quyền
Linux và Windows cho bài kiểm tra.
Các quyền của hệ thống tệp Linux được hiển thị trong danh sách
tệp có các chữ cái drwxrwxrwx, cho biết tệp có phải là một thư mục
hay không, sau đó hiển thị các quyền của người dùng, nhóm
và thế giới (đôi khi được gọi là quyền khác). Hình 8.9 cho thấy
cách hiển thị này và một biểu đồ mô tả biểu diễn số của các cài
đặt này thường được sử dụng để viết tắt khi sử dụng lệnh
chmod Linux được sử dụng để thay đổi quyền.
HÌNH 8.9 Quyền truy cập tệp Linux/Unix
Nếu bạn không quen với các quyền của Linux và lệnh chmod ,
bạn nên dành chút thời gian để làm quen với cả hai. Bạn nên
biết cách đặt và đọc các quyền bằng cách sử dụng cả cách biểu
diễn ký tự và số; thứ tự quyền của người dùng, nhóm và thế giới;
và những quyền đó có ý nghĩa gì đối với một người dùng nhất định
dựa trên quyền của tài khoản và tư cách thành viên
nhóm của họ.
Quyền của tệp Windows có thể được đặt bằng dòng lệnh hoặc GUI. Hình 8.10 hiển
thị các thuộc tính của một tệp bằng GUI. Lưu ý rằng các quyền tương tự nhưng
không hoàn toàn giống với các quyền được đặt trong Linux. Windows cung cấp
toàn quyền kiểm soát (như rwx hoặc 7 trong Linux).
HÌNH 8.10 Quyền của file Windows
Quyền sửa đổi cho phép xem cũng như thay đổi tập tin hoặc thư mục. Đọc và
thực thi không cho phép sửa đổi hoặc thay đổi nhưng cho phép chạy các tệp
trong khi đọc và ghi hoạt động như bạn mong đợi.
Các quyền của hệ thống tệp là một lớp kiểm soát quan trọng đối với hệ thống
và các quyền được đặt không đúng cách hoặc không an toàn thường bị kẻ tấn
công lợi dụng để lấy dữ liệu và chạy các ứng dụng mà lẽ ra chúng không
thể thực hiện được. Trên thực tế, các cuộc tấn công mà chúng tôi khám
phá trong các chương khác như tấn công truyền tải thư mục trên máy chủ web
dựa vào quyền hệ thống tệp yếu để cho phép kẻ tấn công truy cập các tệp
bên ngoài những tệp có sẵn cho máy chủ web trên một hệ thống được bảo mật hợp lý.
Bản tóm tắt

Danh tính là một yếu tố quan trọng trong bảo mật tổ chức. Xác thực là quá
trình chứng minh yêu cầu của bạn đối với danh tính bằng cách cung cấp một
hoặc nhiều yếu tố bao gồm những gì bạn biết, những gì bạn có, hoặc những
gì bạn là. Ủy quyền cung cấp cho người dùng được xác thực các đặc quyền và
quyền mà họ cần để hoàn thành vai trò của mình. Tài khoản người dùng bao
gồm từ khách và người dùng bình thường đến tài khoản dịch vụ và tài khoản
quản trị đặc quyền. Chính sách tài khoản định hình chi tiết và yêu cầu cho
từng tài khoản, bao gồm cả thời điểm tài khoản sẽ bị khóa hoặc vô hiệu hóa.
Có rất nhiều phương pháp và công nghệ xác thực được triển khai khắp các tổ
chức. Các công nghệ tại chỗ bao gồm TACACs+, Kerberos, EAP, CHAP, 802.1x
cũng như các công nghệ ủy quyền và xác thực đám mây phổ biến như
OAuth, OpenID và SAML. Đăng nhập một lần cho phép người dùng đăng nhập một
lần và sử dụng danh tính của họ trên nhiều hệ thống, trong khi liên đoàn sử
dụng nhà cung cấp danh tính để xác thực người dùng, những người sau đó
có thể sử dụng những danh tính đó tại các nhà cung cấp dịch vụ khác nhau
và các địa điểm bên liên quan mà không cần phải có danh tính riêng biệt ở
đó. Các hệ thống xác thực, ủy quyền và kế toán (AAA) như RADIUS được sử
dụng khi cần cân nhắc về tài nguyên vì chúng theo dõi việc sử dụng cũng như
xác thực và ủy quyền của người dùng.
Xác thực đa yếu tố đã giúp hạn chế các vấn đề với mật khẩu như đánh cắp
mật khẩu, sử dụng lại và tấn công vũ phu.
Xác thực sinh trắc học, sử dụng các đặc điểm vật lý như dấu vân tay, dấu
võng mạc hoặc nhận dạng khuôn mặt, đã trở nên phổ biến, nhưng việc
biết tần suất chúng sẽ cho phép sai người hoặc từ chối người dùng hợp pháp
là rất quan trọng.
Các công cụ quản lý xác thực như kho mật khẩu (hoặc két an toàn), khóa bảo
mật và khóa mật khẩu cũng như các thiết bị phần cứng chuyên dụng như Mô-
đun nền tảng đáng tin cậy (TPM) và mô-đun bảo mật phần cứng (HSM)
cung cấp khả năng xử lý và lưu trữ mật mã để giữ an toàn cho hệ thống.
Các sơ đồ kiểm soát truy cập như kiểm soát truy cập dựa trên thuộc
tính, kiểm soát truy cập tùy ý, kiểm soát truy cập bắt buộc và kiểm soát
truy cập dựa trên vai trò đều cung cấp các cách để xác định chủ thể nào có
thể thực hiện hành động trên đối tượng. Quản lý quyền truy cập đặc quyền
đảm bảo rằng người dùng quản trị được quản lý tốt, trong khi hệ thống
truy cập có điều kiện đảm bảo rằng người dùng đang kết nối từ hệ thống an
toàn khi họ sử dụng đặc quyền của mình.
Kiến thức cơ bản về kỳ thi
Danh tính là nền tảng của xác thực và ủy quyền. Người dùng yêu cầu
danh tính thông qua quá trình xác thực. Ngoài tên người dùng,
danh tính thường được xác nhận thông qua việc sử dụng chứng chỉ, mã
thông báo, khóa SSH hoặc thẻ thông minh, mỗi loại đều cung cấp các khả năng
hoặc tính năng bổ sung có thể trợ giúp về bảo mật hoặc các chức năng hữu ích
khác. Danh tính sử dụng các thuộc tính để mô tả người dùng, với nhiều thuộc
tính khác nhau như công việc, chức danh hoặc thậm chí các đặc điểm cá nhân
được lưu trữ như một phần danh tính của người dùng đó.
Công nghệ xác thực được sử dụng để bảo mật hệ thống và dịch vụ. Một loạt các
công nghệ xác thực đang được sử dụng phổ biến hiện nay. Giao thức xác
thực mở rộng (EAP) được thiết kế để có thể sửa đổi đúng như tên gọi của nó,
nghĩa là việc triển khai EAP được sử dụng trong nhiều môi trường.
Kerberos, CHAP, TACACS+ và 802.1x đều là các giao thức xác thực mà bạn có
thể gặp phải; PAP không còn được triển khai rộng rãi nữa. SAML, OAuth và
OpenID rất quan trọng đối với các trang web và hoạt động tương tác để xác
thực và ủy quyền cho các nhà cung cấp và dịch vụ đám mây và Internet.
Các loại tài khoản và chính sách tài khoản xác định những gì người dùng có
thể làm. Các loại tài khoản người dùng bao gồm người dùng,
khách, tài khoản quản trị (đặc quyền) và tài khoản dịch vụ. Tài khoản được
kiểm soát bằng các chính sách tài khoản xác định độ phức tạp, lịch sử
và việc sử dụng lại mật khẩu cũng như liệu tài khoản có thể được sử dụng vào
những thời điểm cụ thể, từ các vị trí cụ thể hay không hoặc liệu
có các yêu cầu khác đối với tài khoản hay không. Các tài khoản cũng có
thể được bảo mật bằng cách vô hiệu hóa chúng khi không còn cần thiết hoặc
nếu chúng có thể không an toàn hoặc bằng cách khóa chúng nếu xác thực
không giúp ngăn chặn các cuộc tấn công vũ phu.
Nhiều phương pháp và công nghệ xác thực khác nhau được sử dụng để đảm
bảo rằng người dùng có thể xác nhận danh tính. Mật khẩu một lần có thể
sử dụng thuật toán dựa trên các sự kiện lặp lại thông qua HOTP hoặc dựa
trên thời gian trong TOTP, cả hai thuật toán này đều có thể được gửi qua
mã thông báo phần cứng hoặc ứng dụng phần mềm. Mật khẩu dùng một lần cũng
thường xuyên được cung cấp bởi tin nhắn SMS. Sinh trắc học,
yếu tố “bạn là ai”, ngày càng phổ biến trong các thiết bị di động và
các hệ thống khác, nơi dấu vân tay và nhận dạng khuôn mặt đã được áp dụng
rộng rãi. Là một chuyên gia bảo mật, bạn cần nhận thức được phạm vi rộng
các yếu tố xác thực, lý do bạn có thể chọn hoặc tránh từng yếu tố trong
một trường hợp nhất định và tại sao xác thực đa yếu tố lại là
biện pháp kiểm soát bảo mật quan trọng trong nhiều môi trường.
Các sơ đồ kiểm soát quyền truy cập xác định các tài khoản có quyền gì.
Các sơ đồ kiểm soát truy cập quan trọng bao gồm kiểm soát truy cập dựa
trên thuộc tính (ABAC), sử dụng các thuộc tính của người dùng để xác định
quyền truy cập mà người dùng sẽ nhận được. Kiểm soát truy cập dựa trên
vai trò (RBAC) đưa ra quyết định dựa trên vai trò, trong khi kiểm soát
truy cập dựa trên quy tắc (đôi khi còn được gọi là RBAC) sử dụng
các quy tắc để kiểm soát quyền truy cập. Ngoài việc biết các sơ đồ kiểm
soát truy cập này, hãy làm quen với kiểm soát truy cập bắt buộc
(MAC), dựa vào quản trị viên hệ thống để kiểm soát quyền truy cập và
kiểm soát truy cập tùy ý (DAC), cho phép người dùng đưa ra quyết định
về quyền truy cập vào các tệp và thư mục mà họ có quyền. Quyền truy
cập có điều kiện kiểm soát thiết bị nào có thể truy cập vào môi trường,
thường dựa trên trạng thái bảo mật hoặc các yêu cầu khác của chúng.
PAM (quản lý quyền truy cập đặc quyền) tập trung vào việc kiểm soát các tài khoản quản tr
Cuối cùng, thí sinh cũng cần biết cách sử dụng và áp dụng các quyền phổ
biến đối với hệ thống tệp.
Câu hỏi ôn tập
1. Angela đã chọn liên kết với các tổ chức khác để cho phép sử dụng các
dịch vụ mà mỗi tổ chức cung cấp. Tổ chức của Angela đóng vai trò gì
khi họ xác thực người dùng của mình
và khẳng định rằng những người dùng đó có giá trị đối với các thành viên khác
của liên đoàn?
A. Nhà cung cấp dịch
vụ B. Bên tin cậy
C. Nhà cung cấp xác thực D.
Nhà cung cấp danh tính
2. Công nghệ nào sau đây là phương tiện kém hiệu quả nhất để ngăn chặn
tài khoản dùng chung?
A. Yêu cầu về độ phức tạp của mật khẩu B.
Yêu cầu xác thực sinh trắc học C. Yêu cầu
mật khẩu một lần thông qua mã thông báo D. Yêu
cầu mật khẩu một lần thông qua ứng dụng
3. Có thể có sự khác biệt lớn nào giữa dịch vụ nhận dạng tại chỗ và
dịch vụ được sử dụng trong môi trường lưu trữ trên đám
mây?
A. Kiểm soát chính sách tài khoản sẽ được đặt thành của nhà cung cấp đám mây
tiêu chuẩn.
B. Dịch vụ đám mây sẽ cung cấp dịch vụ quản lý tài khoản

và danh tính.
C. Xác thực đa yếu tố sẽ không được hỗ trợ bởi

nhà cung cấp đám mây.
D. Không có điều nào ở trên.
4. Elaine muốn triển khai hệ thống AAA. Cô ấy có thể triển khai

hệ thống AAA nào sau đây?
A. BÁN KÍNH
B. SAML
C. OAuth
D. LDAP
5. Loại xác thực đa yếu tố nào được coi là ít nhất

chắc chắn?
A. HOTP
B. SMS
C. TOTP
D. Sinh trắc học
6. Samantha muốn thiết lập chính sách tài khoản để đảm bảo rằng
thiết bị chỉ có thể được sử dụng khi người dùng đang ở trong cơ sở
chính của tổ chức. Cô ấy nên đặt loại chính sách tài khoản nào?
A. Thời gian trong ngày
B. Định vị địa lý C.
Đăng nhập dựa trên thời gian D.
Thời gian di chuyển không thể thực hiện được
7. Michelle kích hoạt tính năng mật khẩu hình ảnh của Windows 10 để kiểm soát
thông tin đăng nhập vào máy tính xách tay của cô ấy. Nó sẽ cung cấp loại
thuộc tính nào?
A. Bạn ở đâu đó B. Bạn
có thể làm điều gì đó C.
Điều gì đó bạn thể hiện D.
Ai đó bạn biết
8. HSM dùng để làm gì?
A. Để thu thập dữ liệu đăng ký sinh trắc
học B. Để tạo, quản lý và lưu trữ an toàn các khóa mật mã C. Để
tạo mật khẩu một lần thông qua mã dựa trên thời gian
thuật toán
D. Để cho phép liên kết giữa các tổ chức

9. Theresa muốn triển khai một kế hoạch kiểm soát truy cập đặt quyền
dựa trên những gì công việc của cá nhân yêu cầu. Phương án nào sau
đây phù hợp nhất với kiểu triển khai này?
A. ABAC
B.ĐẮC
C. RBAC
D.MAC
10. Công nghệ sinh trắc học nào sau đây được triển khai rộng rãi nhất
do dễ sử dụng và được người dùng cuối chấp nhận?
A. Nhận dạng giọng nói B.
Nhận dạng dáng đi
C. Máy quét võng mạc
D. Máy quét dấu vân tay
11. Charles đã triển khai LDAP cho tổ chức của mình. Anh ấy đã kích
hoạt loại dịch vụ nào?
A. Một liên đoàn
B. Dịch vụ thư mục
C. Dịch vụ chứng thực
D. Nhà cung cấp nhận dạng sinh trắc học
12. Mã PIN là ví dụ về loại yếu tố nào?
A. Điều gì đó bạn biết B.
Điều gì đó về bạn C.
Điều gì đó bạn có D.
Điều gì đó bạn đặt ra
13. Melissa đang lên kế hoạch triển khai xác thực sinh trắc học trên
mạng của mình. Điều nào sau đây nên là mục tiêu cho bất kỳ
giải pháp sinh trắc học cô ấy chọn?
A. FRR cao, FAR thấp B.
FAR cao, FRR thấp
C. CER thấp
D. CER cao
14. Chính sách khóa tài khoản giúp ích cho loại tấn công nào
ngăn chặn?
A. Mật khẩu bị đánh cắp
B. Điều kiện cuộc đua
C. Tràn bộ đệm
D. Bạo lực
15. Độ phức tạp của mật khẩu, lịch sử mật khẩu và việc sử dụng lại mật khẩu là
tất cả các ví dụ về những gì?
A. Kiểm toán tài khoản
B. Chính sách tài khoản
C. Chính sách truy cập
D. Thuộc tính thông tin xác thực
16. Scott muốn cho phép người dùng mang thông tin xác thực của họ vào trang
web của anh ấy để họ có thể đăng nhập bằng tài khoản Google hoặc
Microsoft mà không cần cung cấp mật khẩu cho anh ấy. Anh ta có thể sử dụng
giao thức nào để cho phép những người dùng đó cấp cho trang web quyền truy
cập vào thông tin của họ?
A. Kerberos
B. OAuth
C. BÁN KÍNH
D. OpenID
17. Trevor đang triển khai Google Authenticator trên thiết bị di động
ứng dụng để sử dụng trong tổ chức của mình. Google Authenticator
sử dụng loại hệ thống mật khẩu một lần nào ở chế độ mặc định?
A. Mật khẩu một lần dựa trên HMAC B.
Mật khẩu một lần dựa trên SMS C. Mật
khẩu một lần dựa trên thời gian
D. Mã tĩnh
18. Tổ chức của Nina sử dụng khóa SSH để cung cấp quyền truy cập
an toàn giữa các hệ thống. Điều nào sau đây không phải là mối
lo ngại bảo mật phổ biến khi sử dụng khóa SSH?
A. Vô tình để lộ khóa riêng B. Mật khẩu/cụm
mật khẩu yếu C. Mở rộng khóa SSH
D. Mã hóa yếu
19. Tên, tuổi, địa điểm hoặc chức danh của một người đều là ví dụ về
Gì?
A. Yếu tố sinh trắc học
B. Yếu tố nhận dạng
C. Thuộc tính
D. Quyền tài khoản
20. Loại sơ đồ kiểm soát truy cập nào mô tả đúng nhất hệ thống tập
tin Linux?
A. MAC
B. RBAC
C. ĐẮC
D. ABAC

Chap 8 - Security

Uploaded by

Copyright:

Available Formats

You might also like

Chap 8 - Security

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chap 8 - Security

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

MỤC TIÊU BÀI THI+ BẢO MẬT COMPTIA

Miền 2.0: Kiến trúc và Thiết kế

Miền 3.0: Triển khai 3.7. Đưa ra một

Cặp chìa khóa bị mất

Xác thực và ủy quyền

HÌNH 8.1 Chuỗi thách thức và phản hồi CHAP

HÌNH 8.3 Quá trình xác thực Kerberos

luận sau trong chương này.

OpenID là một tiêu chuẩn mở để xác thực phi tập trung.

OAuth là một tiêu chuẩn mở để ủy quyền được nhiều trang web sử

Dấu hiệu duy nhất trên

Hiệu trưởng, thường là người dùng

Dịch vụ thư mục

sơ đồ, mỗi mục sẽ có thêm

HÌNH 8.4 Hệ thống phân cấp tổ chức LDAP Vì các

Phương thức xác thực

Xác thực đa yếu tố

Có ba loại yếu tố chính:

HÌNH 8.5 Khóa bảo mật USB Titan key

Mật khẩu một lần

Hình 8.6 cho thấy một ví dụ về Google Authenticator, một hệ thống

như cách triển khai mã thông báo phần cứng.

HÌNH 8.7 Một token PayPal HOTP

phần cứng hoặc mã thông báo bảo mật.

Tấn công mật khẩu dùng một lần

Sinh trắc học

Đánh giá sinh trắc học

mà bạn có thể kiểm tra tại Duo.com/labs/research/the-good-and-

Xác thực dựa trên kiến thức

Quản lý xác thực

của chính phủ Hoa Kỳ.

được liên kết với tài khoản.

Loại tài khoản

số ít loại tài khoản cơ bản:

quyền và đặc quyền rộng rãi.

chúng, nếu có.

Chính sách và kiểm soát tài khoản

Cuộc chiến về mật khẩu

Quản lý quyền truy cập đặc quyền

Đề án kiểm soát truy cập

Quyền của hệ thống tệp Loại kiểm

HÌNH 8.9 Quyền truy cập tệp Linux/Unix

HÌNH 8.10 Quyền của file Windows

Bản tóm tắt

Kiến thức cơ bản về kỳ thi

Câu hỏi ôn tập

của liên đoàn?

A. Nhà cung cấp dịch

vụ B. Bên tin cậy

C. Nhà cung cấp xác thực D.

Nhà cung cấp danh tính

A. Yêu cầu về độ phức tạp của mật khẩu B.

Yêu cầu xác thực sinh trắc học C. Yêu cầu

mật khẩu một lần thông qua mã thông báo D. Yêu

cầu mật khẩu một lần thông qua ứng dụng

B. Dịch vụ đám mây sẽ cung cấp dịch vụ quản lý tài khoản

C. Xác thực đa yếu tố sẽ không được hỗ trợ bởi