Vấn đề về quản lý mật khẩu trong IE và Firefox

Hai phần của bài viết này sẽ trình bày cho bạn một phân tích về các kỹ thuật bảo mật, rủi ro, các tấn công và cách phòng chống của hai hệ thống quản lý mật khẩu trình duyệt được sử dụng rộng rãi, đó là Internet Explore và Firefox. Đối tượng chính trong bài viết này đề cập đến hai trình duyệt IE 6 và 7, Firefox 1.5 và 2.0 và cụ thể là những nội dung sau:
Nội dung trích xuất từ tài liệu:
Vấn đề về quản lý mật khẩu trong IE và Firefox Vấn đề về quản lý mậtkhẩu trong IE và Firefox1, Giới thiệuHai phần của bài viết này sẽ trình bày cho bạn một phân tích về cáckỹ thuật bảo mật, rủi ro, các tấn công và cách phòng chống của haihệ thống quản lý mật khẩu trình duyệt được sử dụng rộng rãi, đó làInternet Explore và Firefox. Đối tượng chính trong bài viết này đềcập đến hai trình duyệt IE 6 và 7, Firefox 1.5 và 2.0 và cụ thể lànhững nội dung sau: Kỹ thuật lưu mật khẩu: Ý nghĩa của việc bảo vệ cácusername và password trên hệ thống file cục bộ thông qua mã hóa. Các kiểu tấn công: Các phương pháp phá hoại hay vượt quađược sự bảo vệ. Những sai lầm về bảo mật: Người dùng sử dụng mật khẩukhông có kiến thức về khả năng rủi ro. Khả năng sử dụng: Những đặc tính nhằm nâng cao hay cảntrở khả năng sử dụng của các đặc tính bảo mật. Biện pháp đối phó và khắc phục: Những hành động cần thiếtđể người dùng và các tổ chức giảm những rủi ro không đáng có.Internet Explorer và Firefox đã cùng nhau chia sẻ khoảng gần 95%thị phần của tất cả các trình duyệt. AutoComplete và PasswordManager là các tính năng để lưu username, password và URL tươngcủa IE (từ phiên bản 4) và Firefox (từ phiên bản 0.7)Mỗi trình duyệt có các tính năng riêng để hỗ trợ người dùng bằngviệc nhớ các username và password khác nhau như một sự thẩmđịnh cho các trang web. Vì vậy, khi vào một URLnhư http://www.gmail.com, nơi có các trường nhập vào, thì cảInternet Explorer và Firefox đều sẽ nhắc nhở người dùng xem cómuốn lưu username hay password hay không. Khi người dùng vàolại trang web này thì trình duyệt sẽ tự động điền vào đầy đủ cáctrường đó.Mặc dù những tính năng này giúp đơn giản hóa đáng kể tráchnhiệm của người dùng song chúng cũng đưa ra những vấn đề cầnphải suy xét về bảo mật, điều mà sẽ được nói đến trong những phầndưới đây.2, Một trường hợp về bộ quản lý mật khẩuSự cần thiết của các bộ quản lý mật khẩu liên quan trực tiếp đếnkhó khăn để có thể nhớ một số lượng lớn username và passwordcho các trang web cụ thể. Thực tế, cần phải chú ý là bộ quản lý mậtkhẩu có thể tăng cường toàn bộ tính bảo mật vì chúng có quyền chophép mức entropy lớn hơn trong việc sử dụng các bộ nhận dạng vàmật khẩu. Vì vậy người dùng có thể tạo nhiều username khác nhauthay vì một username để cho những kẻ tấn công khó khăn hơn trongviệc phỏng đoán.Xét theo khía cạnh cân bằng mà nói thì người dùng phải tin tưởngvào ứng dụng để thực hiện vai trò của nó (như việc lưu, xử lý mộtcách an toàn và những khả năng tiến bộ để cho phép tồn tại của nó).Việc quản lý mật khẩu không phải là một phương thuốc chữa báchbệnh song chúng cũng có tác dụng thúc đẩy về mặt công nghệ, tăngkhả năng rào chắn đối với những tấn công bằng cách cải thiện giaodiện người dùng để tính toán các môi trường thông thường vẫn cầnđến sự thẩm định.Người dùng cũng như các doanh nghiệp cần phải được bảo đảmrằng các hệ thống quản lý mật khẩu phải được sử dụng và thực hiệnđúng quy cách, kiến thức về khả năng rủi ro liên quan. Bài viết nàycó thể được sử dụng như một kiến thức cơ bản cho việc thiết kế cácbộ quản lý mật khẩu an toàn hơn bằng việc ôn lại những tấn công,từ đó xây dựng một giải pháp vững chắc đối phó với các tấn côngtương lai.3, Công việc đầu tiênSử dụng cùng một username và password trong nhiều trang web sẽlàm tăng khả năng thỏa hiệp, chính nhờ đó mà kẻ tấn công chỉ cầnkhám phá một username và một password để thỏa hiệp với tất cả tàinguyên của người dùng. Sử dụng nhiều password, các kỹ thuật ghinhớ và mối nguy hiểm khi dùng lại password đều được nghiên cứumột cách rộng rãi. Thêm vào đó, mở rộng ra Firefox cũng đã đượcnghiên cứu để giảm khả năng có thể phỏng đoán password.4, Các kỹ thuật lưu passwordCác vị trí và kỹ thuật lưu username và password được đưa ra dướiđây. Thông tin này được sử dụng như một nghiên cứu các kiểu tấncông cơ bản được sử dụng trong phần 5.4.1, Vị trí lưu4.1.1, Internet Explorer 6 & 7Trên Internet Explorer (từ phiên bản 4 đến 6) thông tin định dạngweb AutoComplete được lưu trong Registry ở các vị trí dưới đây:Các username và password đã được mã hóa:HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsSPWCác địa chỉ Web:HKEY_LOCAL_MACHINESoftwareMicrosoftProtected StorageSystem ProviderCác key mã hóa đối xứng:HKEY_CURRENT_USERSoftwareMicrosoft Protected StorageSystem ProviderData\Trong Internet Explorer 7, thông tin AutoComplete cũng được lưutrong Registry nhưng trong vị trí khác.Các username và password đã được mã hóa:HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsStorage2Các mục trong registry chỉ được tạo khi người dùng thực hiện lưuthông tin đăng nhập (username và password) cho một trang web.SPW là viết tắt của SavedPassWords.4.1.2, Firefox 1.5 and 2.0Trong Firefox, các URL (Uniform Re ...