SSCP - Access Controls - Implement Authentication Mechanisms - 2


Implement Authentication Mechanisms (Thực hiện cơ chế xác thực)





Authentication Mechanisms: 

-Uses of Token information(Sử dụng thông tin token)

Token được sử dụng để chứng minh danh tính của một người bằng điện tử ,mã thông báo được sử dụng cùng với hoặc thay thế mật khẩu để chứng minh danh tính. Mã thông báo hoạt động như một khóa điện tử để truy cập . Tất cả các mã thông báo chứa một số thông tin bí mật được sử dụng để chứng minh danh tính.
Có bốn cách khác nhau để sử dụng thông tin này:
-Static password token : Thiết bị chứa mật khẩu được ẩn về mặt vật lý  nhưng được truyền cho mỗi xác thực. Loại này dễ bị tấn công lại.
-Synchronous dynamic password token : Một bộ đếm thời gian được sử dụng để xoay qua các kết hợp khác nhau được tạo ra bởi một thuật toán mã hóa. Token  và máy chủ xác thực phải có đồng hồ được đồng bộ hóa.
-Asynchronous password token : Mật khẩu một lần được tạo mà không cần sử dụng đồng hồ, từ thuật toán một lần hoặc thuật toán mã hóa.
-Challenge response token : Sử dụng mật mã khóa công khai, có thể chứng minh sở hữu khóa riêng mà không tiết lộ khóa đó. Máy chủ xác thực mã hóa một thách thức (thường là số ngẫu nhiên hoặc ít nhất là dữ liệu với một số phần ngẫu nhiên) bằng khóa chung; thiết bị chứng minh rằng nó sở hữu một bản sao của khóa riêng phù hợp bằng cách cung cấp thử thách được giải mã.

-Types of Tokens

Time-Synchronized One-Time passwords : Mật khẩu một lần được đồng bộ hóa thời gian thay đổi liên tục tại một khoảng thời gian đã đặt. Để thực hiện việc này, một số loại đồng bộ hóa phải tồn tại giữa mã thông báo client và sever xác thực. Đối với các Tokens bị ngắt kết nối, việc đồng bộ hóa thời gian này được thực hiện trước khi Tokens được phân phối cho client. Các loại Tokens khác thực hiện đồng bộ hóa khi Tokens được chèn vào thiết bị đầu vào. Vấn đề chính với các Tokens được đồng bộ hóa theo thời gian là chúng có thể trở nên không đồng bộ hóa theo thời gian. Tuy nhiên, một số hệ thống, chẳng hạn như RSA, SecurID, cho phép người dùng đồng bộ hóa máy chủ với Tokens, đôi khi bằng cách nhập một số mật mã liên tiếp.

Mathematical-Algorithm-Based One-Time Passwords : Một loại mật khẩu một lần khác sử dụng thuật toán toán học phức tạp, chẳng hạn như chuỗi băm, để tạo ra một loạt mật khẩu một lần từ một khóa chia sẻ bí mật. Mỗi mật khẩu mới là duy nhất, vì vậy người dùng trái phép sẽ không thể đoán được mật khẩu mới có thể dựa trên bất kỳ mật khẩu nào được sử dụng trước đó.

Physical Types : Tokens có thể chứa chip với các chức năng thay đổi từ rất đơn giản đến rất phức tạp, bao gồm nhiều phương thức xác thực. Các Tokens bảo mật đơn giản nhất không cần bất kỳ kết nối nào với máy tính. Các Tokens có màn hình vật lý, người dùng xác thực chỉ cần nhập số được hiển thị để đăng nhập. Các Tokens khác kết nối với máy tính bằng các kỹ thuật không dây, chẳng hạn như Bluetooth. Các Tokens này chuyển một chuỗi khóa cho máy khách cục bộ hoặc đến một điểm truy cập gần đó.
Ngoài ra, một dạng Tokens khác đã có sẵn rộng rãi trong nhiều năm là thiết bị di động, giao tiếp sử dụng kênh ngoài băng như thoại, SMS hoặc USSD. Vẫn còn các Tokens khác cắm vào máy tính và có thể yêu cầu mã PIN. Tùy thuộc vào loại Tokens, hệ điều hành máy tính sau đó sẽ đọc khóa từ Tokens và thực hiện thao tác mã hóa trên nó hoặc yêu cầu chương trình cơ sở mã thông báo thực hiện thao tác này.
Một ứng dụng liên quan là khóa phần cứng được yêu cầu bởi một số chương trình máy tính để chứng minh quyền sở hữu phần mềm. 

Disconnected Tokens : Các Tokens bị ngắt kết nối không có kết nối vật lý cũng như logic với máy khách. Họ thường không yêu cầu một thiết bị đầu vào đặc biệt và thay vào đó sử dụng màn hình tích hợp để hiển thị dữ liệu xác thực được tạo, mà người dùng nhập thủ công thông qua bàn phím hoặc bàn phím. Tokens bị ngắt kết nối là loại Tokens bảo mật phổ biến nhất được sử dụng (thường kết hợp với mật khẩu) trong xác thực hai yếu tố để nhận dạng trực tuyến.

Connected Tokens : Các Connected Tokens phải được kết nối vật lý với máy tính mà người dùng đang xác thực. Mã thông báo trong danh mục này sẽ tự động truyền thông tin xác thực đến máy khách sau khi kết nối vật lý được thực hiện, loại bỏ nhu cầu người dùng nhập thủ công thông tin xác thực.
Tuy nhiên, để sử dụng Connected Tokens, thiết bị đầu vào thích hợp phải được cài đặt. Các loại Tokens vật lý phổ biến nhất là thẻ thông minh và mã thông báo USB, yêu cầu đầu đọc thẻ thông minh và cổng USB tương ứng. Nhiều Connected Tokens sử dụng công nghệ thẻ thông minh. Chúng cho phép một loạt các giải pháp bảo mật và cung cấp khả năng và bảo mật của thẻ thông minh truyền thống mà không yêu cầu một thiết bị đầu vào duy nhất. Từ quan điểm của hệ điều hành máy tính, điểm nhìn, Tokens  như vậy là một đầu đọc thẻ thông minh được kết nối USB với một thẻ thông minh không thể tháo rời.

Contactless Tokens : Không giống như Connected Tokens, Contactless Tokens tạo thành một kết nối hợp lý với máy khách nhưng không yêu cầu kết nối vật lý. Việc không có nhu cầu tiếp xúc vật lý giúp chúng thuận tiện hơn cả mã Connected tokens and disconnected tokens. Do đó, contactless tokens là một lựa chọn phổ biến cho các hệ thống nhập không cần chìa khóa và giải pháp thanh toán điện tử, sử dụng RFID để truyền thông tin xác thực từ keychain token. Tuy nhiên, đã có nhiều lo ngại về bảo mật được nêu ra về RFID tokens sau khi các nhà nghiên cứu phát hiện ra rằng thẻ RFID có thể dễ dàng bị bẻ khóa và nhân bản.

Bluetooth and Mobile Device Tokens : Bluetooth Tokens thường được kết hợp với USB Tokens, do đó hoạt động ở cả trạng thái được kết nối và bị ngắt kết nối. Xác thực Bluetooth hoạt động khi gần hơn 10 mét. Nếu Bluetooth không khả dụng, Tokens phải được chèn vào thiết bị đầu vào USB để hoạt động. Một thiết bị di động như điện thoại thông minh hoặc máy tính bảng cũng có thể được sử dụng làm thiết bị xác thực, cung cấp xác thực hai yếu tố an toàn.

Smart Cards : điển hình là một loại thẻ chip, là thẻ nhựa có chứa chip máy tính nhúng - loại bộ nhớ hoặc bộ vi xử lý - lưu trữ và giao dịch dữ liệu. Dữ liệu này thường được liên kết với giá trị, thông tin hoặc cả hai và được lưu trữ và xử lý trong chip Thẻ con. Thẻ kết nối với đầu đọc với tiếp xúc vật lý trực tiếp hoặc với giao diện tần số vô tuyến không tiếp xúc từ xa. Với một vi điều khiển nhúng, Smart Cards có khả năng lưu trữ lượng dữ liệu lớn, thực hiện các chức năng trên thẻ của riêng họ (ví dụ: mã hóa và xác thực lẫn nhau) và tương tác thông minh với smart card reader. Công nghệ Smart card tuân thủ các tiêu chuẩn quốc tế (ISO / IEC 7816 và ISO / IEC 14443) và có sẵn trong nhiều yếu tố hình thức, bao gồm thẻ nhựa, fobs, mô-đun nhận dạng thuê bao (SIM) được sử dụng trong điện thoại di động GSM và dựa trên USB-based tokens.

Types of Smart Card Technology : Có 2 loại thẻ Contact Smart Card và Contactless Smart Card

Contact Smart Card  phải được lắp vào đầu đọc thẻ smart card reader có kết nối trực tiếp với tấm tiếp xúc dẫn điện trên bề mặt thẻ. Việc truyền lệnh, dữ liệu và trạng thái thẻ diễn ra trên các điểm tiếp xúc vật lý này.
Contactless Smart Card chỉ cần gần với đầu đọc, cả đầu đọc và thẻ đều có ăng ten và hai giao tiếp sử dụng tần số vô tuyến (RF) qua liên kết không tiếp xúc này. Hầu hết các thẻ không tiếp xúc cũng lấy nguồn cho chip bên trong từ tín hiệu điện từ này. Phạm vi thường là một nửa đến 3 inch cho thẻ không dùng pin, lý tưởng cho các ứng dụng như xây dựng mục nhập và thanh toán yêu cầu giao diện thẻ rất nhanh.

Multifactor Authentication : 

Trong nhiều năm, xác thực dựa trên mật khẩu là phương pháp phổ biến nhất được sử dụng trong các hệ thống kiểm soát truy cập. Điểm yếu trong việc thực hiện mã hóa (hashing) cho mật khẩu đã khiến các phương pháp dựa trên kiến ​​thức này trở nên lỗi thời. Vào tháng 10 năm 2005, Hội đồng kiểm tra các tổ chức tài chính liên bang đã đưa ra một khuyến nghị cho các ngân hàng Hoa Kỳ, trong đó, một phần, yêu cầu thay thế password single-factor authentication bằng multifactor authentication. Đề xuất rõ ràng chỉ ra rằng mật khẩu đơn thuần không còn là một phương pháp an toàn để xác thực người dùng trong môi trường Internet hiện tại.

Thực tiễn tốt nhất trong kiểm soát truy cập là triển khai ít nhất hai trong số ba kỹ thuật phổ biến để xác thực trong hệ thống kiểm soát truy cập của bạn:
-Knowledge based
-Token based
-Characteristic based

Two-Factor vs. Three-Factor Authentication : Two-Factor Authentication, thông thường cơ chế được sử dụng cung cấp cho người dùng ở dạng physical token tạo mật khẩu một lần và người dùng sử dụng dưới dạng mã PIN được gắn vào một lần mật khẩu được tạo bởi tokens.
Phương pháp này được coi là an toàn hơn các phương pháp single-factor là mật khẩu như truyền thống, tuy nhiên rất ít để xác định rõ ràng người dùng. Điều này có thể được cải thiện đáng kể bằng cách kết hợp yếu tố thứ ba dưới dạng sinh trắc mà trên thực tế xác định người dùng. Một ví dụ về giải pháp xác thực ba yếu tố là thiết bị vân tay RSA AuthenTec của Privaris. Nó kết hợp với đầu đọc dấu vân tay để xác định người dùng cũng như là  người dùng đã có và cũng kết hợp mật khẩu và mã PIN.

Dual Control

Một thủ tục kiểm soát theo đó sự tham gia tích cực của hai người là cần thiết để hoàn thành một quy trình được chỉ định. Ví dụ: hai người cần để mở khóa dữ liệu an toàn hoặc logic, như trong trường hợp mật khẩu ủy quyền cấp cao hơn cần thiết để cho phép nhập dữ liệu do người khác tạo hoặc sửa đổi. Việc xác định bất kỳ phần nào của mã hóa sẽ yêu cầu sự thông đồng giữa ít nhất hai cá nhân đáng tin cậy khác nhau.

Continuous Authentication : 

Mặc dù xác thực một lần truyền thống, còn được gọi là xác thực giao dịch, chỉ diễn ra một lần trước khi cấp quyền truy cập, Continuous Authentication diễn ra cả trước khi cấp quyền truy cập và sau đó liên tục trong toàn bộ thời gian kết nối của người dùng để duy trì quyền truy cập được cấp.

Periodic Authentication (Xác thực định kỳ) :

Việc sử dụng phổ biến nhất của Periodic Authentication trước tiên cung cấp cho xác thực phản hồi , phản hồi truyền thống yêu cầu tương tác người dùng và sau đó bắt đầu định kỳ đưa ra các truy vấn xác thực phản hồi , phản hồi với mã thông báo của người dùng để xác định xem người dùng có rời khỏi khu vực mà họ đã xác thực hay không. Phương pháp này hỗ trợ trong việc giảm rủi ro người dùng sẽ rời khỏi thiết bị hoặc hệ thống mà họ đã xác thực quyền truy cập trước khi đăng xuất đúng cách.

Time Outs

Sau một khoảng thời gian cụ thể,nếu người dùng không sử dụng thiết bị  thì tài khoản người dùng sẽ tự động đăng xuất và quá trình xác thực sẽ bắt đầu lại, yêu cầu sự can thiệp của người dùng để thực hiện xác thực ban đầu trước khi continuous authentication có thể tiếp tục lại.

Reverse Authentication (Xác thực ngược)

Hiện nay với sự lừa đảo tinh vi, việc xác thực người dùng trong các giao dịch dựa trên web không còn đủ nữa. Ngày nay, cũng cần phải xác thực trang web  cho người dùng như một phần của quy trình xác thực. Trong xác thực thông thường, bạn nhập mật khẩu và trang web xác minh bạn là người dùng chính xác. Để xác thực ngược lại, trang web cung cấp cho bạn mật khẩu hoặc cụm từ và bạn xác minh rằng bạn đang ở đúng trang web.

Certificate-Based Authentication

Certificate-Based Authentication dựa trên máy mà người dùng xác thực từ việc cài đặt chứng chỉ kỹ thuật số được sử dụng một phần cùng với mật khẩu người dùng được mã hóa để xác thực cả người dùng và thiết bị mà người dùng đang xác thực. Thực tế, việc sử dụng chứng chỉ trong quy trình xác thực sẽ thêm một yếu tố bảo mật bằng cách xác thực rằng người dùng được ủy quyền xác thực từ thiết bị mà họ đang sử dụng do có chứng nhận kỹ thuật số trong thiết bị. Phải hết sức cẩn trọng trong việc quản lý chứng chỉ số bởi Cơ quan cấp chứng chỉ để đảm bảo rằng việc sử dụng chứng chỉ được kiểm soát hợp lý và việc gia hạn và hủy bỏ chứng chỉ được thực hiện kịp thời và hiệu quả

Authorization

Những gì người dùng có thể làm một khi được xác thực thường được kiểm soát bởi màn hình tham chiếu. Một màn hình tham chiếu thường được định nghĩa là dịch vụ hoặc chương trình nơi lưu trữ thông tin kiểm soát truy cập và nơi đưa ra quyết định kiểm soát truy cập. Một màn hình tham chiếu thường sẽ quyết định xem có được cấp quyền truy cập dựa trên ACL trong màn hình tham chiếu hay không. Khi quyền truy cập được cấp, những gì chủ đề có thể làm được kiểm soát bởi ma trận ủy quyền hoặc bảng.

Access to Systems vs. Data, Networks

Xác định ACL chỉ truy cập địa chỉ vào hệ thống có thể tạo điều kiện cho người dùng truy cập dữ liệu ngoài ý muốn mà có lẽ người dùng không nên có quyền truy cập. Bao gồm các điều khiển truy cập vào dữ liệu cụ thể trong một hệ thống nhất định sẽ tăng tính bảo mật tổng thể. Cũng phải xem xét đến quyền truy cập của người dùng vào các mạng được kết nối với hệ thống mà người dùng được phép truy cập để giảm thiểu rủi ro người dùng vô tình truy cập vào hệ thống và  dữ liệu có thể truy cập thông qua mạng được kết nối mà không nhất thiết phải có quyền truy cập.

Access Control Lists/Matrix

Access control list (ACL) là một ma trận của các đối tượng kiểm soát truy cập, các đối tượng kiểm soát truy cập và các quyền tương ứng. Bảng ủy quyền ma trận này được sử dụng trong một số hệ thống Discretionary Access Control(DAC) để cung cấp giao diện người dùng đơn giản và trực quan cho định nghĩa của các quy tắc kiểm soát truy cập.
Mặc dù bảng ma trận này cung cấp sự gia tăng dễ sử dụng, nhưng nó không giải quyết được vấn đề cố hữu của Discretionary Access Control(DAC) ở chỗ hệ thống vẫn dựa vào chủ sở hữu đối tượng kiểm soát truy cập để xác định đúng các quy tắc kiểm soát truy cập. Hơn nữa, việc sử dụng bảng ủy quyền ma trận không làm giảm trường hợp lỗi hoặc vi phạm có thể xảy ra khi thay đổi được thực hiện trong bảng ủy quyền.
Một ma trận kiểm soát truy cập được sử dụng trong một hệ thống Discretionary Access Control(DAC) để cung cấp cho giao diện người dùng đơn giản để thực hiện Access control list (ACL). Ma trận kiểm soát truy cập xác định quyền truy cập cho các đối tượng kiểm soát truy cập đối với các đối tượng kiểm soát truy cập. Giống như bảng ủy quyền được đề cập ở trên, ma trận kiểm soát truy cập không làm giảm trường hợp lỗi hoặc vi phạm có thể xảy ra khi thay đổi được thực hiện trong ma trận kiểm soát truy cập

Directories

Lightweight Directory Access Protocol (LDAP) là một giao thức ứng dụng được sử dụng để truy vấn và sửa đổi các dịch vụ thư mục qua TCP/IP, LDAP directory là một nhóm các đối tượng được tổ chức hợp lý và phân cấp và các thuộc tính tương ứng của chúng bằng cách sử dụng cây thư mục LDAP. Thường bắt đầu bằng các tên miền ở đầu phân cấp theo sau là các ranh giới tổ chức, sau đó các nhóm được theo sau bởi người dùng và dữ liệu, chẳng hạn như các nhóm tài liệu.

X.500 là một loạt các tiêu chuẩn mạng máy tính bao gồm các dịch vụ thư mục điện tử . X.500 được phát triển bởi Ngành Tiêu chuẩn hóa Viễn thông của Liên minh Viễn thông Quốc tế (ITU-T), ITU-T trước đây được gọi là Ủy ban Tư vấn về Điện thoại và Điện báo Quốc tế (CCITT).
X.500 cũng phụ thuộc vào việc sử dụng một Directory Information Tree (DIT) với một tổ chức phân cấp các mục được phân phối trên một hoặc nhiều máy chủ.
Mỗi thư mục có tên được gọi là Distinguished Nam(DN), được hình thành bằng cách kết hợp Relative Distinguished Name (RDN), một hoặc nhiều thuộc tính của chính mục nhập và RDN của các mục nhập vượt trội đến gốc của DIT.
Microsoft Active Directory Directory Service (ADDS, originally called NT Directory Services) lưu trữ dữ liệu và thông tin trong cơ sở dữ liệu trung tâm, có khả năng mở rộng cao và cung cấp nhiều dịch vụ mạng khác, bao gồm dịch vụ LDAP, xác thực.
Mặc dùMicrosoft Active Directory Directory Service(ADDS) chủ yếu được sử dụng để gán chính sách vì có nhiều thuộc tính, nhưng nó thường được sử dụng bởi các dịch vụ riêng biệt để tạo điều kiện phân phối phần mềm trong mạng

Single Sign-On
là một cơ chế xác thực cho phép chia sẻ một danh tính duy nhất trên nhiều ứng dụng. Thực tế, nó cho phép người dùng xác thực một lần và có quyền truy cập vào nhiều tài nguyên. Mục đích chính của SSO là để thuận tiện cho người dùng. SSO cũng có thể giúp giảm thiểu một số rủi ro vốn có của các chủ thể kiểm soát truy cập bằng cách sử dụng một mật khẩu hoặc cơ chế xác thực khác nhau cho mỗi trong số nhiều hệ thống mà họ truy cập trong một mạng lớn. Nói một cách đơn giản, cơ hội vi phạm bảo mật sẽ tăng lên một cách tự nhiên khi số lượng mật khẩu và cơ chế xác thực tăng lên. Tất nhiên, điều này phải được cân bằng với rủi ro bổ sung khi sử dụng SSO trong khi đã triển khai.

Single Sign-On Risks

Single point of failure: Với tất cả thông tin đăng nhập của người dùng được lưu trữ trên một máy chủ xác thực, sự thất bại của máy chủ đó có thể ngăn truy cập của những người dùng đó đối với tất cả các ứng dụng đã cung cấp dịch vụ xác thực.

Single point of access: Do SSO có một điểm truy cập duy nhất, nên dễ bị tấn công từ chối dịch vụ hàng loạt, theo đó toàn bộ các nhóm người dùng có thể bị từ chối truy cập vào hệ thống bằng cách tấn công vào điểm truy cập duy nhất.

SSO Implementation: Kerberos

Kerberos, được mô tả trong RFC 1510, ban đầu được phát triển bởi Massachusetts Institute of Technology (MIT) và đã trở thành một giao thức xác thực mạng phổ biến cho các dịch vụ xác thực gián tiếp (bên thứ ba).
Nó được thiết kế để cung cấp xác thực mạnh bằng cách sử dụng mật mã khóa bí mật. Đây là một triển khai hoạt động của công nghệ phân phối khóa và liên kết với một trung tâm phân phối chính, dịch vụ xác thực và dịch vụ cấp vé. Các máy chủ, ứng dụng và máy chủ đều phải là “Kerberized” để có thể giao tiếp với người dùng và dịch vụ cấp vé.

Kerberos Applications

Kerberos dựa trên kiến ​​trúc tập trung, do đó giảm nỗ lực quản trị trong việc quản lý tất cả các xác thực từ một máy chủ. Hơn nữa, việc sử dụng Kerberos cung cấp hỗ trợ cho:
-Authentication: A user is who  claims to be
-Authorization: What can a user do once properly authenticated?
-Confidentiality: Keep data secret
-Integrity: Data received are the same as the data that were sent
-Nonrepudiation: Determines exactly who sent or received a message

Kerberos Process

Quá trình sử dụng Kerberos khác biệt đáng kể so với các công nghệ xác thực gián tiếp và phức tạp hơn . Sau đây là giải thích đơn giản về quy trình Kerberos được điều chỉnh để sử dụng ở đây từ : Cryptography: Protocols, Algorithms,Source Code in C by Bruce Schneier (New York, NY: Wiley, 1993).

1.Trước khi một chủ thể kiểm soát truy cập có thể yêu cầu một dịch vụ từ một đối tượng kiểm soát truy cập, trước tiên nó phải có được một vé cho đối tượng mục tiêu cụ thể, trước tiên đối tượng kiểm soát truy cập phải yêu cầu Authentication Server (AS) đặt vé cho dKerberos Ticket Granting Service(TGS).Yêu cầu này có dạng một thông báo chứa tên người dùng và tên của Ticket Granting Service (TGS) tương ứng.

2.Authentication Server tìm kiếm kiểm soát truy cập trong cơ sở dữ liệu của nó và sau đó tạo khóa phiên được sử dụng giữa chủ thể kiểm soát truy cập và Ticket Granting Service. Kerberos mã hóa khóa phiên này bằng cách sử dụng khóa bí mật của đối tượng kiểm soát truy cập. Sau đó, nó tạo ra một Ticket Granting Service(TGS) cho đối tượng kiểm soát truy cập để trình bày với Ticket Granting Service (TGS) và mã hóa Ticket Granting Ticket (TGT) bằng khóa bí mật Ticket Granting Service (TGS). Authentication Server (AS) gửi cả hai tin nhắn được mã hóa này trở lại chủ đề kiểm soát truy cập.

3.Đối tượng kiểm soát truy cập giải mã tin nhắn đầu tiên và phục hồi khóa,tiếp theo kiểm soát truy cập tạo một trình xác thực bao gồm kiểm soát truy cập name, address, time stamp , tất cả được mã hóa bằng khóa phiên được tạo bởi Authentication Server (AS).

4.Kiểm soát truy cập sẽ gửi yêu cầu đến Kerberos Ticket Granting Service để lấy quyền đến một máy chủ mục tiêu cụ thể.Yêu cầu này chứa tên của máy chủ, Kerberos Ticket Granting Service nhận được từ Kerberos (Đã được mã hóa bằng khóa bí mật Ticket Granting Service) và trình xác thực được mã hóa.

5.Kerberos Ticket Granting Service giải mã Ticket Granting Ticket (TGT) bằng khóa bí mật của nó và sau đó sử dụng khóa  có trong Ticket Granting Ticket (TGT) để giải mã trình xác thực.Nó so sánh thông tin trong trình xác thực với thông tin Ticket Granting Ticket (TGT) , đối tượng kiểm soát truy cập địa chỉ mạng của mạng xã hội với địa chỉ mà yêu cầu được gửi và dấu thời gian với thời gian hiện tại. Nếu mọi thứ khớp, nó cho phép yêu cầu tiến hành.

6.Ticket Granting Service (TGS) tạo khóa  mới cho người dùng và máy chủ đích và kết hợp khóa này vào một Ticket hợp lệ để chủ thể kiểm soát truy cập trình bày với máy chủ đối tượng kiểm soát truy cập.Ticket này cũng chứa chủ đề kiểm soát truy cập name, network address, dấu thời gian và thời gian hết hạn cho Ticket, tất cả được mã hóa với khóa bí mật của máy chủ đích và tên của máy chủ.
Ticket Granting Service (TGS) cũng mã hóa khóa  mục tiêu của đối tượng kiểm soát truy cập mới bằng cách sử dụng khóa phiên được chia sẻ bởi chủ thể kiểm soát truy cập và Ticket Granting Service (TGS). Nó gửi cả tin nhắn đến chủ đề kiểm soát truy cập,nó gửi cả tin nhắn đến chủ đề kiểm soát truy cập

7.Đối tượng kiểm soát truy cập giải mã thông báo và trích xuất khóa  để sử dụng với máy chủ đối tượng kiểm soát truy cập đích, chủ thể kiểm soát truy cập hiện đã sẵn sàng để xác thực chính mình với máy chủ đối tượng kiểm soát truy cập,tạo một trình xác thực mới được mã hóa bằng khóa  mục tiêu của đối tượng kiểm soát truy cập mà Ticket Granting Service (TGS) tạo ra. Để yêu cầu quyền truy cập vào máy chủ đối tượng kiểm soát truy cập đích, đối tượng kiểm soát truy cập gửi cùng với ticket nhận được từ Kerberos (Đã được mã hóa bằng khóa bí mật của máy chủ đối tượng điều khiển truy cập đích) và trình xác thực được mã hóa.Bởi vì trình xác thực này chứa mã hóa được mã hóa bằng khóa , nó chứng tỏ rằng người gửi biết khóa. Cũng quan trọng không kém, việc mã hóa thời gian trong ngày sẽ ngăn kẻ nghe trộm ghi lại cả Ticket và trình xác thực phát lại chúng sau đó.

8.Máy chủ đối tượng kiểm soát truy cập đích giải mã và kiểm tra vé và trình xác thực, đồng thời xác nhận đối tượng kiểm soát truy cập Địa chỉ và dấu thời gian.Nếu mọi thứ kiểm tra, máy chủ đối tượng kiểm soát truy cập hiện biết đối tượng kiểm soát truy cập là người mà đã tuyên bố, và họ chia sẻ một khóa mã hóa mà họ có thể sử dụng để liên lạc an toàn (Vì chỉ chủ thể kiểm soát truy cập và máy chủ đối tượng kiểm soát truy cập chia sẻ khóa này, nên có thể giả sử rằng một tin nhắn gần đây được mã hóa trong khóa đó có nguồn gốc từ bên kia.)

9.Đối với những ứng dụng yêu cầu xác thực lẫn nhau, máy chủ sẽ gửi cho đối tượng kiểm soát truy cập một thông báo bao gồm dấu thời gian cộng với 1, được mã hóa bằng khóa phiên, điều này đóng vai trò là bằng chứng cho người dùng rằng máy chủ đối tượng kiểm soát truy cập thực sự biết khóa bí mật của nó và có thể giải mã vé và trình xác thực.

Kerberos Considerations

Để cung cấp cho việc triển khai và vận hành thành công Kerberos, cần xem xét những điều sau:
-Bảo mật tổng thể phụ thuộc vào việc thực hiện cẩn thận.
-Yêu cầu đồng hồ đáng tin cậy và đồng bộ trên mạng doanh nghiệp.
-Thực thi các vòng đời giới hạn để xác thực dựa trên  thời gian giúp giảm nguy cơ tin tặc độc hại truy cập trái phép bằng thông tin đăng nhập gian lận.
-Trung tâm phân phối khóa phải được bảo mật về mặt vật lý.
-Trung tâm phân phối khóa phải được cách ly trên mạng và không được tham gia vào bất kỳ hoạt động mạng nào không phải Kerberos .
-Máy chủ xác thực có thể là một điểm nghiêm trọng của sự cố.

Offline and Device Authentication

Chính sách Security và Authentication là duy nhất cho một tổ chức nhất định, bảo mật hiệu quả không bao giờ là một đề xuất một kích cỡ phù hợp với tất cả.Chính sách security cơ bản - xác định thông tin nào nhạy cảm, ai có thể có quyền truy cập vào thông tin này và trong hoàn cảnh nào và phải làm gì trong trường hợp vi phạm, các yếu tố đơn giản và rõ ràng, chẳng hạn như yêu cầu mã PIN trên thiết bị di động và thay đổi mật khẩu thường xuyên, là điều cần thiết.
Policy có thể đi xa hơn để giải thích những gì một kết hợp người dùng ,thiết bị cụ thể có thể làm dựa trên thông tin và bối cảnh,chỉ sau khi các chính sách được thiết lập và thử nghiệm trong cài đặt riêng biệt hoặc thử nghiệm, các công nghệ xác thực người dùng , thiết bị cụ thể mới được xem xét.

Types of Authentication

Computer Recognition Software (Phần mềm nhận dạng máy tính) : Sử dụng máy tính làm yếu tố xác thực thứ hai được thực hiện bằng cách cài đặt   plug-in xác thực  đặt điểm đánh dấu thiết bị mã hóa vào máy tính người dùng, sau đó có thể được xác minh là yếu tố thứ hai trong quá trình xác thực.
Quá trình xác thực sau đó sẽ bao gồm hai yếu tố: password  và điểm đánh dấu thiết bị trên máy tính người dùng, Vì điểm đánh dấu thiết bị luôn có trên máy tính người dùng, nên người dùng chỉ phải nhập tên người dùng và mật khẩu để đăng nhập

Biometrics (Sinh trắc học)Sử dụng sinh trắc học làm yếu tố thứ hai được thực hiện bằng cách xác minh các đặc điểm vật lý như dấu vân tay hoặc mắt bằng thiết bị phần cứng chuyên dụng

E-mail or SMS One-time Password (OTP) : Sử dụng e-mail hoặc SMS OTP làm yếu tố thứ hai được thực hiện bằng cách gửi mật khẩu sử dụng một lần thứ hai đến địa chỉ e-mail hoặc điện thoại di động đã đăng ký, sau đó, người dùng phải nhập mật khẩu một lần thứ hai ngoài mật khẩu thông thường để xác thực. Phương pháp này thường được coi là quá cồng kềnh đối với thông tin đăng nhập hàng ngày vì có độ trễ về thời gian trước khi người dùng nhận được OTP mà họ cần đăng nhập, nhưng nó thường được sử dụng để đăng ký ban đầu trước khi cung cấp một hình thức xác thực khác

One-Time Password (OTP) Token : Sử dụng mã thông báo OTP làm yếu tố thứ hai được thực hiện bằng cách cung cấp cho người dùng một thiết bị phần cứng tạo mật khẩu thứ hai liên tục thay đổi phải được nhập cùng với mật khẩu thông thường

Out of Band : Sử dụng xác minh Out Of Band để xác thực liên quan đến hệ thống  gọi số điện thoại đã đăng ký và yêu cầu người dùng nhập mật khẩu của họ qua điện thoại trước khi cho phép người dùng đăng nhập, Tương tự như email OTP hoặc SMS, yêu cầu này đưa ra độ trễ về thời gian và yêu cầu người dùng phải ở vị trí của số điện thoại đã đăng ký trong chuỗi đăng nhập.

Peripheral Device Recognition (Nhận dạng thiết bị ngoại vi) : Sử dụng nhận dạng thiết bị ngoại vi làm yếu tố thứ hai được thực hiện bằng cách đặt điểm đánh dấu thiết bị mã hóa trên thiết bị hiện có của người dùng như ổ flash USB, iPod hoặc thẻ nhớ và sau đó yêu cầu thiết bị đó được cắm vào máy tính khi người dùng đăng nhập.


Nhãn: