SSCP - Access Controls - Implement Authentication Mechanisms - 1



Implement Authentication Mechanisms (Thực hiện cơ chế xác thực)




Access Control là gì ? 

là một cách giới hạn quyền truy cập vào hệ thống hoặc tài nguyên ảo hoặc vật lý. Trong Cloud Computing (điện toán), kiểm soát truy cập là một quá trình người dùng được cấp quyền truy cập và một số đặc quyền nhất định đối với các hệ thống, tài nguyên hoặc thông tin.

Trong các hệ thống kiểm soát truy cập(Access Control Systems), người dùng phải xuất trình thông tin đăng nhập trước khi được cấp quyền truy cập. Trong các hệ thống vật lý, các thông tin đăng nhập này có thể có nhiều dạng, nhưng thông tin không thể được chuyển sẽ cung cấp bảo mật nhất.

Authentication Mechanisms: 

-Identity (Xác thực danh tính)




Quá trình xác định hoặc nhận dạng danh tính user là duy nhất và cung cấp thông tin trách nhiệm cho user này. Nhận dạng kiểm soát truy cập dưới dạng chỉ định tên người dùng

Ví dụ trong một doanh nghiệp hay hệ thống mạng , tên người dùng được xác định dùng để truy cập hệ thống thường dùng định danh của tài khoản email. Ví dụ ông Phạm Quang Lộc được định danh là loc.pham, thì email của ông thường gắn liền với định danh loc.pham và các thông tin tài khoản đa phần là vậy. Do đó mọi người mọi người phải xác định tên tài khoản , tên người dùng sẽ xác định tên chủ tài khoản.

Kiểm soát truy cập dựa vào tên người dùng để cung cấp quyền hạn truy cập thường không hiệu quả, để chứng mình rằng người dùng này dùng đúng tên định danh đặt cho để access vào tài khoản, thì người chủ sở hữu đó sẽ được cung cấp một mã bí mật, đó là mật khẩu người dùng, nó dùng để xác thực rằng người dùng trên thực tế đã sử dụng đúng quyền họ được cấp phát.

-Methods (Phương thức)




Unique (Duy nhất) : Sử dụng User ID, mã pin, số tài khoản ... và nó là duy nhất cho một người khi cung cấp thông cho họ. Nếu Security cần phải cẩn thận để không bị đoán ra thông tin, cũng như ông Nguyễn A có user a.nguyen, sau này có ông Nguyễn B, theo suy luận logic người ta sẽ đoán ông này định danh là b.nguyen...

Group (Theo nhóm) : Trong một hệ thống có hàng trăm, hàng ngàn người dùng có cấp độ như nhau thì việc phân quyền chặc chẽ như từng user sẽ rất khó khăn, bằng cách kết hợp các user có cùng chức danh hoặc quyền hạn như nhau ... khi đó phân quyền theo Group thì giảm thiểu đi khó khăn và sự quản trị hệ thống được kiểm soát đơn giản hơn. Nhưng lưu ý vì như cầu của một hệ thống, bản chất ID Group không được khuyến nghị vì nếu lỡ có một cá nhân trong group bị lộ thông tin hoặc bị mất.

-Registration of New Users (Đăng ký người dùng mới ) : 




Việc đăng ký người dùng mới theo cách thủ công (Manual user registration) với mức độ chi tiết lớn, đúng quyền hạn ... được xem là gánh nặng hành chính cao, để hiệu quả việc này, giảm thiểu gánh nặng này người ta sẽ thay vào đó là giải pháp đăng ký tự động (Automated Provisioning Solution).

Automated Provisioning Solution (identity management) sẽ cung cấp một khung quản lý kiểm soát theo vai trò và kết nối nó với hệ thống IT, ủy quyền, phân quyền, Audit,workflows to guide sign-off ...

Periodic Review of Access Levels(Đánh giá định kỳ các cấp truy cập) Xem xét định kỳ các cấp truy cập của người dùng không còn là một cách thực hành tốt nhất và được đưa vào các quy định hiện hành bao gồm Sarbanes–Oxley. Việc xem xét mức độ định kỳ truy cập của người dùng là cần thiết, để đảm bảo rằng các đặc quyền của người dùng là phù hợp và phản ánh mọi thay đổi của của người dùng đúng vai trò và trách nhiệm của họ.
Note : Sarbanes–Oxley (SOX) là Đạo luật Sarbanes-Oxley năm 2002 là luật liên bang đã thiết lập các quy định kiểm toán và tài chính sâu rộng cho các công ty đại chúng.

-Clearance : 




nó rất quan trọng trong hệ thống , mỗi truy cập và các điều khiển dựa trên security labels và dựa theo mô hình Bell–LaPadula . Hiểu như thế này :
Trong một doanh nghiệp có 3 vai trò trên thư mục hoặc một function ABC : A : Manager - B : Supervisor - C: Staff. Cần gán nhãn cho nó tương ứng nếu là A là  Manager, B là Supervisor ,C là Staff. Và áp dụng nó theo mô hình Bell–LaPadula thì A có thể toàn quyền  và thấy cả 3 ABC, B chỉ toàn quyền và thấy cả 2 BC, và C chỉ toàn quyền bản thân nó là C.

-Proof of Identity (Bằng chứng nhận dạng) :



Xác minh danh tính và trình bày thông tin cho hệ thống kiểm soát (Access control system) thông qua thông tin đã khai báo trình bày từ trước. Thường có 3 yếu tố phổ biến trong xác thực :
-Something you know : Có thể như mật khẩu là gì, câu hỏi bí mật bạn biết ..
-Something you have : Có thể như mã Pin, Common Access Card(CAC) hay USB token,vân tay ...
-Something you are : Có thể bạn chứng minh được thông tin về bạn ...
Ngoài ra cần thức hiểu những kiến  biết sau (Knowledge): -Mật khẩu tĩnh có thể là mật khẩu, mã PIN, cụm mật khẩu, đồ họa, v.v. Bất kể độ dài và cấu trúc ký tự, mật khẩu tĩnh không thường xuyên thay đổi thường không an toàn.
-Mật khẩu mã hóa là một điều cần thiết, vì mật khẩu thường dễ bị bẻ khóa.(Tham khảo tool : Cain and Abel , RainbowCrack)

-Password Reset : 



Người dùng quên mật khẩu, đội ngũ IT hỗ trợ rất mất nhiều thời gian, đối với các hệ thống quan trọng thì reset password được reset bởi đội IT, không hỗ trợ reset tự động. Đôi khi tốn quá nhiều thời gian, hệ thống thả luôn chứng thực như quá số lần nhập sai bắt yêu cầu reset lại password ... đôi lúc tiềm ẩn nguy cơ tiềm tàn.
Có thể xác thực đặt lại mật khẩu yêu cầu cung cấp câu hỏi bí mật, xác thực OTP qua điện thoại có thể reset password ... sẽ đảm bảo sự an toàn hơn.

-Mass Lockouts : 




là khi một tài khoản nào đó được truy cập trái  phép quá số lần đăng nhập ... thì toàn bộ access liên quan đến tài khoản này sẽ bị khóa hàng loạt .

Vấn đề này có ưu điểm và cũng có khuyết điểm tùy vào môi trường và trường hợp, có thể xem nó là một cuộc tấn công có hiệu quả khi có một ai đó cố tình khóa tài khoản của bạn.

Cố tình đăng nhập vào hệ thống với một user nào đó, cố gắng đăng nhập liên tục và sai nhiều lần, để tài khoản bị khóa. Cuộc tấn công này có thể tìm thấy trong cuộc tấn công khóa tài khoản eBay, trong một phiên đấu giá của eBay, hiển thị thông tin ID người trả giá một món hàng cao nhất, gần đế thời gian chốt giá, hacker cố tình đăng nhập bằng thông tin người trả giá cao đó và làm tài khoản của họ bị khóa không thể tham gia đâu giá, lợi dụng cơ hội đó người mua tiếp theo có cơ hội đấu giá với món hàng đó với giá họ có thể.

Ownership : Là thứ gì đó user sở hữu , có thể là smart card hay token .
-Smart cards : thẻ có gắn chíp, có hệ thống bảo mật chống giả, thường kích thước bằng thẻ tín dụng, muốn xác nhận nó cần phải có đầu đọc thẻ.
-Đầu đọc thẻ thì phải yêu cầu thẻ vật lý tiếp xúc với đầu đọc thẻ mới xác nhận được như chạm thẻ vào đầu đọc để xác nhận thông tin, và kích thước thẻ, đầu đọc ... phải đạt chuẩn ISO / IEC 7816.
Đầu đọc thẻ thường dùng là RFID (Radiofrequency Identification), Các cơ chế bảo mật bổ sung được tìm thấy trong các ứng dụng thẻ không tiếp xúc có thể bao gồm các biện pháp bảo vệ mã hóa dựa trên challenge / response-based để giảm rủi ro khi lướt qua thẻ .

-Biometrics :



Các quy trình liên quan đến một giải pháp xác thực sinh trắc học có thể được phân loại thành hai bước:

-Trong quá trình đăng ký, mã sinh trắc đã đăng ký của người dùng được lưu trữ trong hệ thống hoặc trên thẻ thông minh được người dùng lưu giữ

-Trong quá trình xác minh, người dùng trình bày dữ liệu sinh trắc của mình cho hệ thống để có thể so sánh dữ liệu sinh trắc với mã sinh trắc được lưu trữ

Xác minh người dùng có thể được thực hiện trong thẻ thông minh, quy trình gọi là khớp thẻ hoặc trong hệ thống bên ngoài thẻ, được gọi là khớp thẻ ngoài. Thuật toán đối sánh trên thẻ bảo vệ mã sinh trắc được lưu trữ của người dùng. Mã sinh trắc không nhất thiết phải được chuyển ra môi trường bên ngoài nếu sử dụng loại kết hợp này. Mặc dù dữ liệu sinh trắc không được coi là bí mật, giao thức không được tiết lộ nếu không có thỏa thuận của người dùng. Khi dữ liệu sinh trắc được sử dụng để xác thực sinh trắc , nó không chỉ được bảo vệ khỏi tiết lộ cho kẻ tấn công mà còn phải đảm bảo nguồn gốc của nó, điều này ngăn kẻ tấn công trình bày dữ liệu sinh trắc học đã bắt trước đó cho hệ thống để xác thực mình là người dùng được ủy quyền .

Sinh trắc học có thể được chia thành hai phân loại chính: Sinh trắc học hành vi và Sinh trắc học sinh lý.

Sinh trắc học hành vi : Ví dụ về sinh trắc học hành vi bao gồm phân tích chữ ký, nhận dạng mẫu giọng nói và  lực gõ phím.

Phân tích chữ ký: Chữ ký viết tay là duy nhất cho mỗi cá nhân. Hầu hết các thiết bị truy cập phân tích chữ ký kiểm soát truy cập sử dụng phân tích 3-D của chữ ký, bao gồm cả áp lực và hình thức của chữ ký. Phân tích chữ ký tự động đo lường chuỗi các chuyển động, trong đó có các đặc điểm sinh trắc học, chẳng hạn như gia tốc, nhịp điệu, áp suất và lưu lượng. Các thiết bị kiểm soát truy cập phân tích chữ ký đã trở nên phổ biến với các thương nhân thẻ tín dụng để ủy quyền giao dịch thẻ tín dụng.

Nhận dạng mẫu giọng nói: Nhận dạng mẫu giọng nói hoạt động bằng cách tạo cơ sở dữ liệu về các đặc điểm duy nhất của giọng nói của chủ thể kiểm soát truy cập. Sau đó, đối tượng kiểm soát truy cập chỉ cần nói hoặc gần micrô và thiết bị kiểm soát truy cập so sánh các đặc điểm mẫu giọng nói hiện tại với các đặc điểm được lưu trữ để xác định xem có được cấp quyền truy cập hay không.

Vấn đề với nhận dạng giọng nói,khi đối tượng già đi, các đặc điểm của giọng nói tự nhiên thay đổi. Đặc điểm giọng nói có thể thay đổi khi bị căng thẳng và trong tình huống khẩn cấp, đối tượng kiểm soát truy cập có thể bị từ chối truy cập chỉ vì sự căng thẳng mà họ phải chịu vào lúc đó. Hơn nữa, có thể tạo ra một lỗi thông qua việc thay đổi cụm từ của cụm từ đã cho.

Nhận dạng giọng nói là một phương pháp rẻ tiền để thực hiện, nhưng vì khả năng xảy ra lỗi cao nên sử dụng tốt nhất để bổ sung cho một công nghệ chính xác hơn, như quét mống mắt và không được dựa vào như một thiết bị kiểm soát truy cập chính.

Lực gõ phím: Lực gõ phím dựa vào các đặc điểm duy nhất cho một cá nhân. Cụ thể, các đặc điểm của tổ hợp phím của đối tượng kiểm soát truy cập khi tên người dùng và mật khẩu được nhập trên bàn phím. Các đặc điểm bình thường của cá nhân được học theo thời gian và thường có thể được đăng ký với sáu hoặc tám mẫu. Các đặc điểm riêng được sử dụng bởi thiết bị phân tích tổ hợp phím điển hình bao gồm nhưng không giới hạn ở : Khoảng thời gian mỗi phím được giữ, khoảng thời gian giữa các lần nhấn phím, tốc độ gõ, xu hướng chuyển đổi giữa bàn phím số và số bàn phím, xu hướng gõ phím liên quan đến viết hoa.

Sinh trắc học sinh lý :

 Công nghệ xác minh dấu vân tay: Xác minh dấu vân tay thường yêu cầu bảy đặc điểm hoặc điểm phù hợp để đăng ký một đối tượng kiểm soát truy cập mới hoặc để xác minh đối tượng kiểm soát truy cập hiện có. Nhiệm vụ không khó như có vẻ như ngón tay của con người chứa 30 - 40 đặc điểm hoặc điểm phù hợp. Đầu đọc dấu vân tay không lưu trữ hình ảnh của dấu vân tay. Thay vào đó, nó tạo ra một mối quan hệ hình học giữa các đặc điểm hoặc các điểm phù hợp và lưu trữ và sau đó so sánh thông tin đó.

Công nghệ hình học bàn tay: Công nghệ nhận dạng hình học bàn tay được sử dụng rộng rãi để kiểm soát truy cập cũng như các ứng dụng thời gian và tham dự. Một cá nhân đặt tay của mình lên đầu đọc và danh tính của người đó được xác minh dựa trên vị trí của một số điểm chính trên bàn tay của cá nhân đó (ví dụ: chiều dài ngón tay, vị trí đốt ngón tay). Công nghệ hình học bàn tay đo kích thước của bàn tay và ngón tay được sử dụng chủ yếu trong các ứng dụng bảo mật vật lý

Đặc điểm mắt / quét võng mạc: Quét võng mạc là một trong những phương pháp xác thực sinh trắc học lâu đời và chính xác nhất. Có từ năm 1930, người ta đã nhận ra rằng mỗi võng mạc của con người có những đặc điểm riêng, nhưng đó là năm 1984 trước khi máy quét võng mạc thương mại đầu tiên được phát hành ra công chúng. Theo truyền thống, quét võng mạc chỉ được dành riêng cho ứng dụng an toàn nhất của các hệ thống kiểm soát truy cập vật lý.

Nhận dạng khuôn mặt: Giống như đầu đọc dấu vân tay và thiết bị hình học tay, nhận dạng khuôn mặt sử dụng mô hình hình học toán học của một số mốc nhất định của khuôn mặt như xương gò má, chóp mũi và hướng hốc mắt và đo khoảng cách giữa chúng. Có khoảng 80 đặc điểm có thể đo lường riêng biệt trên khuôn mặt người, nhưng hầu hết các hệ thống nhận dạng khuôn mặt chỉ dựa vào 14 - 22 đặc điểm để thực hiện nhận dạng của chúng. Các thuật toán nhận dạng có thể được chia thành hai cách tiếp cận chính, hình học, xem xét các đặc điểm phân biệt hoặc trắc quang, là cách tiếp cận thống kê để chắt lọc một hình ảnh thành các giá trị và so sánh các giá trị với các mẫu để loại bỏ phương sai.

-Biometric Accuracy (Độ chính xác sinh trắc) :




Độ chính xác sinh trắc học được đo bằng hai tỷ lệ khác nhau:

- False Rejection Rate (FRR), referred to as a type 1 error
- False Acceptance Rate (FAR), referred to as a type 2 error


- Biometric Standards Development :

ANSI INCITS 395-2005 là định dạng trao đổi dữ liệu để thể hiện dữ liệu chữ ký hoặc dữ liệu chữ ký, cho mục đích đăng ký sinh trắc học, xác minh hoặc nhận dạng thông qua việc sử dụng Dữ liệu mẫu chữ ký / ký hiệu thô hoặc Dữ liệu tính năng chung. Định dạng trao đổi dữ liệu là chung chung, theo đó nó có thể được áp dụng và sử dụng trong một loạt các lĩnh vực ứng dụng có liên quan đến các dấu hiệu hoặc chữ ký điện tử. Không có yêu cầu hoặc tính năng dành riêng cho ứng dụng nào được đề cập trong tiêu chuẩn này
Ở cấp độ quốc tế, có hai tài liệu tương ứng :
ISO/IEC 19794-7:2014: Information technology – Biometric data interchange formats – Part 7: Signature/sign time series data .
ISO/IEC 19794-11:2013/Amd.1:2014: Information technology – Biometric data interchange formats – Part 11: Signature/Sign Processed Dynamic Data.


Nhãn: