Chứng thực đa hệ số trong Windows - Phần 1: USB token và các thẻ thông minh - Bản có dấu.
Chung thuc da he so trong Windows - Phan 1: USB token va cac the thong minh - Bản không dấu.

Trong phần đầu này chúng ta sẽ bắt đầu vào việc xem xét đến những vấn đề cơ bản của việc chứng thực dựa trên chip.

Quay trở lại năm 1956, George  A. Miller đã viết bài báo “Số 7 kỳ diệu, cộng hoặc trừ 2: Một số hạn chế về khả năng xử lý thông tin”,nó là một bài báo mô tả những gì hạn chế của khi muốn nhớ các mẩu thôngtịn. Một trong những kết luận trong bài báo là một người trung bình cókhả năng nhớ đến 7 mẩu thông tin  tại cùng một thời điểm sai số có thểcộng/trừ 2. Các nhà khoa học  khác sau đó đã cố gắng  để cải thiện, ngườitrung bình chỉ có thể nhớ 5 mẩu thông tin  tại một thời điểm. Mặc dùvậy, cách thừa nhận lý thuyết này thách thức đến những vấn đề liên quanđến độ dài và độ phức tạp đi kèm, cũng vấn đề này chúng ta có thể thấytrong rất nhiều bài báo khác.

Sự phức tạp thường được cho làmột trong những mối đe dọa lớn nhất đối với vấn đề bảo mật. Một trongnhững phạm vi mà chúng ta xem xét vấn đề này đã được chứng thực khingười dùng và các quản trị  viên yêu cầu phải tuân theo một chính sáchmật khẩu phức tạp. Cũng tại thời điểm này, vấn đề này luôn luôn nằmtrong danh sách top 5 các vấn đề đối với việc trợ giúp của bất cứ mộttổ chức nào đó. Gartner và Forrester dự đoán rằng các cuộc gọi đến độihỗ trợ (hay nhóm trợ giúp) có liên quan đến việc quên mật khẩu  tiêu tốnđến xấp xỉ 10$ cho mỗi cuộc gọi. Vậy thì việc tiến hành một phân tíchlợi ích về giá chi phí cho một chính sách mật khẩu  hiện hành của một tổchức là một việc nên làm lúc này.

Mật khẩu sẽ là một cơ chếchứng thực đích thực khi độ dài của mật khẩu  lớn hơn 15 ký tự và có ítnhất một ký tự không thuộc bảng chữ cái tiếng anh. Các cụm sử dụng làmật khẩu dài nên phải đảm bảo là các ký tự mà người dùng  có thể nhớ nómột cách dễ dàng. Điều này sẽ bảo đảm rằng hầu hết các tấn công  “cầuvồng”, thậm chí các tấn công  8-bit đều sẽ bị thất bại, nhờ có bổ sungthêm sự phức tạp bởi các ký tự khác.

Lưu ý:
Từkhi có Windows  2000, mật khẩu  có thể được hỗ trợ đến 127 ký tự. Mặc dùvậy lý do  tại sao các mật khẩu  chỉ là một cơ chế chứng thực không đủ làbởi vì người dùng  thường nhớ không tốt cũng như bảo vệ các mật khẩukhông an toàn. Có thể bạn cũng thấy rằng mật khẩu  không được bảo vệ mộtcách thích hợp. Tuy nhiên may thay chúng ta có một số giải pháp bảo mậtkhác sẽ cho phép nâng cao cả khả năng bảo mật  lẫn sự thuận tiện bằngviệc sử dụng một mật khẩu  ngắn dễ nhớ.

Mộttrong những giải pháp bảo mật  này là chứng thực dựa trên chip, đây làphương pháp thường được cho là chứng thực hai hệ số. Chứng thực hai hệsố này sử dụng sự kết hợp các thành phần dưới đây:

1. Có thể là một thẻ thông minh  hoặc USB  token

2. Đôi khi là số nhận dạng cá nhân  (PIN). PIN  có thể cho phép người dùng  truy cập  chứng chỉ số đã được lưu trên thẻ thông minh.

Hình1 minh chứng cho bạn thấy được hai giải pháp khác nhau, tuy nhiên cơbản mà nói nó có cùng một công nghệ. Nói đúng ra, nó chỉ khác nhau vềhình dáng, giá thành và một số thành phần tạo nên sự khác nhau, mặc dùmỗi một giải pháp có thể có một số tính năng bổ sung mà chúng ta sẽ xemxét dưới đây.

Ví dụ về thẻ thông minh  có thể được sử dụng cho cả việc chứng thực từ xa và chứng thực Windows, truy cập  vật lý và thanh toán.

Ví dụ về USB  token với cả chứng thực dựa trên chip  và bộ nhớ flash  để lưu trữ  được các file và tài liệu…

Hình 1: Hai ví dụ về các thiết bị chứng thực dựa trên chip

Cả thẻ thông minh  và USB  token đều có chip  đi kèmtheo. Chip  này cần phải có một bộ vi xử lý  32 bit và thông thường cóEEPROM (Electrically Erasable Programmable Read-only Memory) cỡ khoảng32KB hoặc 64KB, chip  RAM  được nhúng trên thẻ thông minh  hoặc USB  token.Ngày nay cũng có các thẻ thông minh  hoặc USB  token có thể nên đến 256KBRAM cho việc bảo đảm lưu trữ  dữ liệu.

Lưu ý:
Khinói về việc lưu trữ  trong bài này, chúng ta chỉ nói đến việc lưu trữđược nhúng trong chip  bảo mật  chứ không phải bản thân  thiết bị.

Chipnày có một hệ điều hành  nhỏ và bộ nhớ để lưu các chứng chỉ, chứng chỉnày lại được sử dụng cho việc chứng thực. Hệ điều hành  trên chip  khácnhau giữa những hãng sản xuất khác nhau, chính vì vậy phải bản đảm rằngbạn có sử dụng CSP (Cryptographic Service Provider) trong Windows,thành phần hỗ trợ hệ điều hành  trên chip. Chúng ta sẽ xem xét đến CSPtrong phần tiếp theo. Giải pháp dựa trên chip  có một số ưu điểm so vớicác giải pháp chứng thực đa hệ số khác vì nó có thể được sử dụng để lưucác chứng chỉ cho việc chứng thực, nhận dạng và chữ ký. Như đã đề cập ởtrên, mọi thứ đều được bảo vệ bởi PIN, PIN  có thể cho phép người dùngtruy cập vào dữ liệu  được lưu trên chip. Vì một tổ chức thường duy trìvà phát hành các thẻ thông minh  hoặc USB  token cho chính họ nên họ cũngđịnh nghĩa chính sách nào đó liên quan với giải pháp. Ví dụ như các thẻcó thể bị khóa hoặc bị xóa sau một số lần nhập sai mã PIN. Vì bạn cóthểkết hợp các chính sách này với PIN, nên độ dài của PIN  có thể ngắnhơn và như vậy sẽ dễ nhớ hơn mà không dễ bị xâm phạm bảo mật. Tất cảcác tham số này được lưu trên thẻ thông minh  khi nó được phát hành.Giải pháp dựa trên chip  cũng chịu được những vấn đề sửa chữa can thiệp,vì vậy ngoài PIN  đúng, dữ liệu  (các chứng chỉ và thông tin  cá nhân)được lưu trên chip  đều không thể truy cập  và như vậy không thể dùngđược vào việc gì khác.

Mộtsự khác nhau giữa thẻ thông minh  và USB  token là hình dáng ngoài. Cảhai giải pháp đều giải quyết nhu cầu cơ bản, với khía cạnh chứng thựchai hệ số nhưng mỗi một giải pháp đều có những ưu điểm riêng cũng nhưnhững nhược điểm riêng. Thẻ thông minh  có thể được sử dụng cho việcnhận dạng ảnh, vì bạn có thể in ảnh và tên lên nó. Còn USB  token có thểcó bộ nhớ flash  cho việc lưu trữ  được các tài liệu  và file khác. Cả haithiết bị đều được sử dụng cho việc điều khiển truy cập  vật lý theo cáchriêng của chúng. Thẻ thông minh  cũng có thể có một mạch điện, nam châmtừ tính, mã vạch như thiết bị USB.

Thẻthông minh yêu cầu một bộ đọc thẻ, trong khi đó USB  token có thể sửdụng cổng USB  hiện có trên máy tính  và đó là vấn đề để giải pháp nàycạnh tranh với bộ đọc thẻ thông minh. Ngày nay, các bộ đọc thẻ thôngminh nên cần sử dụng các giao diện  như PC Card, ExpressCard, USB  hoặcđược xây dựng  kèm, một số hãng máy tính  notebook và bàn phím  đã thựchiện mô hình của họ. Các bộ đọc thẻ thông minh  được xem như các thiếtbị Windows, độc lập  hoàn toàn với hệ điều hành  chip  và chúng có bộ môtả bảo mật  và bộ nhận dạng PnP. Cả bộ đọc và USB  token đều cần đến mộtdriver thiết bị Windows  trước khi chúng có thể được sử dụng và bạn cũngnên luôn bảo đảm sử dụng các driver mới nhất, vấn đề này xuất phát từnhững lý do  về hiệu suất  trong suốt việc chứng thực hai hệ số.

Giáthành chi phí ban đầu có thể bị ảnh hưởng đôi chút khi bạn chọn giảipháp chip  để sử dụng. Thẻ thông minh  và thẻ tín dụng cơ bản tương tựnhau. Rất nhiều công ty  sử dụng thẻ thông minh  cho việc truy cập  vật lýtại văn phòng  và thanh toán tiền cho bữa trưa,…. Điều đó có nghĩa rằngnó có cả những giá trị  thuận tiện cũng như tiền tệ và do đó người dùngcó thể bảo vệ và chỉ cần mang thẻ thông minh  của họ luôn bên mình mọilúc. Nó cũng thích hợp khi mang trong ví, điều đó cũng giúp nó có thểđược bảo vệ một cách tốt hơn.

Khi chọn giải pháp chứng thực dựa trên chip, có một số vấn đề và một số lời khuyên mà bạn nên xem xét ở đây:

1. Khả năng tương thích- Phải bảo đảm rằng hệ điều hành  chip  tương thích với CSP mà bạn muốnsử dụng. Trong phần tiếp theo của loạt bài này, chúng tôi  sẽ giới thiệuđến CSP, phần mềm liên thông giữa hệ điều hành  chip  và Windows  và nócũng có trách nhiệm cho chính sách bảo mật  đang được áp dụng cho chip.

2. Vấn đề quản lý- Nếu bạn phải bổ sung thêm các thẻ thông minh  hoặc USB  token để sửdụng cho nhiều người thì hãy chọn hệ điều hành  chip  tương thích vớiCard Management  System  (CMS) mà bạn đã chọn.

3. Khả năng mở rộng- Bảo đảm rằng hệ điều hành  chip  có thể được sử dụng bởi tất cả các ứngdụng yêu cầu và những nhu cầu chứng thực mà bạn cần. Bạn có thể cónhững nhu cầu trong tương lai cho việc bổ sung thêm các chứng chỉ bổsung đối với thẻ thông minh  hoặc USB  token này, chẳng hạn như việc kývà mã hóa trong email. Kiểm tra các chi tiết kỹ thuật  DoD Common AccessCard (CAC), những chi tiết đã được sử dụng để lưu rất nhiều thông tinvề người dùng. Hãy bảo đảm cân nhắc những vấn đề riêng tư khi bổ sungthêm thông tin. Chúng ta sẽ xem xét đến vấn đề này trong phần sau.

4. Khả năng sử dụng- Bảo đảm chọn và bổ sung một giải pháp dựa trên chip, giải pháp cho cảviệc thân thiện cho người dùng  và khả năng thao tác. Một trong nhữngthách thức lớn nhất với các giải pháp chứng thực đa hệ số là mọi ngườiđều có một khuynh hướng quên hoặc mất thẻ thông minh  hay thiết bị USBcủa họ hoặc quên PIN  nếu nó không được sử dụng thường xuyên.

Kết luận

Trongphần tiếp theo, chúng tôi  sẽ giới thiệu  cho bạn cách thao tác tốt nhấtkhi bổ sung thêm các thẻ thông minh  hoặc USB  token vào môi trườngWindows, ngoài ra cũng sẽ giới thiệu  cách cấu hình một CSP client vànhững khác nhau giữa cấu hình CSP trong Windows  XP/Windows Server  2003và Windows  Vista/Windows Server  2008.

Hiện tại chưa có bình luận nào về bài viết Chứng thực đa hệ số trong Windows - Phần 1: USB token và các thẻ thông minh!

Bạn có ý kiến gì về bài viết Chứng thực đa hệ số trong Windows - Phần 1: USB token và các thẻ thông minh này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Chứng thực đa hệ số trong Windows - Phần 1: USB token và các thẻ thông minh bạn tại đây.