Nhập-môn-an-toàn-thông-tin (1)

- Nhập môn an toàn thông tinĐề tài : Sử dụng kĩ thuật Bcrypt để mã hóa mật khẩu GVHD : Trần Vĩnh Đức Sinh viên thực hiện : Trần Bá Mạnh 20183589 Trần Quốc Giang 20183517 Phan Văn Chương 20183490Đặt vấn đềMật khẩu người dùng là dữ liệu rất quan trọng luôn được các đối tượng tấn côngnhắm tới=> Cần phải mã hóa mật khẩu khi lưu vào datase của ServerUser Password Real Passwordantonytran229 abcx33sxxdkf9922n33xskrotgnvk3n2 dt1996davidthai155 kflfhs22ma01kkdlo09nkdm1k3cm9dk iloveyou123alexanderdang109 utpwnak23jjlmd1nkl2ub4l52nln5m23l alexanderdang Database:Table account Real passwordĐặt vấn đềCần 1 thuật toán mã hóa mật khẩu đảm bảo :+Kẻ tấn công ngay cả khi biết được bản mã ,cách thức mã hóa và cách thức giải mã thìcũng không lấy được mật khẩu.
- Khi mã hóa 2 mật khẩu giống nhau thì cũng sinh ra các bản mã giống nhau.
- Mã hóa là 1 chiều ,hệ thống không có nhu cầu giải mã mật khẩu nên sử dụng cácthuật toán HashĐặt vấn đề*Các thuật toán Hash sử dụng phổ biến : MD5 ,SHA,…-Vấn đề :+Vì chỉ thực hiện hash mật khẩu nên sẽ dễ bị tấn công từ điển.Kẻ tấn công sẽ hashcác password tiềm năng để so khớp với database :+Có thể lập bảng tính toán trước RainBow Table các giá trị hash sau đó map vớidatabase để tìm mật khẩu+2 password giống nhau sẽ sinh ra cùng 1 bản hash value giống nhau.
- kẻ tấn côngcó thể dự đoán 1 phần của mật khẩu+Với CPU hiện đại , các thuật toan MD5 ,SHA cho kết quả hàng triệu phép Hash /giây.
- Biết hash vlue nhưng khó có thể tìm password-Không tồn tại 2 password khác nhau mà có hash value giống nhauHashingSalting-Là giá trị duy nhất cho mỗi user , được gắn vào cuối mật khẩu để thựchiện băm-Chống lại cách tấn công Rainbow Table .Kẻ tấn công có thể tấn côngđược 1 user với hiệu năng tinh toán lớn nhưng tấn công toàn bộ user làkhông khả thi .Salting+HashingQuy trình-User gửi plan-text password lên Server và over HTPPS-Server sẽ kiểm tra trong database, lấy ra salt của user đó-Server Hash(salt+password)-Compare kết quả trong databaseĐộ bảo mật-Bcrypt là thuật toán slow hash ,mất 0.1 s để tính toán hash value .Nên tấn côngBruteforce là không khả thi.-Sử dụng Salt làm giảm năng lực hạn chế việc tấn công Rainbow Table-Để hạn chế tấn công theo kiểu Dictionary Attacks , người dùng cần phải đặt mậtkhẩu mạnh , khó đoán

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt