Cơ bản về bảo mật

u/GoOtterGo (9.1k points)

Thứ mà bạn biết, thứ mà bạn có, thứ mà chứng tỏ là bạn. Đây chính là 3 loại yếu tố dùng để xác thực trong bảo mật.

Với thẻ ngân hàng và mã PIN ATM, bạn đã xác thực với 2 yếu tố (có và biết ), đó là lí do bạn chỉ cần 1 cái mã đơn giản để bắt đầu giao dịch.

Còn với các mật khẩu trực tuyến khác thì bạn chỉ xác thực qua 1 yếu tố (biết), vậy nên mật khẩu của bạn phải thật dài dòng, nhiều kí tự, chữ số để bù đắp cho việc bỏ qua 2 yếu tố kia đó.

>u/gradschoolanxiety (1.7k points)

'Thứ mà chứng tỏ là bạn' ở đây là sinh trắc học hả?

>>u/Thenuttyp (1.4k points)

Chuẩn rồi. Quét võng mạc hoặc vân tay có thể tính là 'thứ mà chứng tỏ là bạn'.

>>>u/dangerdub (864 points)

Ngoài ra còn có:

- Nhận dạng khuôn mặt (nhận dạng 3d thì tiến bộ điên rồ lâu nay rồi)

- Nhận diện giọng nói

- Cách gõ phím

- Chữ ký (đối chiếu với hồ sơ)

>>>>u/DownvotesForGood (745 points)

Cái gì cơ. Cách gõ phím? Kiểu như giờ tôi gõ 1 câu gì đó, nhịp điệu của cách tôi gõ có thể xác minh tôi là ai à?

Tôi nói vậy có đúng không? Điều này có thật à?

>>>>>u/nnadeau (632 points)

Gần như là vậy đấy. Giống như chữ viết tay hay cách di chuột thôi, hệ thống được đào tạo tương đối để nhận biết mà, khó giả mạo lắm.

>>>>>u/AnalSyrup (49 points)

Captcha hoạt động theo cách đó đấy. Captcha éo quan tâm gì lắm về việc bạn có chọn chính xác hình nào có cái xe nào đâu, cách bạn di chuyển chuột và nhấp, gõ với tốc độ như một người bình thường mới là thứ nó quan tâm nhất. Mấy thứ đó khó nhằn với tụi ''robot'' lắm.

>>>>>>u/Nuhjeea (7 points)

Nếu điều này là đúng thì thế éo nào nó luôn bắt tôi phải nhập lại hết lần này đến lần khác vì lỗi nhập sai thế?

>>>>>>>u/k9centipede (7 points)

Có 2 hệ thống lận. Hệ thống này sẽ lấy dữ liệu từ hệ thống kia để kiểm tra xem bạn nhập có đúng không.

>>>>>u/Tim_Burton (19 points)

Theo tôi biết thì đây là cách mà Catcha ''I'm not a robot'' mới của Google hoạt động:

Nó âm thầm ghi lại cách bạn di chuyển chuột và gõ phím, sau đó so sánh với cách di chuyển ngay trước khi nhấp vào cái hộp. Cũng vì vậy nên khi sử dụng VPN, bạn hay thất bại trong việc nhập captchas do địa chỉ IP đó khiến Google không thể liên kết cách bạn di chuyển chuột
và nhịp gõ phím lại được.

>u/How_About_We_Dont (241 points)

Thực ra còn một yếu tổ xác thực khác đấy. Đó là ''vị trí của bạn'' và thường được dùng để xác thực GPS. Dù ít phổ biến nhưng đây là một phương pháp có tính bảo mật rất cao khi kết hợp với 3 yếu tố kia đó nha.

>>u/sirgog (124 points)

Vị trí của bạn thường được dùng với các vị trí thực tế của máy ATM nữa (Nếu bạn thường rút tiền ở Úc nhưng đột nhiên thẻ của bạn lại được sử dụng tại Philippines thì nhóm bảo mật sẽ chú ý ngay đấy).

>u/wolfmann (16 points)

Tôi là Nữ hoàng Anh đấy - Ừ ừ

Tôi là Nữ hoàng Anh và tôi có mã PIN nè - Ừ có vẻ đúng là nữ hoàng rồi.

Tôi là Nữ hoàng Anh và tôi có mã PIN, thẻ đúng, vân tay đúng - Kính thưa Nữ hoànggggggggg!

____________________

u/Yamatjac (4.8k points - x1 gold)

Có 1 loại tấn công được gọi là Brute Force. Nó hoạt động bằng cách thử tất cả các chuỗi số để tìm ra mật khẩu. Thường thì mọi người sẽ bắt đầu thử với những mật khẩu phổ biến như 0000, 1111, 2222, 1234,... sau đó mới bắt đầu thử các mật khẩu khác.

Khi bạn sử dụng mã PIN để giao dịch thì trong tay bạn đã có sẵn thẻ ngân hàng rồi. Lỡ mà có nhập quá số lần thì tài khoản sẽ bị khóa cho đến khi bạn ra ngân hàng để mở lại. Vậy nên nếu có ai đó cố gắng đoán mật khẩu của bạn thì thằng đó chỉ có 0,05% thành công thôi, cùng với đó thì nó còn phải cần cả cái thẻ của bạn nữa mới mở được. Thử quá 5 lần thì cái thẻ đó vô dụng với tên trộm vì khi thẻ bị khóa, bạn thì mất thẻ, bạn ra ngân hàng, bạn có thẻ mới, thẻ cũ vứt đi.

Còn với mấy cái tài khoản trực tuyến thì nó khác một chút. Tất nhiên là ai trong chúng ta cũng có thể quên mật khẩu và khiến tài khoản bị khóa. Nhưng mà tụi nó không hack tài khoản bằng cách đó đâu. Giờ thì cùng tìm hiểu về hàm băm mật khẩu (Password Hashing) nhé.

Thông thường, khi bạn đăng ký tài khoản ở một cái trang nào đó, mật khẩu của bạn sẽ bị ''băm''. Vậy nên nếu mật khẩu Reddit của bạn là 123456, Reddit sẽ chỉ biết mật khẩu đó dưới dạng $2a$06$0JXJ7T//rMLelqOfaYYEw.cwQYivfp0KkJLcGaJwH/1kV8i5Oh3AS. Nghĩa là nếu có người hack Reddit và lấy được cơ sở dữ liệu mật khẩu thì họ cũng không thể biết mật khẩu của bạn là gì. Có lấy nguyên cái dãy kia để đăng nhập thì cũng chẳng được, vì dãy đó sẽ lại bị băm thành dãy khác, và điều đó sẽ đánh động sự chú ý Reddit liền.

Mật khẩu đã bị băm ra thì rất rất rất khó, gần như là không thể đảo ngược lại. Bất kể mật khẩu của bạn có dài bao nhiêu, hàm băm sẽ luôn có cùng độ dài. Vì vậy nhiều mật khẩu có thể dẫn đến chung 1 hàm băm. Điều đó dẫn đến việc chỉ có thể lấy mật khẩu người dùng thông qua tấn công Brute Force. Còn kỹ thuật đảo ngược hàm băm thì thuộc ELI35 cmnr, vậy nên tôi không giải thích ở đây được =))

Giờ trở lại với Brute Force, khi đám nào đó lấy được hàm băm của bạn, bọn nó sẽ không bị giới hạn số lần nhập sai nữa. Chúng sẽ viết một chương trình băm mật khẩu cho phép kiểm tra cả triệu mật khẩu mỗi giây. Máy xịn hơn thì chục tỷ mỗi giây, thậm chí là hơn. Đối với những mật khẩu ngắn, đơn giản thì sẽ mất vài giây. Kể cả có phức tạp hơn thì cũng chỉ mất vài ngày, vài tuần. Mà cũng chẳng lâu đến thế đâu. Vậy nên độ dài quan trọng hơn ký tự đó.

Bề mặt bảo mật mạng cơ bản là vậy đấy.

>u/blooooooooooooooop (185 points)

Đây chính là lí do mà mã ATM của tôi là 9999. Mò hộ cái!

>>u/Yamatjac (79 points)

Ông lỡ nói rồi còn đâu...

>>>u/blooooooooooooooop (32 points)

Lúc nào cũng phải đi trước lũ tội phạm 1 bước ông ạ.

>u/RiPont (71 points)

Dù ngân hàng có cho phép mã 4 số thì cũng đừng nên ngây thơ thế, đặt dài hơn đê.

Brute Force không phải là vấn đề duy nhất đâu. Thủ đoạn nhìn trộm qua vai (thường thì với skimmer và camera giấu kín) (trans: skimmer, một card reader được đặt tại khe cắm thẻ ATM. Khi bạn đưa thẻ vào trong khe, bạn đã vô tình làm thẻ đi qua một đầu đọc giả, đầu đọc thẻ này sẽ quét và ghi lại toàn bộ thông tin trong dải từ của thẻ) mới là mối đe dọa thực sự. Với mã 4 chữ số, nếu máy quay quay được 2 số, thì khi đó dùng Brute Force sẽ dễ dàng hơn rất nhiều. Còn với mã PIN 7 số thì sẽ dễ để Skimmer đọc sót vài số đủ để khó sử dụng brute force. Vậy nên cố gắng che mã PIN lại nhé.