Đề tài : Identification and Authentication Failures (Lỗi nhận dạng và xác thực) | Đại học Kinh tế Kỹ thuật Công nghiệp
Lỗi nhận dạng và xác thực có thể gây ra các vấn đề nghiêm trọng cho bảo mật thông tin của tổ chức. Việc áp dụng các biện pháp bảo mật phù hợp và quy trình quản lý tài khoản hiệu quả có thể giảm thiểu rủi ro và bảo vệ thông tin nhạy cảm.
Preview text:
lOMoARcPSD|468 843 48 BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC KINH TẾ-KỸ THUẬT CÔNG NGHIỆP
KHOA CÔNG NGHỆ THÔNG TIN ----- -----
MÔN: THỰC TẬP AN TOÀN THÔNG TIN
Đề tài : Identification and Authentication Failures
(Lỗi nhận dạng và xác thực) Lớp: DHTI14A7HN
Giảng viên hướng dẫn: Đạo Thụy Ánh Nhóm 6: 1. Nguyễn Văn Kiên 2. Bùi Gia Khiêm 3. Phan Hùng Thi 4. Lê Đức Tuấn
HÀ NỘI, ngày……tháng 12 năm 2023. lOMoAR cPSD| 46884348 MỤC LỤC
PHẦN 1. MỞ ĐẦU.......................................................... . 2
1.1 Lý do chọn đề tài...................................................................... .............................. 2
1.2 Mục tiêu nghiên cứu................................................................................................. 2
1.3 Nhiệm vụ của đề tài................................................................. ................................ 2
PHẦN 2. NỘI DUNG......................................................... 3 2.1
Lỗi nhận dạng và xác thực là gì ?....................................................................... 3 2.2
Mô tả lỗi............................................................................................................... 3
2.2.1 Nguyên nhân lỗi nhận dạng và xác thực................................................................ 3
2.2.2 Các loại lỗi nhận dạng và xác thực....................................................................... 7
2.2.3 Vấn đề khi mắc phải lỗi.......................................................................................... 8
2.2.4 Mô tả chi tiết về lỗi nhận dạng và xác thực........................................................... 8 2.3
Cách giảm thiểu rủi ro......................................................................................... 9 2.4
Demo Lỗi........................................................................................................... 10
PHẦN 3. KẾT LUẬN............................................................................................................. ... 15 PHẦN 1. MỞ ĐẦU
1.1 Lý do chọn đề tài.
– Identification and Authentication Failures hay còn gọi là lỗi nhận dạng và xác
thực, là một lỗi thường gặp của những người hay sử dụng mạng xã hội,… .
Nhưng lỗi này lại không được mọi người coi là một lỗi quan trọng khi bị mắc
phải, khi người dùng bị dính lỗi này ngoài trường hợp đơn giản thì người
dùng có thể bị đánh cắp thông tin, xóa các xác thực, bảo mật trong một hệ
thống của công ty hay cá nhân có thể gây ảnh hưởng nghiêm trọng về kinh tế
của một công ty hay một quốc gia.
1.2 Mục tiêu nghiên cứu.
– Giúp cho sinh viên chúng em nắm vững những nội dung chủ yếu sau:
Biết được lỗi nhận dạng và xác thực là gì.
Vấn đề khi mắc phải lỗi này.
Nguyên nhân của bị mắc phải lỗi. 1 lOMoAR cPSD| 46884348
Các loại lỗi nhận dạng và xác thực. Cách ngăn chặn.
1.3 Nhiệm vụ của đề tài
– Hiểu được tầm quan trọng khi bị mắc phải lỗi nhận dạng và xác thực.
– Nhận định được lỗi nhận dạng và xác thực.
– Biết được nguyên nhân mắc lỗi.
– Cách khắc phục và phòng tránh. 2 lOMoAR cPSD| 46884348 PHẦN 2. NỘI DUNG
2.1 Lỗi nhận dạng và xác thực là gì ?
– Lỗi nhận dạng, ngay từ chính cái tên, cho thấy hệ thống thiếu khả năng nhận
dạng người dùng. Tương tự, lỗi xác thực có nghĩa là ứng dụng không có khả
năng xác thực danh tính của người dùng như của chính họ.
– Hãy lấy ví dụ để làm rõ điều này : Một người dùng nhập tên người dùng không
chính xác tại dấu nhắc của màn hình đăng nhập nhưng vào trang Web thành công
là một là một trường hợp điển hình của lỗi nhận dạng và xác thực. Ứng dụng tên
người dùng hoặc ID người dùng để nhận dạng người dùng đã đăng ký.
– Tương ứng, việc người dùng nhập sai mật khẩu tại dấu nhắc gợi ý nhưng vẫn có
thể đăng nhập vào trang web là một ví dụ về lỗi xác thực. Trong trường hợp
này, ứng dụng không xác thực được chính xác danh tính của người dùng,
khiến cho việc đăng nhập bị nhầm lẫn. 2.2 Mô tả lỗi
2.2.1 Nguyên nhân lỗi nhận dạng và xác thực
– Lỗi người dùng : Người dùng có thể nhập sai thông tin nhận dạng hoặc xác
thực, chẳng hạn như mật khẩu hoặc mã PIN. 3 lOMoAR cPSD| 46884348
Lỗi nhập : Lỗi này xảy ra khi người dùng có thể dẫn đến sai sót dữ liệu,
điều này có thể gây ra các vấn đề nghiêm trọng. Ví dụ, một người dùng
có thể nhập sai tên người dùng hoặc mật khẩu. Hình 1.1 Lỗi nhập
Lỗi thao tác : Lỗi này xảy ra khi người dùng thao tác sai với hệ thống hoặc
ứng dụng. Ví dụ, một người dùng có thể cố gắng truy cập vào một
trang web hoặc ứng dụng mà họ không có quyền truy cập. 4 lOMoAR cPSD| 46884348
Lỗi hiểu : Lỗi này xảy ra khi người dùng không hiểu cách sử dụng hệ thống
hoặc ứng dụng. Ví dụ, một người dùng có thể không biết cách hoàn thành
một nhiệm vụ cụ thể. Hình 1.2 Lỗi hiểu
Lỗi chú ý : Lỗi này xảy ra khi người dùng cố tình làm sai hệ thống
hoặc ứng dụng. Ví dụ, một người dùng có thể cố gắng xâm nhập vào
một hệ thống hoặc ứng dụng.
– Lỗi hệ thống : Hệ thống có thể không được cấu hình đúng cách hoặc có thể có lỗi phần mềm.
Lỗi chức năng : Lỗi này ngăn hệ thống thực hiện chức năng dự định. Ví
dụ, mỗi lỗi chức năng có thể khiến một ứng dụng web không tải được hoặc
một máy tính không khởi động được.
Lỗi hiệu suất : Lỗi này làm giảm hiệu suất của hệ thống. Ví dụ, một lỗi
hiệu suất có thể khiến một ứng dụng web chạy chậm hoặc một máy tính bị treo. 5 lOMoAR cPSD| 46884348
Lỗi an ninh : Lỗi này khiến hệ thống dễ bị tấn công. Ví dụ, một lỗi an ninh
có thể cho phép hacker truy cập trái phép vào dữ liệu hoặc hệ thống.
Lỗi độ tin cậy : Lỗi này làm giảm độ tin cậy của hệ thống. Ví dụ, một lỗi
độ tin cậy có thể khiến một hệ thống bị lỗi ngẫu nhiên hoặc không thể khôi phục sau khi bị lỗi.
– Tấn công mạng : Kẻ tấn công có thể cố gắng đánh cắp thông tin nhận dạng
hoặc xác thực của người dùng.
Tấn công bằng phần mềm độc hại : Đây là loại tấn công phổ biến nhất. Phần
mềm độc hại là bất kỳ chương trình máy tính nào được thiết kế để gây hại cho
hệ thống. Phần mềm độc hại có thể được phần phối thông qua nhiều cách khác
nhau, chẳng hạn như email, tin nhắn, trang web hoặc ứng dụng độc hại. Một
khi phần mềm độc hại được cài đặt trên hệ thống, nó có thể được sử dụng để
đánh cắp dữ liệu, phá hủy dữ liệu hoặc kiểm soát hệ thống.
Tấn công từ chối dịch vụ (DdoS) : Loại tấn công này nhằm mục đích làm
gián đoạn hoặc vô hiệu hóa dịch vụ. Các cuộc tấn công DdoS thường được
thực hiện bằng cách sử dụng mọt lượng lớn lưu lượng truy cập internet đến
một máy chủ hoặc mạng. Điều này có thể khiến máy chủ hoặc mạng bị
quá tải và không thể xử lý các yêu cầu hợp pháp.
Tấn công xâm nhập : Loại tấn công này nhằm mục đích xâm nhập vào hệ
thống mà không bị phát hiện. Các cuộc tấn công xâm nhập thường được
thực hiện bằng cách khái thác các lỗ hổng bảo mật trong hệ thống. Một
khi hacker đã xâm nhập vào hệ thống, họ có thể đánh cắp dữ liệu, phá hủy
dữ liệu hoặc kiểm soát hệ thống.
Tấn công lừa đảo : Loại tấn công này nhằm mục đích lừa đảo người dùng
cung cấp thông tin nhạy cảm. Các cuộc tấn công lừa đảo thường được
thực hiện bằng cách gửi email hoặc tin nhắn giả mạo có vẻ như đến từ một
nguồn đáng tin cậy. Các email hoặc tin nhắn này thường yêu cầu người
dùng cung cấp thông tin nhạy cảm, chẳng hạn như tên người dùng, mật
khẩu hoặc thẻ tín dụng. 6 lOMoAR cPSD| 46884348
2.2.2 Các loại lỗi nhận dạng và xác thực
– Lỗi nhận dạng : Hệ thống không thể xác định danh tính của một người hoặc
thiết bị. Lỗi này có thể xảy ra do người dùng nhập sai thông tin nhận dạng,
chẳng hạn như tên người dùng hoặc mật khẩu.
Người dùng nhập sai thông tin nhận dạng: Đây là nguyên nhân phổ biến
nhất của lỗi nhận dạng. Khi người dùng nhập sai tên người dùng hoặc
mật khẩu, hệ thống sẽ không thể xác định được họ là ai và do đó sẽ
không cho phép họ truy cập vào hệ thống.
Thông tin nhận dạng bị thay đổi: Thông tin nhận dạng của người dùng có
thể bị thay đổi theo thời gian, chẳng hạn như họ thay đổi tên hoặc mật khẩu.
Nếu hệ thống không được cập nhật với thông tin nhận dạng mới, thì nó sẽ
không thể xác định được người dùng là ai và do đó sẽ không cho phép họ truy cập vào hệ thống.
Hệ thống gặp vấn đề: Lỗi nhận dạng cũng có thể xảy ra do hệ thống gặp
vấn đề, chẳng hạn như lỗi phần mềm hoặc lỗi phần cứng. Nếu hệ thống
không thể xử lý thông tin nhận dạng một cách chính xác, thì nó sẽ không
thể xác định được người dùng là ai và do đó sẽ không cho phép họ truy cập vào hệ thống.
– Lỗi xác thực : Hệ thống xác định sai danh tính của một người hoặc thiết bị.
Lỗi này có thể xảy ra do kẻ tấn công giả mạo thông tin nhận dạng của người dùng.
Kẻ tấn công giả mạo thông tin nhận dạng của người dùng. Đây là
nguyên nhân phổ biến nhất của lỗi xác thực. Kẻ tấn công có thể sử dụng
thông tin cá nhân bị đánh cắp, chẳng hạn như tên người dùng, mật khẩu,
hoặc mã xác thực hai yếu tố (2FA), để giả mạo danh tính của người dùng.
Hệ thống xác thực có lỗ hổng bảo mật. Lỗ hổng bảo mật trong hệ
thống xác thực có thể cho phép kẻ tấn công truy cập vào hệ thống mà
không cần thông tin nhận dạng hợp lệ.
Người dùng nhập sai thông tin nhận dạng. Ngươi dùng có thể vô tính
nhập sai thông tin nhận dạng, chẳng hạn như mật khẩu hoặc mã PIN 7 lOMoAR cPSD| 46884348
2.2.3 Vấn đề khi mắc phải lỗi
– Từ chối truy cập : Nếu một hệ thống nhân dạng hoặc xác thực không chính xác,
người dùng có thể bị từ chối truy cập vào tài khoản hoặc dịch vụ của họ. Điều
này có thể gây ra sự gián đoạn và bất tiện cho người dùng, cũng như tổn nhất doanh thu cho tổ chức
– Tấn công mạng : Lỗi nhận dạng và xác thực có thể bị kẻ tấn công khai thác để
xâm nhập vào hệ thống hoặc đánh cắp dữ liệu. Điều này có thể dẫn đến tổn
thất tài chính, danh tiếng và uy tín cho tổ chức.
– Rủi ro quản lý : Trong một số trường hợp, lỗi nhận dạng và xác thực có thể dẫn
đến trách nhiệm pháp lỹ cho tổ chức. Ví dụ : Nếu một hệ thống xác thực không
chính xác khiến một người bị kết tội sai, tổ chức có thể bị kiện.
– Tôi phạm : Lỗi xác thực có thể bị kẻ tấn công khai thác để truy cập trái phép
vào tài nguyên hoặc dịch vụ.
– Mất dữ liệu : Lỗi xác thực có thể dẫn đến việc dữ liệu bị mất hoặc bị rò rỉ.
2.2.4 Mô tả chi tiết về lỗi nhận dạng và xác thực
– Việc xác nhận danh tính, xác thực và quản lý phiên của người dùng là rất
quan trọng để bảo vệ khỏi các cuộc tấn cong liên quan đến xác thực. Có
thể có điểm yếu xác thực nếu ứng dụng:
Cho phép các cuộc tấn công tự động như nhồi thông tin xác thực,
trong đó kẻ tấn công có danh sách tên người dùng và mật khẩu hợp lệ.
Cho phép dùng vũ lực hoặc các cuộc tấn công tự động khác.
Cho phép mật khẩu mặc định, yếu hoặc phổ biến, chẳng hạn
như “Password1” hoặc “admin/admin”.
Sử dụng các quy trình khôi phục thông tin xác thực yếu hoặc không
hiệu quả và quên mật khẩu, chẳng hạn như “câu trả lời dựa trên kiến
thức” không thể đảm bảo an toàn.
Sử dụng kho lưu trũy dữ liệu mật khẩu ở dạng văn bản thuần túy,
được mã hóa hoặc được băm yếu.
Xác thực đa yếu tố bị thiếu hoặc không hiệu
quả. Hiển thị mã định danh phiên trong URL. 8 lOMoAR cPSD| 46884348
Sử dụng lại mã định danh phiên sau khi đăng nhập thành công.
Không vô hiệu hóa ID phiên một cách chính xác. Phiên người dùng
hoặc mã thông báo xác thực (chủ yếu là mã thông báo đăng nhập một
lần (SSO)) không bị vô hiệu hóa đúng cách khi đăng xuất hoặc trong
khoảng thời gian không hoạt động.
2.3 Cách giảm thiểu rủi ro
– Sử dụng các phương pháp nhận dạng và xác thực mạnh mẽ : Các phương
pháp như xác thực hai yếu tố (2FA) hoặc xác thực sinh trắc học có thể
giúp giảm thiểu khả năng xảy ra lỗi.
– Thường xuyên cập nhật phần mềm : Các bản cập nhật phần mềm thường
bao gồm các bản vá bảo mật giúp bảo vệ hệ thống khỏi các lỗ hổng có
thể bị khai thác để gây ra lỗi nhận dạng và xác thực.
– Nếu có thể, hãy triển khai xác thực đa yếu tố để ngăn chặn các cuộc tấn
công nhồi thông tin xác thực tự động, bạo lực và sử dụng lại thông tin
xác thực bị đánh cắp.
– Không gửi hoặc triển khai bằng bất kỳ thông tin xác thực mặc định nào, đặc
biết đối với dùng quản trị.
– Thực hiện kiểm tra mật khẩu yếu, chẳng hạn như kiểm tra mật khẩu mới
hoặc đã thay đổi dựa trên danh sách 10000 mật khẩu tệ nhất.
– Căn chỉnh các chính sách về độ dại, độ phức tạp và luân chuyển mật khẩu
với hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc Gia (NIST) 800-
63b trong phần 5.1.1 đối với Bí mật được ghi nhớ hoặc các chính sách
mật khẩu hiện địa, dựa trên bằng chứng khác.
– Đảm bảo việc đăng ký, khôi phục thông tin xác thực và đường dẫn API
được tăng cường chống lại các cuộc tấn công liệt kê tài khoản bằng cách
sử dụng cùng một thông báo cho tất cả các kết quả.
– Hạn chế hoặc ngày càng trì hoãn các lần đăng nhập không thành công,
nhưng hãy cẩn thận để không tạo ra kịch bản từ chối dịch vụ. Ghi lại tất
cả các lỗi và cảnh báo cho quản trị viên khi phát hiện việc nhồi thông tin
xác thực, bạo lực hoặc các cuộc tấn công khác. 9 lOMoAR cPSD| 46884348
– Sử dụng trình quản lý phiên tích hợp, an toàn, phía máy chủ để tạo ID phiên
ngẫu nhiên mới vào entropy cao sau khi đăng nhập. Mã nhận dạng phiên
không được có trong URL, được lưu trữ an toàn và bị vô hiệu hóa sau
khi đăng xuất, không sử dụng và hết thời gian chờ tuyệt đối.
– Sử dụng mật khẩu mạnh : Mật khẩu nên được thay đổi ít nhất ba tháng một lần.
– Sử dụng xác thực hai yếu tố (2FA) : 2FA thêm một lớp bảo mật bổ sung
bằng cách yêu cầu người dùng nhập mã xác minh ngoài mật khẩu của họ.
– Tắt các tính năng xác thực không cần thiết : Các tính năng xác thực không
cần thiết, chẳng hạn như xác thực dựa trên vị trí, có thể dễ bị khai thác.
– Cập nhật phần mềm thường xuyên : Các bản cập nhật phần mềm thường
bao gồm các bản sửa lỗi cho các lỗ hổng bảo mật. 2.4 Demo Lỗi
- Lỗi người dùng : Nhập quá số lần quy định
Hình 2.1 Form Demo Đăng nhập quá số lần quy định
Nếu mà người dùng đăng nhập quá số lần quy định (5 lần ) thì sẽ
bị khóa chức năng đăng nhập. 10 lOMoAR cPSD| 46884348
Hình 2.2 Đăng nhập quá số lần quy định
- Lỗi hệ thống : Hệ thống không được cấu hình đúng
cách Lỗi hệ thống chia một số cho 0
Hình 2.3 Lỗi hệ thống chia một số cho 0 Lỗi tham chiếu null 11 lOMoAR cPSD| 46884348
Hình 2.4 Lỗi tham chiếu null Lỗi hết bộ nhớ
Hình 2.5 Lỗi hết bộ nhớ
- Lỗi tấn công mạng : Người dùng click vào một nút bất kỳ và sẽ tự động tải
một ứng dụng mà người tấn công muốn người dùng tải 12 lOMoAR cPSD| 46884348
Khi người click vào nút “Test” thì sẽ tự động tải một ứng
dụng chrome.exe về máy tính
Hình 2.6 Người dùng click vào nút “Test”
Sau khi người dùng click vào nút “Test” thì sẽ tự động tải một
file chrome.exe về máy ở trong ổ C:\Temp\chrome.exe 13 lOMoAR cPSD| 46884348
Hình 2.7 Ứng dụng chrome đã được tự động tải về máy PHẦN 3. KẾT LUẬN
Identification and Authentication Failures hay còn gọi là lỗi nhận dạng và xác thực, là
một lỗi thường gặp của những người hay sử dụng mạng xã hội,… . Nhưng lỗi này lại
không được mọi người coi là một lỗi quan trọng khi bị mắc phải, khi người dùng bị 14 lOMoAR cPSD| 46884348
dính lỗi này ngoài trường hợp đơn giản thì người dùng có thể bị đánh cắp thông tin,
xóa các xác thực, bảo mật trong một hệ thống của công ty hay cá nhân có thể gây ảnh
hưởng nghiêm trọng về kinh tế của một công ty hay một quốc gia.Nhưng vẫn có một
một số biện pháp có thể được thực hiện để ngăn ngừa lỗi này, bao gồm đào tạo người
dùng, cấu hình hệ thống đúng cách và sử dụng các phương thức xác thực mạnh mẽ,
có như vậy thì việc gặp phải lỗi này sẽ giảm đi đáng kể tránh mất mát thông tin ảnh
hưởng đến cá nhân hay một tập thể.