Các thiết lập về chính sách mật khẩu trên Linux đều được lưu tại tệp “etc/login.defs”. Để tránh bị xâm phạm tài khoản, người dùng có thể đặt giới hạn thời gian liên quan đến mật khẩu như sau (truy cập tệp bằng câu lệnh “vi /etc/login.defs”):
- Số ngày tối đa mật khẩu có thể được sử dụng với tham số “PASS_MAX_DAYS”, ví dụ sau một khoảng thời gian đã được thiết lập thì mật khẩu bắt buộc phải thay đổi.
- Số ngày tối thiểu thay đổi mật khẩu với tham số “PASS_MIN_DAYS”, với thiết lập này thì mật khẩu của người dùng sẽ tồn tại trong khoảng thời gian đã được quy định và sau đó mới có thể đổi lại.
- Số ngày cảnh báo được đưa ra trước khi mật khẩu hết hạn với tham số “PASS_WARN_AGE”, như trong Hình 1 thông báo cảnh báo sẽ xuất hiện 3 ngày trước khi mật khẩu hết hạn.
Hình 1. Thiết lập thông số thời gian liên quan đến mật khẩu
Lưu ý rằng chính sách mật khẩu ở trên chỉ áp dụng đối với tài khoản được tạo mới, không có tác dụng đối với tài khoản đã tồn tại trên hệ thống, đối với các tài khoản này thì sử dụng câu lệnh như trong Hình 2.
Hình 2. Thiết lập chính sách mật khẩu đối với tài khoản đã tồn tại
- Đặt số ngày tối đa của mật khẩu: “chage -M <số ngày><tên người dùng>”.
- Đặt số ngày tối thiểu của mật khẩu: “chage -m <số ngày><tên người dùng>”.
- Đặt số ngày cảnh báo trước khi mật khẩu hết hạn: “chage -W<số ngày><tên người dùng> ”.
Với tùy chọn giới hạn sử dụng mật khẩu cũ, người dùng sẽ không thể thiết lập mật khẩu quá số lần quy định. Hình 3 yêu cầu người dùng không được sử dụng lại 5 mật khẩu đã sử dụng trước đó, điều này có thể hạn chế khả năng dò đoán mật khẩu của tin tặc. Mở tệp “vi /etc/pam.d/system-auth” và “vi/etc/pam.d/password-auth”, sau đó thêm tham số “remember=<số mật khẩu>”.
Hình 3. Hạn chế sử dụng mật khẩu cũ
Thiết lập độ dài ngắn nhất của mật khẩu, người dùng không thể đặt mật khẩu ngắn hơn số ký tự đã quy định, thực thi câu lệnh “authconfig --passminlen=<số ký tự>--update”. Sau đó để kiểm tra phần cấu hình đã thiết lập, thực thi câu lệnh “grep "^minlen"/ etc/security/pwquality.conf”, như trong Hình 4.
Hình 4. Thiết lập độ dài tối thiểu của mật khẩu
Trong Linux có các lớp (class) ký tự như sau: UpperCase/LowerCase/Digits/Others (Chữ hoa/ Chữ thường/Số/Ký tự khác). Để thiết lập độ phức tạp theo số lớp tối thiểu phải có trong mật khẩu được thực thi bằng câu lệnh: “authconfig --passminclass=<số lớp tối thiểu> --update”. Bên cạnh đó, người dùng cũng có thể xác định chỉ một loại ký tự nào được phép sử dụng cho mật khẩu, theo cú pháp như sau:
- Đặt ít nhất một ký tự chữ thường: “authconfig --enablereqlower --update”.
- Đặt ít nhất một ký tự chữ hoa: “authconfig --enablerequpper --update”.
- Đặt ít nhất một chữ số: “authconfig --enablereqdigit --update”.
- Đặt ít nhất một ký tự đặc biệt: “authconfig --enablereqother --update”.
Để thiết lập danh sách các ký tự không được xuất hiện trong mật khẩu, mở tệp “vi /etc/security/ pwquality.conf”, sau đó thêm vào cuối tệp dòng cấu hình với những từ không được phép xuất hiện trong mật khẩu, ví dụ như Hình 5.
Hình 5. Thêm danh sách các từ không có trong mật khẩu
Chuỗi ký tự đơn điệu (Monotonic) trên Linux là các ký tự tăng hoặc giảm trong khoảng được cấu hình sẵn, ví dụ được thiết lập là 6 thì chỉ có thể đặt mật khẩu mới là “123456” hoặc “fedcba” chứ không thể đặt chuỗi dài hơn được.
Mở tệp “vi /etc/security/pwquality.conf”, sau đó thêm vào cuối tệp dòng cấu hình như sau: “maxsequence = 6”.
Linux sẽ lưu trữ thông tin mật khẩu trong tệp “etc/shadow” với thuật toán băm mặc định là SHA, tuy nhiên với các phiên bản cũ hơn thì đang sử dụng MD5. Với những trường hợp này, người dùng có thể thay đổi thuật toán băm khác mạnh hơn, ví dụ như SHA-512 để bảo mật thông tin mật khẩu của mình.
Hình 6. Cập nhật SHA-512 là thuật toán băm của mật khẩu
Để thiết lập thuật toán băm cho mật khẩu mới, cần thực thi câu lệnh “authconfig --passalgo=sha512 --update” và thay đổi mật khẩu tài khoản để áp dụng với thuật toán băm vừa được cập nhật. Tiếp theo, thực thi câu lệnh “cat /etc/ shadow” để kiểm tra. Như trong Hình 6, cột thứ 2 sau tài khoản “root” là đại diện cho các thông tin liên quan đến mật khẩu. Trường 1 cho biết thuật toán băm được sử dụng (với $1 là MD5; $2 là Blowfish; $2a là Eksblowfish; $5 là SHA-256; $6 là SHA-512). Trường 2 là giá trị Salt được tạo ngẫu nhiên để mã hóa, xác thực mật khẩu và chống tấn công Rainbow Table.
Tương tự như Windows, mật khẩu trên Linux là một trong những yếu tố mà các tin tặc thường nhắm mục tiêu tấn công bởi khả năng và xác suất khai thác thành công cao nếu tài khoản người dùng được thiết lập yếu và bảo mật kém. Người dùng hoàn toàn có thể chủ động ngăn chặn những nguy cơ này bằng các thiết lập và quản lý chính sách bảo mật đối với mật khẩu. Bài viết đã cung cấp một số cấu hình quan trọng nhằm cung cấp tới độc giả những kỹ năng sử dụng mật khẩu an toàn, qua đó có thể phòng tránh những cuộc tấn công mật khẩu như brute-force cũng như các mối đe dọa liên quan khác.
Hồng Đạt
14:00 | 19/02/2024
14:00 | 23/02/2024
10:00 | 05/10/2023
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
16:00 | 23/09/2024