Thời của mật khẩu khó đoán đã qua

Các chuyên gia bảo mật thường khuyến cáo người dùng sử dụng mật khẩu phức tạp để giảm rủi ro bị bẻ khóa. Nhưng có những góc độ khác về quan điểm bảo mật.

Mới đây, Microsoft có xuất bản một nghiên cứu đề xuất về chính sách bảo mật mới, đưa ra vài lời khuyên về vấn đề này, trong đó có: yêu cầu loại bỏ mật khẩu dài, loại bỏ những yêu cầu phức tạp, luôn thiết lập thời hạn cho mật khẩu. Cùng với ba đề xuất, Microsoft cũng đưa ra vài đề nghị hữu ích: cấm mật khẩu thường dùng, không dùng lại mật khẩu cũ, tăng cường xác thực nhiều lớp, đưa ra những chương trình phát hiện lỗi bảo mật trong xác thực nhiều lớp

Tóm lại, bản báo cáo này có thể là một trong những tham khảo rất hữu ích về mật khẩu, hợp thời và đầy đủ trong thời gian gần đây. Tuy có một số chỉ dẫn có vẻ hơi cũ nhưng để hiểu tại sao, chúng ta cần nắm rõ chút ít về những hướng dẫn này.

Lời khuyên phổ biến về mật khẩu

Những đề nghị phổ biến nhất khi đặt mật khẩu mà hầu hết doanh nghiệp yêu cầu nhân viên là cần đặt mật khẩu ít nhất 8 ký tự, đủ tính phức tạp như gồm ba loại ký tự (chữ, viết thường, viết hoa, số, ký hiệu...) và cứ ít nhất sau 90 ngày nên đổi lại mật khẩu một lần.

Những lời khuyên trên được nhiều doanh nghiệp áp dụng triệt để trong vài thập kỷ qua. Tuy nhiên, cũng có nhiều công ty vẫn đã có chính sách như vậy nhưng lại không có hệ thống để áp dụng.

Vậy làm thế nào để người dùng tuân tuân thủ những chính sách mật khẩu? Đơn giản là họ buộc phải chuyển từ mật khẩu ngắn, sáu kí tự, không thời hạn sang dạng mật khẩu có thời hạn, với lối kết hợp chữ, số phức tạp. Nhưng điều này lại khiến người dùng khó nhớ.

Vấn đề mật khẩu đã thay đổi thế nào

Sau giai đoạn ban đầu mà các chuyên gia bảo mật khuyên nên dùng mật khẩu mạnh, phức tạp thì đến nay, đa phần người dùng đã nhận ra là họ buộc phải chấp nhận cách đặt mật khẩu này trên các dịch vụ trực tuyến trong quá trình đăng ký. Rõ ràng thiết lập theo những quy định chuẩn trên thực tế đã giảm được rủi ro mật khẩu bị hack.

Nhưng suốt thập kỷ qua, hacker đã thay đổi cách chúng tấn công vào mật khẩu. Trước đây, trong nhiều trường hợp hacker chỉ đoán, chúng tìm cách tiếp cận được trang đăng nhập và tự đoán hoặc sử dụng các phương pháp tự động dò mật khẩu, hoặc tìm bảng băm (hash) của mật khẩu và dùng kỹ thuật rainbow table để chuyển mật khẩu ở định dạng mã hóa thành dạng văn bản thuần.

Nhưng đến nay, hầu hết các cuộc tấn công thuộc hai loại. Người dùng thường bị tấn công dạng lừa đảo, tự mình gõ vào mật khẩu, hoặc kẻ tấn công đánh cắp hash và dùng dữ liệu hash để đăng nhập. Trong cả hai loại này, mật khẩu phức tạp hầu như vô dụng. Tuy vậy, vẫn có vài kẻ tấn công và malware vẫn dùng phương pháp cũ là đoán mật khẩu, nhưng tỉ lệ này không cao.

Do đó, chúng ta cần có các chính sách bảo mật mới để đối phó với hai cách thức mới này.

8 đến 12 là đủ

Nếu kẻ tấn công dùng phương pháp đoán dò mật khẩu thì bạn chỉ cần đặt mật khẩu từ 8-12 ký tự là rất khó để phá. Bạn có thể thêm vào một chút yêu cầu phức tạp, nhưng yếu tố này không tăng mức phòng vệ lên là mấy.

Với một số dịch vụ trực tuyến mới mà người dùng không phải nhập dữ liệu cá nhân nhạy cảm thì đa phần những trang web này không đòi hỏi đăng ký mật khẩu phức tạp, thậm chí còn có những trang web yêu cầu mật khẩu chỉ 4 - 5 ký tự.

 

Có thể dùng một mật khẩu lâu hơn

Hiện nay, nhiều doanh nghiệp yêu cầu thời hạn sử dụng một mật khẩu là từ 45 - 90 ngày, sau đó yêu cầu người dùng phải đổi mật khẩu mới. Nhưng các chuyên gia bảo mật cho rằng thời hạn nên kéo dài 120 - 180 ngày là hợp lý hơn. Một số doanh nghiệp chỉ buộc thay đổi mật khẩu 1 năm 1 lần và không thấy có vấn đề gì.

Tuy vậy, đối với những tài khoản quan trọng, có quyền hạn cao trong hệ thống thì mật khẩu cần thay đổi thường xuyên, thậm chí có thể 1 ngày 1 lần hoặc sau mỗi lần sử dụng phải đổi lại. Để làm vậy, có thể bạn cần một công cụ khác để trợ giúp vì những tài khoản này mới chính là đối tượng mà kẻ tấn công muốn chiếm.

Không dùng lại mật khẩu trên nhiều tên miền

Khuyến cáo này là cực kỳ quan trọng nhưng lại rất khó kiểm soát. Khi bạn dùng lại cùng mật khẩu trên nhiều dịch vụ khác nhau thì bạn đang tăng cơ hội của kẻ xấu khai thác. Nhiều vụ tấn công lớn gần đây xảy ra là do dùng lại mật khẩu.

Thậm chí, nhiều doanh nghiệp tải về (hoặc đăng ký một dịch vụ thương mại nào đó) những cơ sở dữ liệu về mật khẩu bị rò rỉ trên mạng để xem liệu mật khẩu nhân viên của họ có trong số đó hay không. Nếu có, nhân viên sẽ bị cảnh cáo và thậm chí có thể bị thôi việc.

Xác thực đa bước

Hiện thời, các chuyên gia bảo mật khuyến khích người dùng kích hoạt tính năng xác thực đa bước. Bởi vì có những tình huống có thể bạn không thể ngờ tới.

Ví dụ, nếu bạn đăng nhập tài khoản email từ PC thông thường, ở địa điểm quen thuộc nào đó, và lần sau khi dùng lại, hệ thống tự động đăng nhập, sử dụng chính mật khẩu được lưu trong trình duyệt. Nhưng nếu bạn đăng nhập vào tài khoản email này bằng một PC mới, ở một quốc gia khác thì bạn cần có những biện pháp "mạnh" hơn. Ví dụ Hotmail sẽ thông báo ngay cho bạn nếu bạn truy cập từ một địa điểm lạ, với một thiết bị lạ và yêu cầu nhập mã PIN mà hệ thống Hotmail gửi vào điện thoại để xác thực.

Cơ chế này của Microsoft thậm chí thông minh hơn khi nhận diện được bạn có phải là người thường xuyên đi du lịch hay không. Nếu bạn đăng nhập lần thứ hai, ở đâu đó khác thì hệ thống lại không yêu cầu mã PIN, trừ khi bạn đi đâu đó thật xa so với lần đăng nhập lần gần nhất.

Vấn đề với chính sách về mật khẩu

Sẽ rất tuyệt nếu chính sách về mật khẩu cập nhật kịp thời. Nhưng hầu hết doanh nghiệp rất khó chuyển đổi chính sách mật khẩu ngay tức khắc cho dù Microsoft hay các công ty bảo mật khác khuyến cáo.

Có thể mất cả thập kỷ để nhiều tổ chức, doanh nghiệp cập nhật mới lại chính sách của họ. Thậm chí nếu họ đã quyết định cập nhật chính sách bảo mật thì lại dây dưa với các chính sách dữ liệu liên quan khác, phải cập nhật lại toàn bộ dữ liệu.

Trong khi đó, có một số tổ chức đưa ra chính sách bảo mật không phù hợp, ví dụ mật khẩu đủ tính phức tạp, phải có từ 6 - 8 ký tự thì được chấp nhận, nhưng không chính sách nào chấp nhận mật khẩu dài cỡ 42 ký tự, tựa như một câu nói viết liền không dấu nào đó. Vì nếu thực có một mật khẩu như vậy, kẻ xấu rất khó dùng các phương pháp tự động dò mật khẩu.

Rõ ràng, vẫn có một sự khác biệt nào đó giữa chính sách bảo mật và bảo mật thực sự. Một bên quá cứng nhắc, khó thay đổi và cũ kỹ, còn một bên quá nhanh, quá linh động khi đối diện với những đợt tấn công kiểu mới.

Dù sao chăng nữa, tất cả chúng ta cần nghĩ lại cách các chính sách về bảo mật nên có. Chúng ta cần bắt kịp với bước chạy của kẻ tấn công.

Theo ​PCWorldVN

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.