Hãng công nghệ Microsoft đã có những thay đổi quan trọng về chính sách bảo mật: nhóm tiêu chuẩn (baseline) của Windows 10 v1809 và Windows Server 2019 đã không còn chính sách hết hạn mật khẩu, tức không còn buộc người dùng phải thay đổi mật khẩu định kỳ. Những nghiên cứu gần đây đã nghi hoặc về những quy tắc quản lý mật khẩu “lâu đời” như đổi mật khẩu định kỳ và khuyến nghị sử dụng những chính sách tốt hơn như: không sử dụng những mật khẩu thông dụng, dễ đoán hay sử dụng xác thực đa nhân tố.
Một nghiên cứu được thực hiện tại trường đại học North Carolina (Mỹ) vào năm 2010 cho thấy, các chính sách hết hạn mật khẩu thường làm giảm độ an toàn của hệ thống vì người dùng sẽ chọn mật khẩu yếu hơn hay chỉ sửa đổi mật khẩu cũ đi một chút (ví dụ như đổi mật khẩu từ “P@$$w0rd1” thành “P@$$w0rd2”). Các tổ chức tiêu chuẩn như NIST (Mỹ), CESG (Anh) cũng đã kết luận rằng, chính sách buộc đổi mật khẩu định kỳ thường không hiệu quả, thậm chí phản tác dụng. Tuy các nhà nghiên cứu ngày càng đồng ý về tác hại của chính sách hết hạn mật khẩu nhưng các tổ chức lớn thường không muốn thay đổi. Tuy nhiên, một đổi mới nổi bật đã xảy ra năm 2016, khi Lorrie Cranor – Giám đốc kỹ thuật của Ủy ban Thương mại Liên bang Mỹ đã đề nghị tổ chức của bà loại bỏ chính sách buộc nhân viên đổi mật khẩu định kỳ. Bà vui mừng khi biết 2 trong số 6 mật khẩu dùng trong cơ quan chính phủ mà bà sử dụng đã không còn phải thay đổi định kỳ nữa.
Chính sách hết hạn mật khẩu định kỳ chỉ có giá trị trong trường hợp một mật khẩu hay giá trị băm của nó bị đánh cắp trong thời hạn hiệu lực và bị lạm dụng, còn nếu mật khẩu không bị đánh cắp thì sẽ không cần phải thay đổi nó. Nếu có bằng chứng là mật khẩu đã bị đánh cắp thì cần thay đổi ngay lập tức, chứ không cần đến hết thời hạn quy định. Trường hợp mật khẩu có khả năng bị đánh cắp, thì thời gian mặc định trong quy định của Windows để thay đổi mật khẩu là 42 ngày, trong khi trước đây từng là 60 ngày (trước đó nữa là 90 ngày). Việc phải thay đổi mật khẩu quá thường xuyên sẽ gây bất tiện cho người dùng. Trong khi đó, nếu mật khẩu không bị đánh cắp thì việc đổi mật khẩu không thực sự có tác dụng.
Khi tổ chức đã triển khai chính sách không sử dụng những mật khẩu thông dụng, dễ đoán; áp dụng xác thực đa nhân tố; nhận diện tấn công dò mật khẩu; phát hiện những lần đăng nhập bất hợp lệ,… thì tổ chức không cần chính sách hết hạn mật khẩu định kỳ nữa. Ngược lại, khi không có những biện pháp giảm thiểu rủi ro trên thì chính sách hết hạn mật khẩu thực sự không có nhiều lợi ích.
Nếu các nhà cung cấp dịch vụ không yêu cầu đổi mật khẩu định kỳ, thì để đảm bảo an toàn cá nhân trên mạng, người dùng có thể kiểm tra xem mật khẩu trên các website công cộng của mình đã bị đánh cắp hay chưa bằng cách kiểm tra tại địa chỉ này. Nếu mật khẩu đã bị lộ, cần thay đổi ngay lập tức, đồng thời cần dùng những mật khẩu khác nhau cho những trang web khác nhau.
Với các tổ chức, việc đảm bảo mật khẩu của người dùng không trùng với danh sách những mật khẩu phổ biến và đã bị lộ, lọt là một yêu cầu cấp bách. Ấn phẩm đặc biệt của NIST hướng dẫn xác thực số “Special Publication 800-63-3: Digital Authentication Guidelines” khuyến nghị việc kiểm tra đối chiếu với “danh sách mật khẩu đen” trong quá trình đăng ký tài khoản người dùng. Hiện nay đã có một dịch vụ đặc biệt giúp thực hiện điều đó tại địa chỉ này.
NIST Bad Passwords (NBP) là thư viện hỗ trợ việc loại bỏ những mật khẩu thông dụng phía máy khách. Thư viện này sử dụng danh sách 1 triệu mật khẩu thông dụng nhất của hướng dẫn kiểm thử an toàn SecList. Các tổ chức cũng cần bổ sung chức năng tương tự trên máy chủ. Việc sử dụng NBP khá đơn giản: thêm thư viện này vào trang đăng ký người dùng và đặt thư mục chứa cơ sở dữ liệu mật khẩu thông dụng vào cùng thư mục với trang đăng ký (các nhà phát triển có thể bổ sung thêm những bộ sưu tập mật khẩu yếu riêng của họ). Sau đó, thực hiện gọi các hàm trong NBP. Ví dụ: nếu người dùng chọn mật chọn mật khẩu là "P@$$w0rd2", thì gọi lệnh kiểm tra NBP.isCommonPassword('hunter2');. Những thư viện như NBP chỉ là một trong số rất nhiều những công cụ nâng cao tính an toàn cho quá trình đăng nhập. Các tổ chức cần sử dụng thêm những công cụ xác thực an toàn như Google Authenticator, với sự tham gia của nhiều nhân tố xác thực bổ sung cho mật khẩu. |
Nguyễn Anh Tuấn
08:00 | 29/03/2019
10:00 | 22/08/2019
08:00 | 06/03/2024
10:00 | 14/02/2019
08:00 | 11/12/2018
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
10:00 | 07/11/2023
Các nhà nghiên cứu tại hãng bảo mật CheckPoint cùng công ty dịch vụ và công nghệ mạng Sygnia đã quan sát và theo dõi một nhóm tin tặc có liên kết với Bộ tình báo và an ninh Iran (MOIS) đang tiến hành một chiến dịch gián điệp mạng tinh vi nhắm vào các lĩnh vực tài chính, chính phủ, quân sự và viễn thông ở khu vực Trung Đông trong khoảng thời gian ít nhất là một năm.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024