Hình thức sử dụng mật khẩu sai lầm đầu tiên và dễ tránh nhất là sử dụng lại mật khẩu trên cùng một tài khoản. Ví dụ: nếu tên người dùng là michael.schenck, mật khẩu là Football123 và khi hệ thống nhắc thay đổi mật khẩu nhưng cho phép sử dụng lại Football123 - khi đó người dùng lại sử dụng lại mật khẩu cũ. Vấn đề nằm ở chỗ cơ sở dữ liệu mật khẩu cũ có thể đã bị đánh cắp và tấn công, nghĩa là mật khẩu Football123 có thể đã bị xâm phạm. Trong trường hợp này, thông tin tài khoản cũ (mà hiện tại tin tặc đã có quyền truy cập) vẫn còn có hiệu lực. Hãy nhớ rằng, một khi đã lộ thì trên Internet khó có thể xóa đi dữ liệu cũ.
Hình thức sử dụng lại mật khẩu phổ biến nhất là sử dụng cùng một mật khẩu cho thư điện tử/tài khoản trên nhiều trang web và dịch vụ khác nhau (ví dụ: sử dụng Football123 làm mật khẩu cho email, tài khoản Netflix, ngân hàng và Microsoft). Nếu một tài khoản bị tấn công có nghĩa là tất cả các tài khoản đều bị tấn công. Đây có thể là một vấn đề rắc rối vì theo số liệu, trung bình một nhân viên kinh doanh phải theo dõi 191 mật khẩu và việc thay đổi tất cả 191 mật khẩu sẽ mất vài ngày.
Hình thức sử dụng lại mật khẩu tiếp theo chính là kết hợp hai hình thức trên với nhau - sử dụng lại cùng một mật khẩu trên các tài khoản có tên người dùng khác nhau. Hầu hết các các chính sách bảo mật không cho phép người dùng sử dụng lại mật khẩu. Tuy nhiên, khi một nhân viên chuyển công ty, các kiểm soát lịch sử mật khẩu của họ không còn được áp dụng nữa. Điều này cho phép các mật khẩu cũ được sử dụng trong công việc mới. Đây cũng là một hành vi sử dụng mật khẩu sai lầm. Khi cơ sở dữ liệu về mật khẩu trên web tối và các nguồn thông tin tình báo mã nguồn mở tiếp tục phát triển, thì việc tin tặc liên kết mật khẩu với người dùng trở nên dễ dàng hơn – kể cả với tên người dùng tài khoản khác hay công ty khác.
Hình thức sử dụng lại mật khẩu cuối cùng là sử dụng mật khẩu phổ biến. Hàng năm, nhiều ấn phẩm đã liệt kê lại danh sách top 10, 20, 100 mật khẩu phổ biến được sử dụng hàng đầu của năm trước. Ví dụ: vào năm 2020, hơn 2,5 triệu người dùng đã sử dụng mật khẩu “123456”. Danh sách các mật khẩu phổ biến được tin tặc sử dụng để viết kịch bản, hoặc tấn công vét cạn mật khẩu (brute-force) để đăng nhập nhằm chiếm đoạt quyền truy cập. Nếu bạn sử dụng bất kỳ mật khẩu phổ biến nào trong số này, việc bị tấn công chỉ là vấn đề thời gian.
Rất may, đã có những giải pháp cho vấn đề này và khắc phục những hạn chế của con người. Xác thực đa yếu tố (MFA), đào tạo về an ninh mạng, phần mềm quản lý mật khẩu, cấu hình đúng và các công cụ sàng lọc mật khẩu nâng cao đều giúp giảm thiểu các thói quen xấu ảnh hưởng đến cuộc sống số. Sử dụng từng giải pháp hoặc kết hợp các giải pháp này làm giảm nguy cơ thông tin được bảo vệ có thể bị truy cập trái phép.
Thực thi chính sách mật khẩu
Nhân viên bộ phận công nghệ thông tin (CNTT) của doanh nghiệp có thể dễ dàng thực thi các biện pháp chống lại việc sử dụng lại mật khẩu. Thông qua giải pháp bảo mật hoặc tiện ích bổ sung được tích hợp sẵn, bộ phận CNTT có thể cấm các mật khẩu đã sử dụng trước đó trong cùng một môi trường. Các tiện ích bổ sung thích hợp có thể ngăn chặn việc sử dụng mật khẩu phổ biến và mật khẩu bị rò rỉ trên web tối hoặc nền tảng tình báo mã nguồn mở.
Giải pháp đăng nhập một lần
Nhiều tài khoản và trang web đang cho phép tích hợp nền tảng xác thực của bên thứ ba. Người dùng có thể đã sử dụng nền tảng xác thực của bên thứ ba mà không nhận ra điều đó. Ví dụ như đăng nhập vào LinkedIn thông qua tài khoản Gmail. Công nghệ tương tự cũng có sẵn cho các tài khoản doanh nghiệp, cho phép người dùng sử dụng cùng một tài khoản để đăng nhập vào máy tính. Sử dụng công nghệ này giúp người dùng giảm nguy cơ sử dụng lại mật khẩu bằng cách hạn chế số lượng tài khoản cần thiết phải sử dụng để đăng nhập.
Các trình quản lý mật khẩu
Một trong những cách dễ dàng nhất để xử lý nhiều mật khẩu cho nhiều tài khoản là loại bỏ việc phải ghi nhớ tất cả chúng. Trình quản lý mật khẩu là phần mềm hoặc dịch vụ web yêu cầu xác thực đa yếu tố để truy cập và lưu trữ mật khẩu ở định dạng được mã hóa. Nó cũng ghi chú các trang web tương ứng với thông tin tài khoản. Nhiều trình quản lý mật khẩu hàng đầu cũng có thể tạo mật khẩu đặc biệt và tự động thay đổi mật khẩu cho bạn.
Đào tạo người dùng về an ninh mạng
Đào tạo người dùng để tạo mật khẩu mạnh, hiệu quả, dễ nhớ và khó đoán là yếu tố cần thiết đối với bất kỳ chương trình nâng cao nhận thức về an ninh mạng nào. Người dùng đã được đào tạo sẽ ít có khả năng sử dụng mật khẩu cũ hoặc mật khẩu bị xâm phạm ngay từ đầu.
Xác thực đa yếu tố
Xác thực đa yếu tố cần tên người dùng và mật khẩu, đồng thời đặt ra yêu cầu bổ sung là nhập mã thông báo một lần (được gửi qua ứng dụng hoặc tin nhắn SMS) hoặc quét sinh trắc học (ví dụ như vân tay).
MFA cho phép truy cập dựa vào sự kết hợp của các yếu tố, trong đó bao gồm điều mà người dùng biết (thông tin đăng nhập), điều mà người dùng sở hữu (điện thoại, ứng dụng, thẻ thông minh hoặc mật mã sử dụng một lần) hay điều người dùng đang có (vân tay, võng mạc, khuôn mặt hoặc mống mắt). Độ an toàn của các giải pháp này là khác nhau nhưng tất cả đều làm giảm khả năng bị truy cập trái phép.
Việc sử dụng lại mật khẩu là một vấn đề an ninh mạng quan trọng, nhưng ngăn chặn nó cũng không quá khó. Mặc dù khả năng ghi nhớ mật khẩu của con người bị hạn chế và số lượng mật khẩu ngày càng nhiều, nhưng người dùng có thể thực hiện các bước đơn giản để bảo vệ thông tin đặc quyền của mình.
Thông qua việc triển khai thích hợp các giải pháp quản lý xác thực, đào tạo an ninh mạng, sử dụng các công cụ hiệu quả như MFA và trình quản lý mật khẩu, thì người dùng có thể đảm bảo mật khẩu của mình không phải là mối đe dọa lớn. Người dùng cũng nên cân nhắc trao đổi với bộ phận CNTT về các biện pháp khác để quản lý và bảo vệ mật khẩu.
Đỗ Đoàn Kết
08:00 | 12/03/2021
14:00 | 28/04/2021
07:00 | 10/05/2021
11:00 | 29/05/2021
07:00 | 24/05/2021
08:00 | 05/03/2021
14:00 | 20/01/2021
09:00 | 05/02/2024
Ngày 24/01, Ban Cơ yếu Chính phủ ban hành kế hoạch triển khai thực hiện Thông tư 96/2023/TT-BQP ngày 29/11/2023 của Bộ trưởng Bộ Quốc phòng về “Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ”.
15:00 | 03/09/2023
Ngày 21/8, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA ), Cơ quan An ninh Quốc gia (NSA) và Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã công bố thông cáo về tác động của năng lực lượng tử. Ba cơ quan này kêu gọi tất cả các tổ chức, đặc biệt là những tổ chức hỗ trợ cơ sở hạ tầng quan trọng cần sớm lập kế hoạch cho việc chuyển đổi sang các tiêu chuẩn mật mã hậu lượng tử (PQC) bằng cách phát triển lộ trình sẵn sàng lượng tử.
11:00 | 27/01/2023
Tháng 7/2020, Rainbow - một trong 3 thuật toán chữ ký số là ứng cử viên vào vòng 3 của quá trình tuyển chọn thuật toán hậu lượng tử của NIST. Tuy nhiên, vào tháng 2/2022, Ward Beullens đã phá được thuật toán này chỉ trong thời gian một dịp nghỉ cuối tuần trên một máy tinh xách tay. Vì thế, tháng 7/2022, trong danh sách các thuật toán chữ ký số hậu lượng tử sẽ được chuẩn hóa mà NIST công bố đã không có tên Rainbow.
10:00 | 15/08/2021
Xếp hạng bảo mật hoặc xếp hạng an ninh mạng là một phép đo dựa trên dữ liệu, khách quan và chính xác về tình hình và hiệu suất an ninh mạng của một tổ chức. Để tìm hiểu thêm về lợi ích của xếp hạng bảo mật, Maria Henriquez, Phóng viên của Tạp chí Security (PV) đã có cuộc phỏng vấn “5 phút” với Christos Kalantzis, Giám đốc Công nghệ tại SecurityScorecard. Trước đây, Kalantzis đã xây dựng và lãnh đạo các nhóm kỹ thuật cho FireEye, Tenable, Netflix và YouSendIt. Kalantzis lớn lên ở Montreal, Canada, bắt đầu sự nghiệp phân tích cơ sở dữ liệu cho các công ty như Matrox, CGI, Sync và InterTrade. Tạp chí An toàn thông tin giới thiệu bài phỏng vấn nói trên.