Chuyên gia bảo mật đề nghị: Mật khẩu ngắn, dễ nhớ, không trùng lắp

Chuyên gia bảo mật đề nghị: Mật khẩu ngắn, dễ nhớ, không trùng lắp
Tạp chí Nhịp sống số - Mới đây, Microsoft có xuất bản một nghiên cứu đề xuất về chính sách bảo mật mới, với những tư vấn cụ thể: yêu cầu loại bỏ mật khẩu dài, loại bỏ những yêu cầu phức tạp, luôn thiết lập thời hạn cho mật khẩu.

Thời của mật khẩu khó đoán đã qua

Cùng với ba đề xuất, Microsoft cũng đưa ra vài đề nghị hữu ích: cấm mật khẩu thường dùng, không dùng lại mật khẩu cũ, tăng cường xác thực nhiều lớp, đưa ra những chương trình phát hiện lỗi bảo mật trong xác thực nhiều lớp

Tóm lại, bản báo cáo này có thể là một trong những tham khảo rất hữu ích về mật khẩu, hợp thời và đầy đủ trong thời gian gần đây.

Thay đổi những quan điểm cũ về mật khẩu

Những đề nghị phổ biến nhất khi đặt mật khẩu mà hầu hết doanh nghiệp yêu cầu nhân viên là cần đặt mật khẩu ít nhất 8 ký tự, đủ tính phức tạp như gồm ba loại ký tự (chữ, viết thường, viết hoa, số, ký hiệu...) và cứ ít nhất sau 90 ngày nên đổi lại mật khẩu một lần.

Vậy làm thế nào để người dùng tuân tuân thủ những chính sách mật khẩu? Đơn giản là họ buộc phải chuyển từ mật khẩu ngắn, sáu kí tự, không thời hạn sang dạng mật khẩu có thời hạn, với lối kết hợp chữ, số phức tạp. Nhưng điều này lại khiến người dùng khó nhớ.

Vấn đề mật khẩu đã thay đổi thế nào

Sau giai đoạn ban đầu mà các chuyên gia bảo mật khuyên nên dùng mật khẩu mạnh, phức tạp thì đến nay, đa phần người dùng đã nhận ra là họ buộc phải chấp nhận cách đặt mật khẩu này trên các dịch vụ trực tuyến trong quá trình đăng ký. Rõ ràng thiết lập theo những quy định chuẩn trên thực tế đã giảm được rủi ro mật khẩu bị hack.

Nhưng suốt thập kỷ qua, hacker đã thay đổi cách chúng tấn công vào mật khẩu. Trước đây, trong nhiều trường hợp hacker chỉ đoán, chúng tìm cách tiếp cận được trang đăng nhập và tự đoán hoặc sử dụng các phương pháp tự động dò mật khẩu, hoặc tìm bảng băm (hash) của mật khẩu và dùng kỹ thuật rainbow table để chuyển mật khẩu ở định dạng mã hóa thành dạng văn bản thuần.

Nhưng đến nay, hầu hết các cuộc tấn công thuộc hai loại. Người dùng thường bị tấn công dạng lừa đảo, tự mình gõ vào mật khẩu, hoặc kẻ tấn công đánh cắp hash và dùng dữ liệu hash để đăng nhập. Trong cả hai loại này, mật khẩu phức tạp hầu như vô dụng. Tuy vậy, vẫn có vài kẻ tấn công và malware vẫn dùng phương pháp cũ là đoán mật khẩu, nhưng tỉ lệ này không cao.

Do đó, chúng ta cần có các chính sách bảo mật mới để đối phó với hai cách thức mới này.

8 đến 12 là đủ

Nếu kẻ tấn công dùng phương pháp đoán dò mật khẩu thì bạn chỉ cần đặt mật khẩu từ 8-12 ký tự là rất khó để phá. Bạn có thể thêm vào một chút yêu cầu phức tạp, nhưng yếu tố này không tăng mức phòng vệ lên là mấy.

Với một số dịch vụ trực tuyến mới mà người dùng không phải nhập dữ liệu cá nhân nhạy cảm thì đa phần những trang web này không đòi hỏi đăng ký mật khẩu phức tạp, thậm chí còn có những trang web yêu cầu mật khẩu chỉ 4 - 5 ký tự.

Có thể dùng một mật khẩu lâu hơn

Hiện nay, nhiều doanh nghiệp yêu cầu thời hạn sử dụng một mật khẩu là từ 45 - 90 ngày, sau đó yêu cầu người dùng phải đổi mật khẩu mới. Nhưng các chuyên gia bảo mật cho rằng thời hạn nên kéo dài 120 - 180 ngày là hợp lý hơn. Một số doanh nghiệp chỉ buộc thay đổi mật khẩu 1 năm 1 lần và không thấy có vấn đề gì.

Tuy vậy, đối với những tài khoản quan trọng, có quyền hạn cao trong hệ thống thì mật khẩu cần thay đổi thường xuyên, thậm chí có thể 1 ngày 1 lần hoặc sau mỗi lần sử dụng phải đổi lại. Để làm vậy, có thể bạn cần một công cụ khác để trợ giúp vì những tài khoản này mới chính là đối tượng mà kẻ tấn công muốn chiếm.

Không dùng lại mật khẩu trên nhiều tên miền

Khuyến cáo này là cực kỳ quan trọng nhưng lại rất khó kiểm soát. Khi bạn dùng lại cùng mật khẩu trên nhiều dịch vụ khác nhau thì bạn đang tăng cơ hội của kẻ xấu khai thác. Nhiều vụ tấn công lớn gần đây xảy ra là do dùng lại mật khẩu.

Thậm chí, nhiều doanh nghiệp tải về (hoặc đăng ký một dịch vụ thương mại nào đó) những cơ sở dữ liệu về mật khẩu bị rò rỉ trên mạng để xem liệu mật khẩu nhân viên của họ có trong số đó hay không. Nếu có, nhân viên sẽ bị cảnh cáo và thậm chí có thể bị thôi việc.

Xác thực đa bước

Hiện thời, các chuyên gia bảo mật khuyến khích người dùng kích hoạt tính năng xác thực đa bước. Bởi vì có những tình huống có thể bạn không thể ngờ tới.

Ví dụ, nếu bạn đăng nhập tài khoản email từ PC thông thường, ở địa điểm quen thuộc nào đó, và lần sau khi dùng lại, hệ thống tự động đăng nhập, sử dụng chính mật khẩu được lưu trong trình duyệt. Nhưng nếu bạn đăng nhập vào tài khoản email này bằng một PC mới, ở một quốc gia khác thì bạn cần có những biện pháp "mạnh" hơn. Ví dụ Hotmail sẽ thông báo ngay cho bạn nếu bạn truy cập từ một địa điểm lạ, với một thiết bị lạ và yêu cầu nhập mã PIN mà hệ thống Hotmail gửi vào điện thoại để xác thực.

Cơ chế này của Microsoft thậm chí thông minh hơn khi nhận diện được bạn có phải là người thường xuyên đi du lịch hay không. Nếu bạn đăng nhập lần thứ hai, ở đâu đó khác thì hệ thống lại không yêu cầu mã PIN, trừ khi bạn đi đâu đó thật xa so với lần đăng nhập lần gần nhất.

Có thể bạn quan tâm