• Thứ Hai, 11/08/2014 06:30 (GMT+7)

    Tin tặc Nga cho thấy mật khẩu đã hết thời

    Thạch An
    Hacker Nga đánh cắp 1,2 tỷ tài khoản web đã minh chứng một điều rằng thời sử dụng mật khẩu - password đã tới hồi kết và đây cũng chính là thời điểm các doanh nghiệp phải tăng cường giải pháp an ninh để đảm bảo an ninh toàn hệ thống

    Tin tức gần đây cho rằng tin tặc Nga đã đánh cắp thông tin đăng nhập của hơn 1,2 tỷ người Internet là đòn giáng mạnh vào các doanh nghiệp đã không thực hiện các biện pháp xác thực mạnh mạnh mẽ khác, điều đáng lý ra phải thực hiện trước đó khá lâu. Mật khẩu tĩnh đã được cho là chết từ lâu. Các chuyên gia bảo mật đã cảnh báo sự cần thiết trong việc xác thực nâng cao đối với người dùng cá nhân trong các hoạt động của doanh nghiệp.

    Trên thực tế, Bill Gates đã dự đoán cái chết của mật khẩu từ 10 năm trước trong một bài phát biểu tại Hội nghị RSA Security, và các tổ chức như Hội đồng thi tổ chức tài chính Liên bang Mỹ (FFIEC), ông đã đã yêu cầu các ngân hàng thực hiện các biện pháp xác thực mạnh hơn từ những năm 2005.

    Trong những năm gần đây, nhiều công ty đã thực hiện các biện pháp xác thực đa hệ, chẳng hạn như việc sử dụng một mật khẩu và một mã số duy nhất được gửi đến điện thoại di động, để đảm bảo quyền truy cập vào các tài khoản quan trọng. Nhiều công ty, đặc biệt là trong ngành công nghiệp dịch vụ tài chính, thường xuyên hỗ trợ việc sử dụng thẻ và các phương pháp khác để tạo ra nhằm phân phối mật khẩu sử dụng một lần ngẫu nhiên kết hợp với mật khẩu tĩnh.

    Mật khẩu tĩnh không còn đảm bảo tính an toàn.
    Hàng loạt doanh nghiệp khác đã thực hiện các biện pháp xác minh thủ công nhất là kiểm tra danh tính người dùng trong quá trình đăng nhập và thậm chí cả trong khi giao dịch đang được tiến hành. Các ngân hàng lớn, các trang web thương mại điện tử và thậm chí một số trang web truyền thông xã hội thường xuyên sử dụng thiết bị nhận dạng và công cụ cảm biến định vị vị trí nhưng điều này cũng gây khó khăn với người dùng đăng nhập từ địa điểm mới hoặc trên thiết bị khác.

    Một lượng lớn quan ngại rằng các công ty vẫn chỉ dựa vào tên người dùng và mật khẩu rồi cho phép đăng nhập tài khoản của họ. Mật khẩu được cho rằng dễ dàng bị tổn thương và gần như là vô nghĩa đối với các công ty dựa vào chúng như là phương thức duy nhất để xác thực.

    Rất nhiều công cụ có sẵn tương đối dễ dàng để giúp doanh nghiệp tăng cường quá trình xác thực. Nhiều trong số các công cụ này có thể hoạt động nền và không dễ dàng bị xâm nhập và đôi khi người dùng cũng không biết về sự hiện diện đó. Những thiết bị này bao gồm các thiết bị in ấn, phân tích cử chỉ, sử dụng hồ sơ và phát hiện bất thường.

    Điện thoại thông minh và các thiết bị di động khác cũng được xem là một công cụ hữu ích cho các doanh nghiệp để tăng cường phương thức xác thực người dùng. Ví dụ, smartphone là giải pháp trong việc phát hành mật khẩu dùng 1 lần hay dùng để nhận dạng sinh trắc học như giọng nói hay dấu vân tay.

    Nhiều công ty đã chậm chạp trong việc thực hiện chứng thực đa cấp vì điều này gây phiền toái đối với khách hàng. Ngay cả các công ty tài chính cũng không ngoại lệ, việc làm khách hàng khó chịu và chậm trễ khiến các doanh nghiệp này đánh mất vào tay đối thủ. Về bản chất thì đây nằm ở nhận thức của người dùng và trách nhiệm thuộc về giáo dục an ninh mạng. Ngoài ra các doanh nghiệp cũng phải tìm ra hệ thống xác thực đa cấp với nhiều yếu tố mới mở có thể đảm bảo được việc cải thiện an ninh mà không làm tổn hại đến khả năng sử dụng.