• Thứ Sáu, 05/09/2014 16:15 (GMT+7)

    Mật khẩu phức tạp có cần thiết?

    Bùi Lê Duy
    Khi tin tặc đã chiếm được cơ sở dữ liệu người dùng thì mật khẩu ngắn, dễ chẳng có gì khác biệt so với mật khẩu dài và khó cả. Không may đó lại là cách phổ biến mà tin tặc sử dụng hiện nay để đánh cắp mật khẩu.

    Mật khẩu bị mất cắp và lợi dụng không còn lạ lẫm gì nữa nếu bạn nghe đâu đó nơi này bị mất vài triệu mật khẩu, nơi kia bị sập vì tin tặc tấn công. Nếu cộng dồn số lượng mật khẩu bị mất cắp, có lẽ con số ấy đến nay đã vượt qua 1 tỉ.

    Bên cạnh đó, cũng có nhiều bài viết muốn thức tỉnh người dùng cách sử dụng mật khẩu, như kiểu tránh dùng 1 mật khẩu cho nhiều tài khoản hay cách quản lý mật khẩu sao cho dễ nhớ… Nhưng đến nay, liệu chúng ta có cần một mật khẩu thật khó hay không.

    Mật khẩu bị hack vẫn cứ xảy ra
    Mật khẩu tồn tại được bao nhiêu tuổi thì chuyện phá mật khẩu cũng lâu như thế. Các công cụ để phá mật khẩu cũng chỉ xoay quanh việc đoán hoặc dò mật khẩu, nhưng các phương pháp tấn công mật khẩu càng ngày càng tiến bộ hơn.

    Chắc chắn là vậy, vì bạn vẫn phải đương đầu với tin tặc là con người (hoặc malware) cố đoán ra mật khẩu của bạn, và thường chúng đoán rất thành công. Ví dụ một trong những chương tình malware phổ biến nhất là Conficker, rất thành công khi phá được hàng trăm ngàn đến cả triệu thông tin chia sẻ chỉ bằng những mật khẩu đơn giản. Phương pháp đoán mật khẩu vẫn có tác dụng nhưng nó không còn là phương pháp chủ yếu của các tay tin tặc ngày nay nữa.

    Ngày nay, hầu hết mật khẩu bị lấy cắp thường nằm trong 2 phương pháp: lừa đảo hoặc chiếm quyền cơ sở dữ liệu. Hầu hết phương pháp lừa đảo là qua email hoặc trang web, lừa người dùng nhập mật khẩu vào khung đăng nhập giả. Nghe có vẻ đơn giản, dễ nhận diện nhưng thực chất trên thế giới, kiểu lừa đảo này có mức độ thành công rất cao. Nhiều kiểu tấn công APT (advanced persistent threat) bắt nguồn từ lừa đảo. Các trang mạng xã hội và ứng dụng xã hội như tiếp thêm công cụ cho kẻ lừa đảo.

    Nhưng cách thức phổ biến nhất mà tin tặc đánh cắp được mật khẩu người dùng là chúng chiếm được quyền cơ sở dữ liệu. Tin tặc có thể đột nhập được vào cơ sở dữ liệu trên một trang web hoặc một thư mục nào đó, và tải các bản chứa mật khẩu/hash về. Hai kiểu tấn công trên chiếm gần như toàn bộ mật khẩu bị đánh cắp hiện nay, còn những phương pháp khác chỉ là thông tin nhiễu.

    Vậy đâu là mức phòng vệ tốt nhất chống lại đánh cắp cơ sở dữ liệu? Đương nhiên không phải là cách sử dụng mật khẩu vừa dài, vừa phức tạp. Vì kẻ tấn công khi có được chuỗi mật khẩu dài và phức tạp của người dùng thì một mật khẩu ngắn, đơn giản chẳng khác biệt gì với mật khẩu dài, phức tạp.

    Mật khẩu phức tạp có còn ý nghĩa?
    Không thể nói một mật khẩu khó, dài là không tốt. Nó vẫn có ích. Nhưng nếu bạn chọn một mật khẩu quá dễ đoán, như chỉ vài lần đoán được so với cả trăm lần đoán được thì mọi chuyện sẽ khác đi nhiều. Như mật khẩu là “pcworldvn” sẽ dễ đoán ngay từ vài lần đầu hơn là “www@PCWorld!vn”. Nhưng vấn đề ở đây là ngoại trừ những mật khẩu quá dễ đoán thì chúng ta có cần một mật khẩu quá phức tạp?

    Vì như đã nói ở trên, phần lớn tin tặc lấy được mật khẩu người dùng là do họ chiếm được cơ sở dữ liệu của người dùng, trong đó có mật khẩu. Nên một mật khẩu dài, khó đoán cũng chẳng có ý nghĩa gì khi cơ sở dữ liệu nằm trong tay tin tặc. Thậm chí, các phương thức xác thực “an toàn hơn” với các hàng băm (hash) và thuật toán mạnh hơn cũng chỉ tăng thêm độ an toàn mật khẩu chút ít mà thôi. Chuyển từ kỹ thuật DES sang Bcrypt cải thiện bảo mật thêm một chút. Đó là bởi vì các kẻ ăn cắp mật khẩu ngày nay không tấn công vào các điểm yếu nơi giao thức nữa, do vậy sử dụng giao thức xác thực mạnh hơn cũng không mang nhiều ý nghĩa.

    Minh hoạ cho điều này là có nhiều công ty đưa ra các giao thức xác thực mạnh hơn, phức tạp hơn nhưng cứ mỗi năm, mật khẩu bị lộ vẫn đều đều mà không có dấu hiệu ít đi.

    Vậy cái gì bảo vệ được?
    Điều này không có nghĩa là bạn đầu hàng. Có hai phương pháp chính để xử lý 2 nguyên nhân cốt lõi là lừa đảo và tấn công cơ sở dữ liệu.
    Ngăn chặn lừa đảo có nghĩa là người dùng cần ý thức tốt hơn chuyện này. Nếu ai đó đã từng bị lừa đảo một lần, có lẽ đó sẽ là bài học để đời nhất. Nhiều trình duyệt có các công cụ chống lừa đảo, chí ít là bạn nên dùng một trong số chúng. Ngoài ra, ISP cũng sẽ ảnh báo nếu bạn đang vào một trang web nào đó bị liệt vào sổ đen. Những dịch vụ này cũng gặp một vấn đề về tính chính xác giống như phần mềm quét virus, nhưng có còn hơn không.

    Tuy nhiên, câu trả lời thực sự là các nhà cung cấp dịch vụ ISP cần làm nhiều hơn để ngăn chặn tin tặc đánh cắp cơ sở dữ liệu, có nghĩa là tạo thật nhiều trở ngại cho tin tặc và malware truy cập được vào các tài khoản quản trị cấp cao trong hệ thống có chứa cơ sở dữ liệu. Cách tốt nhất và dễ làm nhất là loại bỏ mọi thành viên tạm thời trong nhóm quản trị.

    Ngoài ra, kiểu xác thực 2 bước (2FA) cũng tỏ ra rất hiệu quả. Ngày càng có nhiều hệ thống mạng và dịch vụ công cộng hỗ trợ 2FA.

    Nhưng với 2FA, nếu tin tặc có thể tiếp cận được với cơ sở dữ liệu 2FA thì mọi thứ cũng bỏ đi mà thôi.

    Một chi tiết quan trọng khác trong xác thực 2FA là ở mức hệ điều hành hay thư mục, token 2FA không thực sự hiệu quả. Sau khi xác thực 2FA thành công, mọi xác thực và quyền truy cập tiếp theo chỉ được xác thực 1 bước. Do vậy, nếu kẻ xấy đánh cắp được token 1 bước ấy thì 2FA cũng “bỏ đi”.
    Sự thực khác nữa là nhiều trang web sử dụng xác thực 2FA nhưng không tiếp tục sử dụng biện pháp xác thực 1 bước tiếp theo. Điều này cũng là cơ hội cho kẻ xấu. Đồng thời, xác thực có bước câu hỏi bảo mật cũng rất dễ đoán nếu tin tặc dò được thông tin trên mạng của bạn.

    Cuối cùng, điều này có thể khiến vài người ngạc nhiên là cả thập kỷ nay, giải pháp xác thực 2FA không hoàn toàn bảo vệ được người dùng hay thiết bị nếu tin tặc chiếm được thiết bị người dùng. Như loại trojan đánh cắp dữ liệu ngân hàng từ lâu đã vượt mặt 2FA. Chúng làm điều đó như thế nào? Tóm lại là nếu kẻ xấu điều khiển được thiết bị của bạn, chúng có thể giả danh được bất cứ thứ gì chúng muốn để làm điều xấu. Thậm chí chúng có thể lấy tài khoản của bạn để chuyển hướng sang một thứ gì đó hoàn toàn mới, loại bạn ra khỏi chuỗi kinh doanh nào đó của bạn.

    Những kiểu bảo vệ mật khẩu khác
    Có 2 biện pháp phòng vệ chính. Đầu tiên, không dùng lại một mật khẩu trên nhiều trang web và dịch vụ. Vì càng sử dụng nhiều trang web, dịch vụ thì mức độ rủi ro bị mất cắp dữ liệu càng cao. Nếu bạn mất mật khẩu ở dịch vụ này thì kẻ xấu không thể sử dụng mật khẩu đó ở dịch vụ khác.

    Thứ hai là thay đổi mật khẩu định kỳ trên mọi trang web. Kinh nghiệm của các chuyên gia là mỗi năm nên đổi một lần. Vì bạn nên cho rằng ít nhất có 1 mật khẩu của mình đang nằm trong máy tính của kẻ xấu chờ chúng lấy ra sử dụng. Đương nhiên, tấn công kiểu cơ sở dữ liệu thì lỗi không thuộc về người dùng trang web, dịch vụ.

    Dù gì, cho đến nay các phương pháp và công cụ ăn cắp mật khẩu vẫn chưa có nhiều đột phá. Lời khuyên rất cũ là dùng mật khẩu dài và phức tạp, dùng các giao thức xác thực tiên tiến không thực sự hiệu quả như trước đây nữa. Lời khuyên này không có hại và khiến tin tặc khó ăn cắp hơn. Nhưng cách hiệu quả hơn là thay đổi mật khẩu định kỳ, không sử dụng cùng mật khẩu cho nhiều trang web và nếu bạn làm trang web, hãy dùng đến xác thực 2 lớp 2FA.
     

    Nguồn: Theo Computerworld