• Thứ Ba, 27/06/2006 16:41 (GMT+7)

    Mật khẩu an toàn hơn

    Nhiều người thường nhắc nhau về 3 quy luật của Dunn trong bảo mật hệ thống: "Đừng bao giờ cho rằng dữ liệu của mình luôn an toàn", "Nếu bạn sử dụng hệ điều hành của Microsoft, chắc chắc sẽ có lỗ hổng bảo mật" và "Mật khẩu càng cũ, độ an toàn hệ thống càng kém". Cách đơn giản nhất và rẻ nhất để bảo vệ dữ liệu là bạn cần suy nghĩ nhiều hơn cho các mật khẩu mà mình đang sử dụng, hãy đổi mới và sử dụng chúng thường xuyên hơn.

    Để tìm hiểu những khái niệm cơ bản về mật khẩu trên Windows, bạn có thể tìm đọc lại bài viết "Ngăn ngừa những cặp mắt tò mò bằng password của Windows" (ID: A0209_81) và "Pasword của bạn có an toàn" (ID: A0310_115). Trong bài viết này, chúng tôi sẽ giới thiệu đến bạn những thủ thuật giúp tăng khả năng phòng thủ cho mật khẩu. Tuy nhiên, sẽ có vài trường hợp bạn không thể áp dụng chúng cho những máy tính trên mạng được nhà quản trị hệ thống (administrator) hạn chế khả năng điều khiển của người dùng.

    TĂNG LỰC CHO MẬT KHẨU

     

    Hình 1: Local Security Policy giúp tạo mật khẩu hiệu quả và an toàn hơn.

    Thông thường, Windows 2000/Windows XP cho phép bạn tạo mật khẩu bằng cách tập hợp nhiều ký tự khác lại với nhau nhưng trong nhiều trường hợp, hai hệ điều hành này không đòi hỏi bất kỳ mật khẩu nào (điều này thật nguy hiểm!). Rất may, bạn có thể thiết lập để Windows XP yêu cầu tất cả tài khoản người dùng phải thực hiện thói quen sử dụng mật khẩu an toàn hơn thông qua công cụ Local Security Settings. Bạn nhấn Start.Control Panel.Administrative Tools. Local Security Setting (hay Local security Policy.Security Settings). Trong khung bên trái của cửa sổ Security Settings, bạn nhấn chuột lên dấu cộng (+) cạnh mục Account Policies và chọn biểu tượng Password Policy (Hình 1). Lúc này, bạn đã sẵn sàng để thiết lập Windows sử dụng mật khẩu theo ý riêng của mình.

    Chiều dài mật khẩu: Để yêu cầu tất cả người dùng phải sử dụng một mật khẩu khó bị tin tặc dò ra, bạn nhấn đúp chuột lên biểu tượng Minimum password length trong khung cửa sổ bên phải. Sau đó, xác định số lượng ký tự phải có trong mật khẩu (con số này có thể từ 1 đến 14 tuy nhiên Microsoft bắt buộc mật khẩu phải có ít nhất 6 kí tự) và nhấn OK để kết thúc.

    Tăng độ phức tạp: Tiếp theo, bạn nhấn đúp chuột vào biểu tượng Password must meet complexity requirements, chọn Enabled và nhấn OK. Thiết lập này sẽ bắt buộc mật khẩu phải có ít nhất ba trong số các loại ký tự sau: chữ cái viết hoa, chữ cái viết thường, con số, ký hiệu đặc biệt (như dấu chấm câu chẳng hạn). Đồng thời, mật khẩu phải không bao gồm tên tài khoản đăng nhập hệ thống cũng như đừng sử dụng toàn bộ hay một phần nào địa chỉ email trong mật khẩu.

    Bạn cần phải làm sao để mật khẩu của mình thật khó để người khác có thể đoán được, nhưng phải thật dễ nhớ đối với chính mình. Ví dụ, mật khẩu "PCWis#12me" có nghĩa là " PC World is number 1 to me".

    Hình 2: Thiết lập thời hạn hiệu lực của mật khẩu.

     

    Thời hạn có hiệu lực: Để mật khẩu không trở nên quá cũ kỹ, bạn nhấn đúp chuột vào biểu tượng Maximum password age, nhập vào số ngày mà bạn muốn Windows sẽ yêu cầu người dùng đổi mật khẩu mới (Hình 2). Trong hầu hết trường hợp, giá trị mặc định là 42 ngày. Sau khi đã nhập giá trị mới vào, bạn nhấn OK.

    Mức độ thay đổi: Để tránh tình trạng người dùng chỉ sử dụng 2 mật khẩu giống nhau mỗi lần được yêu cầu đổi mật khẩu, bạn nhấn đúp Enforce password history và nhập vào số lượng mật khẩu cần Windows theo dõi. Ví dụ, nếu nhập vào giá trị 8, người dùng sẽ không thể sử dụng lại 1 trong 8 mật khẩu được dùng gần đây. Nhấn OK khi thực hiện xong. Bạn cũng có thể qui định số ngày tối thiểu mà mật khẩu mới phải được sử dụng thực tế, vì có trường hợp, người dùng cố tình thay đổi mật khẩu nhiều lần trong một ngày để làm thỏa điều kiện trong thiết lập "Enforce password history", sau đó đặt lại mật khẩu. Để hạn chế "tiểu xảo" này, bạn nhấn đúp chuột vào biểu tượng Minimun password age, nhập vào số ngày cần thiết và nhấn OK.

     

    Hình 3: Local User and Groups cho phép làm cho một mật khẩu luôn còn hiệu lực.

    Tắt chế độ tạo bản sao mật khẩu: Có thể bạn sẽ bị cám dỗ bởi tùy chọn cuối cùng trong cửa sổ Password Policy là Store passwords using reversible encryption. Mặc định, hệ thống tắt đi tính năng này. Cài đặt này sẽ hướng dẫn Windows lưu lại một tập tin văn bản của mật khẩu và điều này hết sức nguy hiểm nếu chẳng may ai đó vô tình xem được tập tin này. Tuy nhiên, bản sao không được "mã hóa" này chỉ làm việc với những ứng dụng yêu cầu mật khẩu đăng nhập của Windows. Trừ khi có những ứng dụng như thế, còn không thì hệ thống sẽ an toàn hơn nếu bạn vô hiệu hóa tính năng này.

    Số lần nhập mật khẩu: Mặc định, bất kỳ ai muốn đăng nhập vào tài khoản của bạn đều có thể thử với nhiều mật khẩu khác nhau cho đến khi thành công. Phương pháp "hack" mật khẩu này rất nguy hiểm nếu máy tính của bạn có khả năng được truy xuất từ xa (remote access). Một biện pháp để chống lại các cuộc tấn công kiểu này là hạn chế số lần nhập lại mật khẩu. Để thực hiện điều này, bạn nhấn chuột lên biểu tượng Account Lockout Policy trong khung cửa sổ bên trái (ngay dưới biểu tượng Password Policy). Trong khung cửa sổ bên phải, bạn nhấn đúp chuột lên biểu tượng Account Lockout Threshold, nhập vào số lần nhập sai mật khẩu được cho phép trước khi hệ thống "khóa" tài khoản này lại – chỉ có tài khoản quản trị mới có thể khôi phục lại quyền cho tài khoản bị khóa này. Thông thường, giá trị này được đặt từ 3 đến 5 là phù hợp. Khi thay đổi cài đặt này, Windows sẽ tự động đặt lại giá trị là 30 phút cho 2 thông số Account lockout duration và Reset account lockout counter after. Để thay đổi hai cài đặt này, bạn nhấn đúp chuột lên biểu tượng tương ứng, nhập vào số phút cần thiết, sau đó nhấn OK.

    Hình 4: Nhắc nhở người dùng đổi mật khẩu bằng cách tinh chỉnh Windows Registry.

     

    Không hạn chế thời gian hiệu lực: Nếu đang giữ trong tay một tài khoản với quyền quản trị nhưng hiếm khi sử dụng thì bạn có lẽ sẽ muốn không mật khẩu của tài khoản này được thiết lập thời gian có hiệu lực. Để tạo ra trường hợp ngoại lệ này, chọn Start.Run, gõ vào lệnh lusrmgr.msc, và ấn <Enter>. Trong khung cửa sổ bên phải (hay trái cũng được), bạn nhấn đúp chuột lên biểu tượng Users, sau đó tiếp tục nhấn đúp chuột lên lên tài khoản đó, đánh dấu chọn lên mục Password never expires và cuối cùng là nhấn OK (Hình 3).

    Nhắc nhở khi sắp hết hạn: Bạn có thể yêu cầu Windows đưa ra thông tin cảnh báo đến người dùng khi sắp đến ngày mật khẩu sẽ hết hiệu lực bằng cách thực hiện chỉnh sửa Registry. Lưu ý, trước khi thực hiện, hãy tiến hành sao lưu lại toàn bộ Registry của hệ thống để phòng trường hợp bất trắc xảy ra.

    Khi đã sao lưu Registry xong, bạn chọn Start.Run, gõ vào lệnh regedit, và ấn <Enter> để mở cửa sổ Registry Editor. Trong khung cửa sổ bên trái, bạn di chuyển và tìm đến mục HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon. Ở khung bên cửa sổ phải, bạn nhấn đúp chuột vào biểu tượng passwordexpirywarning (nếu không thấy biểu tượng này, bạn nhấn phải chuột, chọn New.DWORD Value, và nhập vào tên này vào trong hộp thoại), đánh dấu tùy chọn Decimal. Tại mục Value data, bạn hãy nhập vào số ngày trước thời điểm mật khẩu hết hiệu lực mà bạn muốn hệ thống bắt đầu nhắc nhở người dùng cần thay đổi mật khẩu (Hình 4).

    QUẢN LÝ MẬT KHẨU TRONG XP

     

    Hình 5: Chọn biểu tượng cho shortcut khởi chạy tiện ích quản lý mật khẩu.

    Thông thường, khi truy cập vào một máy chủ trên mạng nội bộ hoặc ghé thăm một website được bảo mật, bạn sẽ được yêu cầu nhập vào tên tài khoản và mật khẩu. Nếu bạn có nhiều website cần tham khảo, sẽ rất bất tiện khi phải nhớ hàng đống tên tài khoản và mật khẩu đó. Windows XP cho phép bạn chỉ cần nhớ 2 thông tin này ở lần đăng nhập đầu tiên (đánh dấu hộp thoại Remember my password), nhưng phải làm gì nếu bạn muốn thay đổi hay xóa chúng? Hãy mở cửa sổ User Accounts trong Control Panel: chọn Start.Run, gõ vào lệnh control userpasswords, và ấn <Enter>. Nếu máy tính được nối vào một mạng mô hình domain, bạn chọn tên người dùng trên nhãn Users, và nhấn Advanced.Manage Passwords. Nếu không phải, bạn chọn tài khoản ở dưới cùng của cửa sổ User Accounts. Trong hộp thoại Related Tasks ở bên trái, bạn nhấn Manage my network passwords để mở cửa sổ Stored User Names and Passwords.

    Đến đây, bạn chọn một website hay máy chủ (trên mạng nội bộ) và nhấn Remove để xóa tên tài khoản và mật khẩu đã được lưu giữ; hoặc cũng có thể nhấn Properties để sửa lại đường dẫn đến máy chủ và website, tên đăng nhập, hay mật khẩu. Muốn bổ sung thêm một khoản mục mới, bạn nhấn Add để mở hộp thoại Login Information Properties. Tuy nhiên, bạn phải biết chính xác định dạng của thông tin nhập vào. Trong hộp thoại Server, bạn nhập vào địa chỉ URL hoặc đường dẫn đến máy chủ: đối với các chia sẻ qua mạng, bạn có thể dùng đường dẫn chuẩn Universal Naming Condition (UNC), như \\server\share chẳng hạn. Ký tự dấu hoa thị (*) – ví dụ như trong *.pcworld.com – cũng được cho phép nếu bạn có nhiều tài khoản dùng cho một website. Tiếp theo, bạn điền vào hộp thoại User name theo một hay hai định dạng sau: server\user dùng cho các máy chủ (ví dụ, STORAGE\John), hoặc user@domain.com dùng cho các website (ví dụ John@pcworld.com). Cuối cùng, điền vào mật khẩu trong hộp Password và nhấn OK.

    MỞ NHANH CỬA SỔ QUẢN LÝ

    Nếu phải quay lại nhiều lần để sử dụng tiện ích quản lý mật khẩu của Windows XP, bạn không nhất thiết cần duyệt qua cửa sổ Control Panel. Thay vào đó, bạn có thể tạo một trình đơn hoặc một biểu tượng tắt (shortcut) màn hình để trực tiếp khởi chạy tiện ích này. Bạn nhấn phải chuột lên bất kỳ chỗ trống nào trên màn hình Windows và chọn New.Shortcut. Trong hộp xác định đường, gõ vào rundll32.exe keymgr.dll, KRShowKeyMgr, rồi nhấn Next. Trong cửa sổ kế tiếp, đặt tên cho shortcut này, và nhấn Finish để kết thúc. Để làm cho biểu tượng của shortcut trực quan hơn, bạn nhấn phải chuột lên biểu tượng đó và chọn Properties. Trong nhãn Shortcut, bạn nhấn Change Icon, gõ vào đường dẫn đến tập tin biểu tượng mà bạn muốn sử dụng, hoặc nhấn Browse để tìm trong một thư mục như shell32.dll hoặc moricons.dll (hình 5). Tiếp đến, chọn một biểu tượng trong danh sách đó và nhấn OK hai lần để hoàn tất.

     

    ĐẶT MẬT KHẨU ĐÚNG CHỖ

     
     

    Nếu nhận thấy công cụ quản lý mật khẩu của Windows quá hạn chế hoặc lộn xộn, bạn có thể chọn tiện ích Access Manager của Citi-Software. Chương trình miễn phí này (w ww.accessmanager.co.uk) không chỉ lưu lại mật khẩu của các website và máy chủ một cách an toàn, mà còn có khả năng theo dõi các thông tin về tài khoản ngân hàng và thẻ tín dụng, mật khẩu thư điện tử, mã tắt/mở hệ thống báo động tại nhà, v.v. Bạn có thể sắp xếp các mật khẩu này theo từng loại được định sẵn (ví dụ như website, mã PIN hoặc truy cập tài liệu) hoặc phân chia chúng theo chủng loại. Access Manager có thể tạo ra một mật khẩu thỏa mãn các yêu cầu về độ phức tạp. Các nút nhấn trên màn hình cho phép bạn có thể sao chép lại tên tài khoản hoặc mật khẩu để dán chúng vào các website và bảng biểu khác. Thậm chí còn dễ dàng hơn, bạn có thể kéo thả (drag) tên tài khoản vào trong một biểu mẫu để sao chép mật khẩu vào Windows Clipboard, vì thế bạn chỉ cần di chuyển giữa các cửa sổ một lần (thực hiện kéo thả ở một hộp thoại và sau đó dán thông tin vào hộp thoại khác). Đáng tiếc, Access Manager yêu cầu hệ thống phải cài sẵn .Net Framework phiên bản 1.1 miễn phí của Microsoft. Ngoài ra, để có nhiều tính năng hơn, bạn có thể đăng ký phiên bản chuyên nghiệp với giá 25 USD.

     

    Xuân Cường
    PC World Mỹ 6/2006

    ID: A0606_137