• Thứ Sáu, 19/12/2014 12:50 (GMT+7)

    5 cách thoát khỏi ác mộng mật khẩu

    Phạm Tiến Quang
    (PCWorldVN) Quản lý mật khẩu luôn là vấn đề nóng, công nghệ phát triển còn làm cho bảo mật trở nên phức tạp hơn với sự phổ biến của các chương trình nhắn tin, ứng dụng cho thiết bị di động...

    Một chuyên gia bảo mật ví von rất trực quan: “Mỗi lần phát hiện có kẻ trèo rào, đội bảo mật chúng tôi lại xây hàng rào bảo mật cao thêm chục phân. Để rồi sau đó người dùng lại tiếp tục tìm cách để trèo qua chỗ tường vừa xây cao thêm đó”.

    Một trong những khó khăn lớn nhất mà đội phụ trách bảo mật của doanh nghiệp phải đối mặt là hiện tượng người dùng chia sẻ mật khẩu trên nhiều trang web khác nhau. Chỉ cần một trong các trang web đó có vấn đề là toàn bộ các trang khác đều có nguy cơ bị lộ mật khẩu. không loại trừ có những trang liên quan trực tiếp tới công việc công ty. Cần nhấn mạnh rằng vấn đề quản lý mật khẩu luôn luôn nóng và giờ đây các công nghệ thế hệ kế tiếp còn làm cho việc bảo mật trở nên đau đầu hơn rất nhiều với sự phổ biến của các chương trình nhắn tin, ứng dụng cho thiết bị di động thông minh, ứng dụng chạy trực tiếp từ USB, kiểm soát giọng nói, hình ảnh hay máy quét vân tay… và liên tục sẽ có các phương thức bảo mật mới ra đời song không có cái nào thực sự vượt trội. Hậu quả là người dùng vẫn phải điên đầu với các loại mật khẩu.

    Các doanh nghiệp hiện nay rất thấu hiểu điều này và đang nỗ lực giảm thiểu các yêu cầu liên quan đến mật khẩu, ứng dụng các công cụ quản lý mật khẩu khác nhau để vừa đáp ứng yêu cầu quản lý của doanh nghiệp, vừa tạo thuận tiện cho người dùng.
    Sau đây là 5 cách mà nhiều doanh nghiệp hiện đại đang áp dụng để đối phó với vấn đề mật khẩu.

    Sử dụng các dịch vụ quản lý mật khẩu trên điện toán đám mây

    Việc áp dụng cơ chế đăng nhập 1 mật khẩu tiềm ẩn nhiều rủi ro cho các tổ chức quản lý tập trung, nhất là khi trong tổ chức đó tồn tại nhiều thiết bị đăng nhập tự động. Đó là vấn đề mà công ty cung cấp dịch vụ Rotary International luôn phải đối mặt. Công ty này có tới 1,2 triệu khách hàng thành viên tham gia vào 34.000 câu lạc bộ khác nhau.

    Việc các thành viên đăng nhập là hoàn toàn tự động với nhiều cấp độ khác nhau. Có thành viên thì đăng nhập vào trang web riêng của câu lạc bộ mà họ tham gia, thành viên khác thì đăng nhập vào trang web ở cấp độ khu vực hoặc quốc gia. Ngày càng có nhiều thành viên đăng nhập thông qua ứng dụng cài sẵn trên thiết bị di động. Để đối phó với sự phức tạp này mà vẫn tạo ra sự thuận tiện cho người dùng, doanh nghiệp này quyết định chọn dịch vụ điện toán đám mây do công ty chuyên về lĩnh vực quản lý truy cập Octa cung cấp. Thêm nữa, chính bản thân việc sử dụng điện toán đám mây cũng có lợi cho chính doanh nghiệp khi cung cấp bảo mật như một dịch vụ gia tăng. Nó cũng làm cho việc quản lý thành viên của thệ thống các câu lạc bộ này đơn giản đi và thành viên của họ thì có thể sử dụng được dịch vụ từ bất kỳ đâu.

    Hiện Rotary cũng đang xúc tiến cả việc thay đổi cơ cấu mật khẩu thay cho cơ chế 8 ký tự truyền thống. Người phụ trách bảo mật cho biết dần sẽ tăng thêm độ dài ký tự, cho phép sử dụng các cụm từ thay vì máy móc yêu cầu mật khẩu phải có đủ chữ hoa, chữ thường và số. Kiểu mật khẩu này sẽ dễ nhớ hơn đối với người dùng đồng thời giúp bộ phận quản trị mạng ngăn chặn và đối phó với kiểu phá mật khẩu cưỡng bức hiệu quả hơn.

    Sử dụng các phần mềm quản lý mật khẩu độc lập

    Secure-24, một doanh nghiệp cung cấp dịch vụ cho các khách hàng là công ty ô tô, công ty sản xuất và chăm sóc sức khỏe cũng gặp phải vấn đề tương tự với Rotary khi phải quản lý mật khẩu cho khách hàng của mình, những người luôn yêu cầu các mật khẩu riêng biệt, an toàn để truy cập vào hệ thống của công ty họ. Kỹ sư hệ thống của Secure-24 chia sẻ: “Khách hàng yêu cầu chúng tôi tạo ra và quản lý mật khẩu trên nhiều máy chủ sử dụng các công nghệ khác nhau”. Để giải quyết vấn đề này, Secure-24 chọn dùng phần mềm quản lý mật khẩu doanh nghiệp Secret Server của Thycotic. Phần mềm này cung cấp các phương pháp quản lý mật khẩu đa dạng cho nhiều cấp độ người dùng trên nhiều tên miền khác nhau.

    Ưu điểm của phương pháp này là gần như không có sơ suất gì từ phía người dùng, họ thậm chí còn không biết cả mật khẩu của mình.

    Dùng các ứng dụng dành cho điện thoại thông minh và cơ chế xác thực 2 bước

    Việc giảm thiểu các yêu cầu nghiêm ngặt đối với mật khẩu khiến cho việc xác thực và kiểm soát lần đăng nhập đầu tiên trở nên rất quan trọng. Secure-24 sử dụng cơ chế xác thực 2 bước để vừa đảm bảo an toàn cho định danh của người dùng mà vẫn tạo ra quy trình kiểm soát thuận tiện. Trước đây, bước xác thực thứ hai thường căn cứ vào thiết bị chìa khóa bảo mật kiểu như RSA Security ID hoặc Vasco Digipass tùy theo yêu cầu khách hàng. Cơ chế này chỉ hoạt động tốt chừng nào người dùng bảo quản được thiết bị đăng nhập của mình. Vấn đề là người dùng rất dễ quên thiết bị này ở đâu đó và kết quả là không thể làm việc được. Và đối với người dùng hiện nay thì có vẻ như ‘chìa khóa có thể quên chứ điện thoại thì không thể’.

    Công ty này đang tiến hành bỏ dần việc sử dụng chìa khóa bảo mật đối với các điện thoại thông minh chạy HĐH iOS và Android. Nói cách khác, họ dùng chính những chiếc điện thoại này như những chìa khóa bảo mật để có thể áp dụng các cơ chế bảo mật cao hơn như độ dài chuỗi số xác thực lên tới 8 chữ số thay vì 6 chữ số như trước kia.

    Sử dụng phương thức này xem ra có vẻ kinh tế hơn nhiều so với việc dùng chìa khóa bảo mật trước kia có giá chừng 100USD/chiếc. Ứng dụng trên di động thì miễn phí hoặc chỉ mua một lần là xong, lỡ tay xóa vẫn có thể cài đặt lại rất nhanh chóng chứ không nhiêu khê rắc rối tốn kém như trường hợp người dùng làm mất chìa khóa bảo mật. Một tính năng tuyệt vời nữa mà điện thoại thông minh “ăn đứt” chìa khóa bảo mật là khả năng vô hiệu hóa khả năng truy cập từ xa khi bị thất lạc. Mới đây, Apple còn mở cửa cho các lập trình viên của bên thứ 3 có thể can thiệp vào bộ cảm biến vân tay Touch ID trên các thiết bị di động mới của hãng. Chủ một công ty tư vấn bảo mật - Azorian Cyber Security nói: “Sẽ không có gì ngạc nhiên khi mà các ứng dụng tạo mật khẩu sẽ sử dụng chính vân tay người chủ để tạo ra mã truy cập hay mật khẩu ngẫu nhiên. Nó sẽ đơn giản hóa rất nhiều cho người dùng vốn không thích bị trói buộc bởi các quy định bảo mật doanh nghiệp và sẽ được đón nhận rộng rãi hơn”.

    Áp dụng cho nhóm đặc thù trước

    Rõ ràng là việc áp dụng một hệ thống quản lý mật khẩu hay xác thực mới vào một tổ chức lớn là không dễ, đặc biệt là khi sự thay đổi đó còn gắn với thói quen sử dụng của người dùng. Giám đốc chiến lược của công ty cung cấp giải pháp Xceedium khuyến nghị các doanh nghiệp nên bắt đầu với một nhóm nhỏ người dùng đặc quyền trước để dễ quản lý và rút kinh nghiệm trước khi nhân rộng ra toàn bộ tổ chức.

    Ví dụ như một số công ty cho phép nhiều người cùng dùng chung một tài khoản quản trị hoặc cho phép người dùng có nhiều quyền hạn. Trong trường hợp tin tặc đột nhập được vào hệ thống và chiếm quyền điều khiển của những người dùng này thì thiệt hại không thể đo lường được. Thực tế thì đây vẫn là vấn đề ưu tiên hàng đầu trong lĩnh vực bảo mật an toàn thông tin trong suốt thời gian qua mà trường hợp eBay bị đột nhập là minh chứng rõ ràng nhất. Ước tính tin tặc đang sở hữu khoảng 145 triệu tài khoản người dùng của eBay. Trong thông báo chính thức của hãng cho biết tin tặc nhắm vào một nhóm nhỏ nhân viên của hãng qua đó đột nhập thành công vào cơ sở dữ liệu khách hàng.

    Dùng cụm từ làm mật khẩu thay cho mật khẩu thường

    Một trong những phương thức cải thiện bảo mật an toàn thông tin của doanh nghiệp chính là việc thay đổi cách đặt mật khẩu vẫn dùng từ trước đến nay như là yêu cầu độ dài tối thiểu 8 ký tự, bao gồm chữ hoa, chữ thường… Thay vào đó hãy cho phép và khuyến khích người dùng sử dụng những cụm từ dễ nhớ để làm mật khẩu. Một thành viên của đội phòng chống tấn công mạng tại SANS chia sẻ: “Dựa trên kinh nghiệm có được thông qua những khóa đào tạo mà chúng tôi tiến hành trong những năm qua thì mật khẩu tốt nhất lại là những mật khẩu khó nhớ nhất đối với người dùng. Một mật khẩu dài hơn và dễ nhớ, kiểu như ‘tôi không thích hút thuốc lá’ lại là một mật khẩu tốt cho dù nó toàn dùng chữ thường, không có chữ hoa, không có số hay ký tự đặc biệt. Chắc chắn một điều là mật khẩu này không hề có trong kho lưu trữ của tin tặc. Nếu công ty chưa có điều kiện chuyển sang dùng các cơ chế xác thực hai bước, chìa khóa bảo mật hay bảo mật sinh trắc học thì nên quan tâm ngay đến việc thay đổi chính sách mật khẩu theo hướng này.

    Một điểm khác mà doanh nghiệp có thể thực hiện ngay là cung cấp cho nhân viên các công cụ quản lý mật khẩu cá nhân để họ có thể quản lý và tránh sử dụng mật khẩu công ty cho các mục đích cá nhân. Một số doanh nghiệp hiện dùng phiên bản LastPass dành riêng cho doanh nghiệp để cung cấp cho nhân viên sử dụng. LastPass là dịch vụ quản lý mật khẩu trên nền điện toán mây cài đặt chạy tốt trên cả máy tính cá nhân lẫn điện thoại thông minh.

    Số lượng các tổ chức dùng LastPass hiện đã lên tới trên 5.500, gồm các công ty nhỏ và tầm trung trong danh sách Fortune 500. Mật khẩu công ty và cá nhân được lưu trữ riêng biệt song rất thuận tiện cho người dùng sử dụng mà không cần phải chuyển đổi đăng nhập.

    Các công ty có thể sử dụng nền tảng này kết hợp với các công nghệ chứng thực hai bước khác hoặc với hệ thống đăng nhập một lần dựa trên SAML. Nó cho phép các doanh nghiệp quản lý các thành viên của một nhóm người có thể chia sẻ tài khoản truy cập. Các thư mục được chia sẻ mật khẩu là một trong những khác biệt cơ bản của phiên bản dịch vụ tách bạch giữa cá nhân người dùng và doanh nghiệp. Chính sách bảo mật an toàn thông tin của tổ chức bắt buộc phải đề cập đến mọi khía cạnh để đảm bảo an toàn mật khẩu. Trong đó, không chỉ nhấn mạnh đến tầm quan trọng của mật khẩu và trách nhiệm của từng người dùng trong việc bảo vệ mật khẩu của mình, mà còn phải vạch ra các bước mà người quản trị hệ thống cần tuân thủ để bảo đảm tính bảo mật của hệ thống khi sử dụng cách bảo vệ bằng mật khẩu.

    PC World VN, 12/2014

    Nguồn: Infoworld
    ID: A0412_62