Nguy cơ mất an toàn thông tin từ việc sử dụng lại mật khẩu
4 hình thức sử dụng lại mật khẩu sai lầm
Hình thức sử dụng mật khẩu sai lầm đầu tiên và dễ tránh nhất là sử dụng lại mật khẩu trên cùng một tài khoản. Ví dụ: nếu tên người dùng là michael.schenck, mật khẩu là Football123 và khi hệ thống nhắc thay đổi mật khẩu nhưng cho phép sử dụng lại Football123 - khi đó người dùng lại sử dụng lại mật khẩu cũ. Vấn đề nằm ở chỗ cơ sở dữ liệu mật khẩu cũ có thể đã bị đánh cắp và tấn công, nghĩa là mật khẩu Football123 có thể đã bị xâm phạm. Trong trường hợp này, thông tin tài khoản cũ (mà hiện tại tin tặc đã có quyền truy cập) vẫn còn có hiệu lực. Hãy nhớ rằng, một khi đã lộ thì trên Internet khó có thể xóa đi dữ liệu cũ.
Hình thức sử dụng lại mật khẩu phổ biến nhất là sử dụng cùng một mật khẩu cho thư điện tử/tài khoản trên nhiều trang web và dịch vụ khác nhau (ví dụ: sử dụng Football123 làm mật khẩu cho email, tài khoản Netflix, ngân hàng và Microsoft). Nếu một tài khoản bị tấn công có nghĩa là tất cả các tài khoản đều bị tấn công. Đây có thể là một vấn đề rắc rối vì theo số liệu, trung bình một nhân viên kinh doanh phải theo dõi 191 mật khẩu và việc thay đổi tất cả 191 mật khẩu sẽ mất vài ngày.
Hình thức sử dụng lại mật khẩu tiếp theo chính là kết hợp hai hình thức trên với nhau - sử dụng lại cùng một mật khẩu trên các tài khoản có tên người dùng khác nhau. Hầu hết các các chính sách bảo mật không cho phép người dùng sử dụng lại mật khẩu. Tuy nhiên, khi một nhân viên chuyển công ty, các kiểm soát lịch sử mật khẩu của họ không còn được áp dụng nữa. Điều này cho phép các mật khẩu cũ được sử dụng trong công việc mới. Đây cũng là một hành vi sử dụng mật khẩu sai lầm. Khi cơ sở dữ liệu về mật khẩu trên web tối và các nguồn thông tin tình báo mã nguồn mở tiếp tục phát triển, thì việc tin tặc liên kết mật khẩu với người dùng trở nên dễ dàng hơn – kể cả với tên người dùng tài khoản khác hay công ty khác.
Hình thức sử dụng lại mật khẩu cuối cùng là sử dụng mật khẩu phổ biến. Hàng năm, nhiều ấn phẩm đã liệt kê lại danh sách top 10, 20, 100 mật khẩu phổ biến được sử dụng hàng đầu của năm trước. Ví dụ: vào năm 2020, hơn 2,5 triệu người dùng đã sử dụng mật khẩu “123456”. Danh sách các mật khẩu phổ biến được tin tặc sử dụng để viết kịch bản, hoặc tấn công vét cạn mật khẩu (brute-force) để đăng nhập nhằm chiếm đoạt quyền truy cập. Nếu bạn sử dụng bất kỳ mật khẩu phổ biến nào trong số này, việc bị tấn công chỉ là vấn đề thời gian.
Cách ngăn chặn việc sử dụng lại mật khẩu
Rất may, đã có những giải pháp cho vấn đề này và khắc phục những hạn chế của con người. Xác thực đa yếu tố (MFA), đào tạo về an ninh mạng, phần mềm quản lý mật khẩu, cấu hình đúng và các công cụ sàng lọc mật khẩu nâng cao đều giúp giảm thiểu các thói quen xấu ảnh hưởng đến cuộc sống số. Sử dụng từng giải pháp hoặc kết hợp các giải pháp này làm giảm nguy cơ thông tin được bảo vệ có thể bị truy cập trái phép.
Thực thi chính sách mật khẩu
Nhân viên bộ phận công nghệ thông tin (CNTT) của doanh nghiệp có thể dễ dàng thực thi các biện pháp chống lại việc sử dụng lại mật khẩu. Thông qua giải pháp bảo mật hoặc tiện ích bổ sung được tích hợp sẵn, bộ phận CNTT có thể cấm các mật khẩu đã sử dụng trước đó trong cùng một môi trường. Các tiện ích bổ sung thích hợp có thể ngăn chặn việc sử dụng mật khẩu phổ biến và mật khẩu bị rò rỉ trên web tối hoặc nền tảng tình báo mã nguồn mở.
Giải pháp đăng nhập một lần
Nhiều tài khoản và trang web đang cho phép tích hợp nền tảng xác thực của bên thứ ba. Người dùng có thể đã sử dụng nền tảng xác thực của bên thứ ba mà không nhận ra điều đó. Ví dụ như đăng nhập vào LinkedIn thông qua tài khoản Gmail. Công nghệ tương tự cũng có sẵn cho các tài khoản doanh nghiệp, cho phép người dùng sử dụng cùng một tài khoản để đăng nhập vào máy tính. Sử dụng công nghệ này giúp người dùng giảm nguy cơ sử dụng lại mật khẩu bằng cách hạn chế số lượng tài khoản cần thiết phải sử dụng để đăng nhập.
Các trình quản lý mật khẩu
Một trong những cách dễ dàng nhất để xử lý nhiều mật khẩu cho nhiều tài khoản là loại bỏ việc phải ghi nhớ tất cả chúng. Trình quản lý mật khẩu là phần mềm hoặc dịch vụ web yêu cầu xác thực đa yếu tố để truy cập và lưu trữ mật khẩu ở định dạng được mã hóa. Nó cũng ghi chú các trang web tương ứng với thông tin tài khoản. Nhiều trình quản lý mật khẩu hàng đầu cũng có thể tạo mật khẩu đặc biệt và tự động thay đổi mật khẩu cho bạn.
Đào tạo người dùng về an ninh mạng
Đào tạo người dùng để tạo mật khẩu mạnh, hiệu quả, dễ nhớ và khó đoán là yếu tố cần thiết đối với bất kỳ chương trình nâng cao nhận thức về an ninh mạng nào. Người dùng đã được đào tạo sẽ ít có khả năng sử dụng mật khẩu cũ hoặc mật khẩu bị xâm phạm ngay từ đầu.
Xác thực đa yếu tố
Xác thực đa yếu tố cần tên người dùng và mật khẩu, đồng thời đặt ra yêu cầu bổ sung là nhập mã thông báo một lần (được gửi qua ứng dụng hoặc tin nhắn SMS) hoặc quét sinh trắc học (ví dụ như vân tay).
MFA cho phép truy cập dựa vào sự kết hợp của các yếu tố, trong đó bao gồm điều mà người dùng biết (thông tin đăng nhập), điều mà người dùng sở hữu (điện thoại, ứng dụng, thẻ thông minh hoặc mật mã sử dụng một lần) hay điều người dùng đang có (vân tay, võng mạc, khuôn mặt hoặc mống mắt). Độ an toàn của các giải pháp này là khác nhau nhưng tất cả đều làm giảm khả năng bị truy cập trái phép.
Lời kết
Việc sử dụng lại mật khẩu là một vấn đề an ninh mạng quan trọng, nhưng ngăn chặn nó cũng không quá khó. Mặc dù khả năng ghi nhớ mật khẩu của con người bị hạn chế và số lượng mật khẩu ngày càng nhiều, nhưng người dùng có thể thực hiện các bước đơn giản để bảo vệ thông tin đặc quyền của mình.
Thông qua việc triển khai thích hợp các giải pháp quản lý xác thực, đào tạo an ninh mạng, sử dụng các công cụ hiệu quả như MFA và trình quản lý mật khẩu, thì người dùng có thể đảm bảo mật khẩu của mình không phải là mối đe dọa lớn. Người dùng cũng nên cân nhắc trao đổi với bộ phận CNTT về các biện pháp khác để quản lý và bảo vệ mật khẩu.
Đỗ Đoàn Kết