Microsoft loại bỏ yêu cầu thay đổi mật khẩu định kỳ
Hãng công nghệ Microsoft đã có những thay đổi quan trọng về chính sách bảo mật: nhóm tiêu chuẩn (baseline) của Windows 10 v1809 và Windows Server 2019 đã không còn chính sách hết hạn mật khẩu, tức không còn buộc người dùng phải thay đổi mật khẩu định kỳ. Những nghiên cứu gần đây đã nghi hoặc về những quy tắc quản lý mật khẩu “lâu đời” như đổi mật khẩu định kỳ và khuyến nghị sử dụng những chính sách tốt hơn như: không sử dụng những mật khẩu thông dụng, dễ đoán hay sử dụng xác thực đa nhân tố.
Một nghiên cứu được thực hiện tại trường đại học North Carolina (Mỹ) vào năm 2010 cho thấy, các chính sách hết hạn mật khẩu thường làm giảm độ an toàn của hệ thống vì người dùng sẽ chọn mật khẩu yếu hơn hay chỉ sửa đổi mật khẩu cũ đi một chút (ví dụ như đổi mật khẩu từ “P@$$w0rd1” thành “P@$$w0rd2”). Các tổ chức tiêu chuẩn như NIST (Mỹ), CESG (Anh) cũng đã kết luận rằng, chính sách buộc đổi mật khẩu định kỳ thường không hiệu quả, thậm chí phản tác dụng. Tuy các nhà nghiên cứu ngày càng đồng ý về tác hại của chính sách hết hạn mật khẩu nhưng các tổ chức lớn thường không muốn thay đổi. Tuy nhiên, một đổi mới nổi bật đã xảy ra năm 2016, khi Lorrie Cranor – Giám đốc kỹ thuật của Ủy ban Thương mại Liên bang Mỹ đã đề nghị tổ chức của bà loại bỏ chính sách buộc nhân viên đổi mật khẩu định kỳ. Bà vui mừng khi biết 2 trong số 6 mật khẩu dùng trong cơ quan chính phủ mà bà sử dụng đã không còn phải thay đổi định kỳ nữa.
Chính sách hết hạn mật khẩu định kỳ chỉ có giá trị trong trường hợp một mật khẩu hay giá trị băm của nó bị đánh cắp trong thời hạn hiệu lực và bị lạm dụng, còn nếu mật khẩu không bị đánh cắp thì sẽ không cần phải thay đổi nó. Nếu có bằng chứng là mật khẩu đã bị đánh cắp thì cần thay đổi ngay lập tức, chứ không cần đến hết thời hạn quy định. Trường hợp mật khẩu có khả năng bị đánh cắp, thì thời gian mặc định trong quy định của Windows để thay đổi mật khẩu là 42 ngày, trong khi trước đây từng là 60 ngày (trước đó nữa là 90 ngày). Việc phải thay đổi mật khẩu quá thường xuyên sẽ gây bất tiện cho người dùng. Trong khi đó, nếu mật khẩu không bị đánh cắp thì việc đổi mật khẩu không thực sự có tác dụng.
Khi tổ chức đã triển khai chính sách không sử dụng những mật khẩu thông dụng, dễ đoán; áp dụng xác thực đa nhân tố; nhận diện tấn công dò mật khẩu; phát hiện những lần đăng nhập bất hợp lệ,… thì tổ chức không cần chính sách hết hạn mật khẩu định kỳ nữa. Ngược lại, khi không có những biện pháp giảm thiểu rủi ro trên thì chính sách hết hạn mật khẩu thực sự không có nhiều lợi ích.
Nếu các nhà cung cấp dịch vụ không yêu cầu đổi mật khẩu định kỳ, thì để đảm bảo an toàn cá nhân trên mạng, người dùng có thể kiểm tra xem mật khẩu trên các website công cộng của mình đã bị đánh cắp hay chưa bằng cách kiểm tra tại địa chỉ này. Nếu mật khẩu đã bị lộ, cần thay đổi ngay lập tức, đồng thời cần dùng những mật khẩu khác nhau cho những trang web khác nhau.
Với các tổ chức, việc đảm bảo mật khẩu của người dùng không trùng với danh sách những mật khẩu phổ biến và đã bị lộ, lọt là một yêu cầu cấp bách. Ấn phẩm đặc biệt của NIST hướng dẫn xác thực số “Special Publication 800-63-3: Digital Authentication Guidelines” khuyến nghị việc kiểm tra đối chiếu với “danh sách mật khẩu đen” trong quá trình đăng ký tài khoản người dùng. Hiện nay đã có một dịch vụ đặc biệt giúp thực hiện điều đó tại địa chỉ này.
NIST Bad Passwords (NBP) là thư viện hỗ trợ việc loại bỏ những mật khẩu thông dụng phía máy khách. Thư viện này sử dụng danh sách 1 triệu mật khẩu thông dụng nhất của hướng dẫn kiểm thử an toàn SecList. Các tổ chức cũng cần bổ sung chức năng tương tự trên máy chủ. Việc sử dụng NBP khá đơn giản: thêm thư viện này vào trang đăng ký người dùng và đặt thư mục chứa cơ sở dữ liệu mật khẩu thông dụng vào cùng thư mục với trang đăng ký (các nhà phát triển có thể bổ sung thêm những bộ sưu tập mật khẩu yếu riêng của họ). Sau đó, thực hiện gọi các hàm trong NBP. Ví dụ: nếu người dùng chọn mật chọn mật khẩu là "P@$$w0rd2", thì gọi lệnh kiểm tra NBP.isCommonPassword('hunter2');. Những thư viện như NBP chỉ là một trong số rất nhiều những công cụ nâng cao tính an toàn cho quá trình đăng nhập. Các tổ chức cần sử dụng thêm những công cụ xác thực an toàn như Google Authenticator, với sự tham gia của nhiều nhân tố xác thực bổ sung cho mật khẩu. |
Nguyễn Anh Tuấn