Hình thức sử dụng mật khẩu sai lầm đầu tiên và dễ tránh nhất là sử dụng lại mật khẩu trên cùng một tài khoản. Ví dụ: nếu tên người dùng là michael.schenck, mật khẩu là Football123 và khi hệ thống nhắc thay đổi mật khẩu nhưng cho phép sử dụng lại Football123 - khi đó người dùng lại sử dụng lại mật khẩu cũ. Vấn đề nằm ở chỗ cơ sở dữ liệu mật khẩu cũ có thể đã bị đánh cắp và tấn công, nghĩa là mật khẩu Football123 có thể đã bị xâm phạm. Trong trường hợp này, thông tin tài khoản cũ (mà hiện tại tin tặc đã có quyền truy cập) vẫn còn có hiệu lực. Hãy nhớ rằng, một khi đã lộ thì trên Internet khó có thể xóa đi dữ liệu cũ.
Hình thức sử dụng lại mật khẩu phổ biến nhất là sử dụng cùng một mật khẩu cho thư điện tử/tài khoản trên nhiều trang web và dịch vụ khác nhau (ví dụ: sử dụng Football123 làm mật khẩu cho email, tài khoản Netflix, ngân hàng và Microsoft). Nếu một tài khoản bị tấn công có nghĩa là tất cả các tài khoản đều bị tấn công. Đây có thể là một vấn đề rắc rối vì theo số liệu, trung bình một nhân viên kinh doanh phải theo dõi 191 mật khẩu và việc thay đổi tất cả 191 mật khẩu sẽ mất vài ngày.
Hình thức sử dụng lại mật khẩu tiếp theo chính là kết hợp hai hình thức trên với nhau - sử dụng lại cùng một mật khẩu trên các tài khoản có tên người dùng khác nhau. Hầu hết các các chính sách bảo mật không cho phép người dùng sử dụng lại mật khẩu. Tuy nhiên, khi một nhân viên chuyển công ty, các kiểm soát lịch sử mật khẩu của họ không còn được áp dụng nữa. Điều này cho phép các mật khẩu cũ được sử dụng trong công việc mới. Đây cũng là một hành vi sử dụng mật khẩu sai lầm. Khi cơ sở dữ liệu về mật khẩu trên web tối và các nguồn thông tin tình báo mã nguồn mở tiếp tục phát triển, thì việc tin tặc liên kết mật khẩu với người dùng trở nên dễ dàng hơn – kể cả với tên người dùng tài khoản khác hay công ty khác.
Hình thức sử dụng lại mật khẩu cuối cùng là sử dụng mật khẩu phổ biến. Hàng năm, nhiều ấn phẩm đã liệt kê lại danh sách top 10, 20, 100 mật khẩu phổ biến được sử dụng hàng đầu của năm trước. Ví dụ: vào năm 2020, hơn 2,5 triệu người dùng đã sử dụng mật khẩu “123456”. Danh sách các mật khẩu phổ biến được tin tặc sử dụng để viết kịch bản, hoặc tấn công vét cạn mật khẩu (brute-force) để đăng nhập nhằm chiếm đoạt quyền truy cập. Nếu bạn sử dụng bất kỳ mật khẩu phổ biến nào trong số này, việc bị tấn công chỉ là vấn đề thời gian.
Rất may, đã có những giải pháp cho vấn đề này và khắc phục những hạn chế của con người. Xác thực đa yếu tố (MFA), đào tạo về an ninh mạng, phần mềm quản lý mật khẩu, cấu hình đúng và các công cụ sàng lọc mật khẩu nâng cao đều giúp giảm thiểu các thói quen xấu ảnh hưởng đến cuộc sống số. Sử dụng từng giải pháp hoặc kết hợp các giải pháp này làm giảm nguy cơ thông tin được bảo vệ có thể bị truy cập trái phép.
Thực thi chính sách mật khẩu
Nhân viên bộ phận công nghệ thông tin (CNTT) của doanh nghiệp có thể dễ dàng thực thi các biện pháp chống lại việc sử dụng lại mật khẩu. Thông qua giải pháp bảo mật hoặc tiện ích bổ sung được tích hợp sẵn, bộ phận CNTT có thể cấm các mật khẩu đã sử dụng trước đó trong cùng một môi trường. Các tiện ích bổ sung thích hợp có thể ngăn chặn việc sử dụng mật khẩu phổ biến và mật khẩu bị rò rỉ trên web tối hoặc nền tảng tình báo mã nguồn mở.
Giải pháp đăng nhập một lần
Nhiều tài khoản và trang web đang cho phép tích hợp nền tảng xác thực của bên thứ ba. Người dùng có thể đã sử dụng nền tảng xác thực của bên thứ ba mà không nhận ra điều đó. Ví dụ như đăng nhập vào LinkedIn thông qua tài khoản Gmail. Công nghệ tương tự cũng có sẵn cho các tài khoản doanh nghiệp, cho phép người dùng sử dụng cùng một tài khoản để đăng nhập vào máy tính. Sử dụng công nghệ này giúp người dùng giảm nguy cơ sử dụng lại mật khẩu bằng cách hạn chế số lượng tài khoản cần thiết phải sử dụng để đăng nhập.
Các trình quản lý mật khẩu
Một trong những cách dễ dàng nhất để xử lý nhiều mật khẩu cho nhiều tài khoản là loại bỏ việc phải ghi nhớ tất cả chúng. Trình quản lý mật khẩu là phần mềm hoặc dịch vụ web yêu cầu xác thực đa yếu tố để truy cập và lưu trữ mật khẩu ở định dạng được mã hóa. Nó cũng ghi chú các trang web tương ứng với thông tin tài khoản. Nhiều trình quản lý mật khẩu hàng đầu cũng có thể tạo mật khẩu đặc biệt và tự động thay đổi mật khẩu cho bạn.
Đào tạo người dùng về an ninh mạng
Đào tạo người dùng để tạo mật khẩu mạnh, hiệu quả, dễ nhớ và khó đoán là yếu tố cần thiết đối với bất kỳ chương trình nâng cao nhận thức về an ninh mạng nào. Người dùng đã được đào tạo sẽ ít có khả năng sử dụng mật khẩu cũ hoặc mật khẩu bị xâm phạm ngay từ đầu.
Xác thực đa yếu tố
Xác thực đa yếu tố cần tên người dùng và mật khẩu, đồng thời đặt ra yêu cầu bổ sung là nhập mã thông báo một lần (được gửi qua ứng dụng hoặc tin nhắn SMS) hoặc quét sinh trắc học (ví dụ như vân tay).
MFA cho phép truy cập dựa vào sự kết hợp của các yếu tố, trong đó bao gồm điều mà người dùng biết (thông tin đăng nhập), điều mà người dùng sở hữu (điện thoại, ứng dụng, thẻ thông minh hoặc mật mã sử dụng một lần) hay điều người dùng đang có (vân tay, võng mạc, khuôn mặt hoặc mống mắt). Độ an toàn của các giải pháp này là khác nhau nhưng tất cả đều làm giảm khả năng bị truy cập trái phép.
Việc sử dụng lại mật khẩu là một vấn đề an ninh mạng quan trọng, nhưng ngăn chặn nó cũng không quá khó. Mặc dù khả năng ghi nhớ mật khẩu của con người bị hạn chế và số lượng mật khẩu ngày càng nhiều, nhưng người dùng có thể thực hiện các bước đơn giản để bảo vệ thông tin đặc quyền của mình.
Thông qua việc triển khai thích hợp các giải pháp quản lý xác thực, đào tạo an ninh mạng, sử dụng các công cụ hiệu quả như MFA và trình quản lý mật khẩu, thì người dùng có thể đảm bảo mật khẩu của mình không phải là mối đe dọa lớn. Người dùng cũng nên cân nhắc trao đổi với bộ phận CNTT về các biện pháp khác để quản lý và bảo vệ mật khẩu.
Đỗ Đoàn Kết
08:00 | 12/03/2021
14:00 | 28/04/2021
07:00 | 10/05/2021
11:00 | 29/05/2021
07:00 | 24/05/2021
08:00 | 05/03/2021
14:00 | 20/01/2021
14:00 | 04/07/2023
Đó là dự báo của công ty nghiên cứu MarketsandMarkets có trụ sở tại Ấn Độ và các chi nhánh tại Mỹ và Vương quốc Anh. Thị trường mật mã lượng tử toàn cầu ước tính giá trị khoảng 500 triệu USD vào năm 2023. Giống như bản thân công nghệ lượng tử đang phát triển nhanh chóng, thị trường mật mã lượng tử sẽ phát triển vượt bậc trong nửa thập kỷ tới đây.
14:00 | 25/07/2022
Trước nhu cầu về bảo mật an toàn thông tin trong hệ thống các cơ quan nhà nước, các tổ chức, doanh nghiệp và cá nhân ngày càng gia tăng, hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự (MMDS) và xuất khẩu, nhập khẩu sản phẩm MMDS tăng lên nhanh chóng với quy mô rộng trên phạm vi cả nước.
08:00 | 18/01/2022
Không dưới 1.220 trang web lừa đảo Man-in-the-Middle (MITM) hiện nay đã bị phát hiện nhắm mục tiêu vào các dịch vụ trực tuyến phổ biến như Instagram, Google, PayPal, Apple, Twitter và LinkedIn nhằm mục đích đánh cắp thông tin đăng nhập của người dùng.
17:00 | 29/10/2021
Chiều ngày 29/10/2021, tại Hà Nội, Cục Quản lý Mật mã dân sự và Kiểm định sản phẩm mật mã (QLMMDS&KĐSPMM), Ban Cơ yếu Chính phủ tổ chức Hội nghị tập huấn về mật mã dân sự để phổ biến, hướng dẫn thực hiện các quy định của pháp luật về quản lý mật mã dân sự.