Hãng công nghệ Microsoft đã có những thay đổi quan trọng về chính sách bảo mật: nhóm tiêu chuẩn (baseline) của Windows 10 v1809 và Windows Server 2019 đã không còn chính sách hết hạn mật khẩu, tức không còn buộc người dùng phải thay đổi mật khẩu định kỳ. Những nghiên cứu gần đây đã nghi hoặc về những quy tắc quản lý mật khẩu “lâu đời” như đổi mật khẩu định kỳ và khuyến nghị sử dụng những chính sách tốt hơn như: không sử dụng những mật khẩu thông dụng, dễ đoán hay sử dụng xác thực đa nhân tố.
Một nghiên cứu được thực hiện tại trường đại học North Carolina (Mỹ) vào năm 2010 cho thấy, các chính sách hết hạn mật khẩu thường làm giảm độ an toàn của hệ thống vì người dùng sẽ chọn mật khẩu yếu hơn hay chỉ sửa đổi mật khẩu cũ đi một chút (ví dụ như đổi mật khẩu từ “P@$$w0rd1” thành “P@$$w0rd2”). Các tổ chức tiêu chuẩn như NIST (Mỹ), CESG (Anh) cũng đã kết luận rằng, chính sách buộc đổi mật khẩu định kỳ thường không hiệu quả, thậm chí phản tác dụng. Tuy các nhà nghiên cứu ngày càng đồng ý về tác hại của chính sách hết hạn mật khẩu nhưng các tổ chức lớn thường không muốn thay đổi. Tuy nhiên, một đổi mới nổi bật đã xảy ra năm 2016, khi Lorrie Cranor – Giám đốc kỹ thuật của Ủy ban Thương mại Liên bang Mỹ đã đề nghị tổ chức của bà loại bỏ chính sách buộc nhân viên đổi mật khẩu định kỳ. Bà vui mừng khi biết 2 trong số 6 mật khẩu dùng trong cơ quan chính phủ mà bà sử dụng đã không còn phải thay đổi định kỳ nữa.
Chính sách hết hạn mật khẩu định kỳ chỉ có giá trị trong trường hợp một mật khẩu hay giá trị băm của nó bị đánh cắp trong thời hạn hiệu lực và bị lạm dụng, còn nếu mật khẩu không bị đánh cắp thì sẽ không cần phải thay đổi nó. Nếu có bằng chứng là mật khẩu đã bị đánh cắp thì cần thay đổi ngay lập tức, chứ không cần đến hết thời hạn quy định. Trường hợp mật khẩu có khả năng bị đánh cắp, thì thời gian mặc định trong quy định của Windows để thay đổi mật khẩu là 42 ngày, trong khi trước đây từng là 60 ngày (trước đó nữa là 90 ngày). Việc phải thay đổi mật khẩu quá thường xuyên sẽ gây bất tiện cho người dùng. Trong khi đó, nếu mật khẩu không bị đánh cắp thì việc đổi mật khẩu không thực sự có tác dụng.
Khi tổ chức đã triển khai chính sách không sử dụng những mật khẩu thông dụng, dễ đoán; áp dụng xác thực đa nhân tố; nhận diện tấn công dò mật khẩu; phát hiện những lần đăng nhập bất hợp lệ,… thì tổ chức không cần chính sách hết hạn mật khẩu định kỳ nữa. Ngược lại, khi không có những biện pháp giảm thiểu rủi ro trên thì chính sách hết hạn mật khẩu thực sự không có nhiều lợi ích.
Nếu các nhà cung cấp dịch vụ không yêu cầu đổi mật khẩu định kỳ, thì để đảm bảo an toàn cá nhân trên mạng, người dùng có thể kiểm tra xem mật khẩu trên các website công cộng của mình đã bị đánh cắp hay chưa bằng cách kiểm tra tại địa chỉ này. Nếu mật khẩu đã bị lộ, cần thay đổi ngay lập tức, đồng thời cần dùng những mật khẩu khác nhau cho những trang web khác nhau.
Với các tổ chức, việc đảm bảo mật khẩu của người dùng không trùng với danh sách những mật khẩu phổ biến và đã bị lộ, lọt là một yêu cầu cấp bách. Ấn phẩm đặc biệt của NIST hướng dẫn xác thực số “Special Publication 800-63-3: Digital Authentication Guidelines” khuyến nghị việc kiểm tra đối chiếu với “danh sách mật khẩu đen” trong quá trình đăng ký tài khoản người dùng. Hiện nay đã có một dịch vụ đặc biệt giúp thực hiện điều đó tại địa chỉ này.
NIST Bad Passwords (NBP) là thư viện hỗ trợ việc loại bỏ những mật khẩu thông dụng phía máy khách. Thư viện này sử dụng danh sách 1 triệu mật khẩu thông dụng nhất của hướng dẫn kiểm thử an toàn SecList. Các tổ chức cũng cần bổ sung chức năng tương tự trên máy chủ. Việc sử dụng NBP khá đơn giản: thêm thư viện này vào trang đăng ký người dùng và đặt thư mục chứa cơ sở dữ liệu mật khẩu thông dụng vào cùng thư mục với trang đăng ký (các nhà phát triển có thể bổ sung thêm những bộ sưu tập mật khẩu yếu riêng của họ). Sau đó, thực hiện gọi các hàm trong NBP. Ví dụ: nếu người dùng chọn mật chọn mật khẩu là "P@$$w0rd2", thì gọi lệnh kiểm tra NBP.isCommonPassword('hunter2');. Những thư viện như NBP chỉ là một trong số rất nhiều những công cụ nâng cao tính an toàn cho quá trình đăng nhập. Các tổ chức cần sử dụng thêm những công cụ xác thực an toàn như Google Authenticator, với sự tham gia của nhiều nhân tố xác thực bổ sung cho mật khẩu. |
Nguyễn Anh Tuấn
08:00 | 29/03/2019
10:00 | 22/08/2019
08:00 | 06/03/2024
10:00 | 14/02/2019
08:00 | 11/12/2018
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024