Hãng công nghệ Microsoft đã có những thay đổi quan trọng về chính sách bảo mật: nhóm tiêu chuẩn (baseline) của Windows 10 v1809 và Windows Server 2019 đã không còn chính sách hết hạn mật khẩu, tức không còn buộc người dùng phải thay đổi mật khẩu định kỳ. Những nghiên cứu gần đây đã nghi hoặc về những quy tắc quản lý mật khẩu “lâu đời” như đổi mật khẩu định kỳ và khuyến nghị sử dụng những chính sách tốt hơn như: không sử dụng những mật khẩu thông dụng, dễ đoán hay sử dụng xác thực đa nhân tố.
Một nghiên cứu được thực hiện tại trường đại học North Carolina (Mỹ) vào năm 2010 cho thấy, các chính sách hết hạn mật khẩu thường làm giảm độ an toàn của hệ thống vì người dùng sẽ chọn mật khẩu yếu hơn hay chỉ sửa đổi mật khẩu cũ đi một chút (ví dụ như đổi mật khẩu từ “P@$$w0rd1” thành “P@$$w0rd2”). Các tổ chức tiêu chuẩn như NIST (Mỹ), CESG (Anh) cũng đã kết luận rằng, chính sách buộc đổi mật khẩu định kỳ thường không hiệu quả, thậm chí phản tác dụng. Tuy các nhà nghiên cứu ngày càng đồng ý về tác hại của chính sách hết hạn mật khẩu nhưng các tổ chức lớn thường không muốn thay đổi. Tuy nhiên, một đổi mới nổi bật đã xảy ra năm 2016, khi Lorrie Cranor – Giám đốc kỹ thuật của Ủy ban Thương mại Liên bang Mỹ đã đề nghị tổ chức của bà loại bỏ chính sách buộc nhân viên đổi mật khẩu định kỳ. Bà vui mừng khi biết 2 trong số 6 mật khẩu dùng trong cơ quan chính phủ mà bà sử dụng đã không còn phải thay đổi định kỳ nữa.
Chính sách hết hạn mật khẩu định kỳ chỉ có giá trị trong trường hợp một mật khẩu hay giá trị băm của nó bị đánh cắp trong thời hạn hiệu lực và bị lạm dụng, còn nếu mật khẩu không bị đánh cắp thì sẽ không cần phải thay đổi nó. Nếu có bằng chứng là mật khẩu đã bị đánh cắp thì cần thay đổi ngay lập tức, chứ không cần đến hết thời hạn quy định. Trường hợp mật khẩu có khả năng bị đánh cắp, thì thời gian mặc định trong quy định của Windows để thay đổi mật khẩu là 42 ngày, trong khi trước đây từng là 60 ngày (trước đó nữa là 90 ngày). Việc phải thay đổi mật khẩu quá thường xuyên sẽ gây bất tiện cho người dùng. Trong khi đó, nếu mật khẩu không bị đánh cắp thì việc đổi mật khẩu không thực sự có tác dụng.
Khi tổ chức đã triển khai chính sách không sử dụng những mật khẩu thông dụng, dễ đoán; áp dụng xác thực đa nhân tố; nhận diện tấn công dò mật khẩu; phát hiện những lần đăng nhập bất hợp lệ,… thì tổ chức không cần chính sách hết hạn mật khẩu định kỳ nữa. Ngược lại, khi không có những biện pháp giảm thiểu rủi ro trên thì chính sách hết hạn mật khẩu thực sự không có nhiều lợi ích.
Nếu các nhà cung cấp dịch vụ không yêu cầu đổi mật khẩu định kỳ, thì để đảm bảo an toàn cá nhân trên mạng, người dùng có thể kiểm tra xem mật khẩu trên các website công cộng của mình đã bị đánh cắp hay chưa bằng cách kiểm tra tại địa chỉ này. Nếu mật khẩu đã bị lộ, cần thay đổi ngay lập tức, đồng thời cần dùng những mật khẩu khác nhau cho những trang web khác nhau.
Với các tổ chức, việc đảm bảo mật khẩu của người dùng không trùng với danh sách những mật khẩu phổ biến và đã bị lộ, lọt là một yêu cầu cấp bách. Ấn phẩm đặc biệt của NIST hướng dẫn xác thực số “Special Publication 800-63-3: Digital Authentication Guidelines” khuyến nghị việc kiểm tra đối chiếu với “danh sách mật khẩu đen” trong quá trình đăng ký tài khoản người dùng. Hiện nay đã có một dịch vụ đặc biệt giúp thực hiện điều đó tại địa chỉ này.
NIST Bad Passwords (NBP) là thư viện hỗ trợ việc loại bỏ những mật khẩu thông dụng phía máy khách. Thư viện này sử dụng danh sách 1 triệu mật khẩu thông dụng nhất của hướng dẫn kiểm thử an toàn SecList. Các tổ chức cũng cần bổ sung chức năng tương tự trên máy chủ. Việc sử dụng NBP khá đơn giản: thêm thư viện này vào trang đăng ký người dùng và đặt thư mục chứa cơ sở dữ liệu mật khẩu thông dụng vào cùng thư mục với trang đăng ký (các nhà phát triển có thể bổ sung thêm những bộ sưu tập mật khẩu yếu riêng của họ). Sau đó, thực hiện gọi các hàm trong NBP. Ví dụ: nếu người dùng chọn mật chọn mật khẩu là "P@$$w0rd2", thì gọi lệnh kiểm tra NBP.isCommonPassword('hunter2');. Những thư viện như NBP chỉ là một trong số rất nhiều những công cụ nâng cao tính an toàn cho quá trình đăng nhập. Các tổ chức cần sử dụng thêm những công cụ xác thực an toàn như Google Authenticator, với sự tham gia của nhiều nhân tố xác thực bổ sung cho mật khẩu. |
Nguyễn Anh Tuấn
08:00 | 29/03/2019
10:00 | 22/08/2019
08:00 | 06/03/2024
10:00 | 14/02/2019
08:00 | 11/12/2018
09:00 | 10/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
10:00 | 04/12/2024
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025