6 cách mật khẩu không đạt kiểm tra bảo mật cơ bản
Dữ liệu mới cho thấy con người vẫn phải vật lộn với việc tạo và quản lý mật khẩu.
Con người giỏi một số việc, chẳng hạn như ăn quá nhiều khoai tây chiên hoặc bị mắc kẹt trong đầu những bài hát khó chịu. Ví dụ, họ không giỏi trong việc chọn các loại nấm hoang dã có thể ăn được theo vẻ bề ngoài, và họ cũng không giỏi trong việc chọn mật khẩu an toàn và mạnh. Thật không may, điều cuối cùng đó có một số hậu quả nghiêm trọng trong thế giới an ninh mạng.
Báo cáo mới của Security.org về các chiến lược mật khẩu ở Hoa Kỳ đóng vai trò như một lời nhắc nhở về việc con người đã thất bại trong nhiệm vụ cơ bản là chọn (và sử dụng) một mật khẩu mạnh. Nhiều, nếu không phải là hầu hết, các vấn đề xung quanh mật khẩu có thể nằm dưới chân của một số đặc điểm của con người: Chúng ta dễ sai sót và chúng ta rất cứng đầu.
Một trong những cách vấn đề của mọi người với mật khẩu là tiếp tục miễn cưỡng sử dụng chương trình quản lý mật khẩu. Các chuyên gia từ lâu đã nói rằng trình quản lý mật khẩu là chìa khóa để làm cho thông tin đăng nhập máy tính và mạng dễ dàng hơn, nhưng nghiên cứu của Security.org cho thấy chỉ 12% người dùng có trình quản lý mật khẩu như một phần của quy trình xác thực an toàn của họ. Thay vào đó, họ chuyển sang các phương pháp chỉ đáng tin cậy và an toàn hơn một chút so với việc dạy mật khẩu cho một con vẹt gần đó: 37% phụ thuộc vào bộ nhớ của chính họ để lưu mật khẩu trong khi 20% sử dụng máy tính xách tay.
Với các hệ thống truy xuất mật khẩu công nghệ cao đang được sử dụng, có lẽ không có gì lạ khi nhiều người dùng chọn mật khẩu không đủ bảo mật. Dựa trên nghiên cứu hiện tại, có sáu cách mà người dùng thực hiện nhiệm vụ cơ bản là tạo mật khẩu an toàn. Hay nói một cách nhẹ nhàng hơn, sáu cách mà mật khẩu không thể đo lường được.
Mật khẩu của bạn có bao nhiêu “lỗi” trong số này? Hay bạn là một trong số ít người sử dụng công nghệ để giúp tạo và quản lý mật khẩu mạnh? Chúng tôi đã xem nghiên cứu của security.org – chúng tôi muốn biết bạn và tổ chức của bạn đang làm gì với cấn đề mật khẩu. Hãy cho chúng tôi biết trong phần bình luận.
Vấn đề 1: Quá ngắn
Khi nói đến việc đánh bại các kỹ thuật bẻ khóa mật khẩu tự động, càng dài thì càng tốt. Làm sao chúng ta biết được như thế nào là đủ dài? Chúng ta biết bởi vì Claude Shannon đã nói rằng, bằng toán học ông đã chứng minh được mật khẩu vào năm 1945 với một khóa có độ dài bằng chính thông điệp.
Tất cả những điều này khiến nhiều chuyên gia bảo mật phải lo lắng vì thực tế là 45% người dùng có mật khẩu không dài hơn 8 ký tự. Chỉ khoảng 1/5 (22%) có mật khẩu dài 12 ký tự hoặc dài hơn.
Năm 2014, chuyên gia bảo mật Jonathan Lampe đã công bố nghiên cứu về một kho mật khẩu khổng lồ, trong đó ông phát hiện ra rằng độ dài mật khẩu trung bình chỉ dài hơn một chút so với yêu cầu tối thiểu của tiêu chuẩn PCI-DSS (tám ký tự). Có vẻ như các mẫu mật khẩu đã không thay đổi đáng kể kể từ đó: Độ dài tối thiểu sẽ xác định tổng độ dài của mật khẩu cho hầu hết người dùng.
Vấn đề 2: Quá đơn giản
Sáu số liên tiếp trong bài tiến lên thì tuyệt vời. Nhưng đó là một chiến lược tệ hại để tạo mật khẩu. Theo phát hiện của security.org, “123456” vẫn là mật khẩu phổ biến nhất ở Mỹ. Tổ chức cho biết chuỗi này dẫn đến một mật khẩu có thể bị bẻ khóa ngay lập tức.
Nhiều tổ chức hiện có yêu cầu đối với mật khẩu bao gồm những thứ như chữ hoa và chữ thường, ít nhất một số và ít nhất một ký tự đặc biệt. Mặc dù vậy, Splashdata và những người khác báo cáo rằng mật khẩu được sử dụng phổ biến nhất bao gồm chuỗi số đơn giản và các từ như “password” và “qwerty.”
Một gợi ý đơn giản cho người dùng là tránh bất kỳ mật khẩu nào có thể gõ được bằng cách lướt ngón tay dọc bàn phím. Một gợi ý khác là tránh những từ cơ bản như “password”, “secret” và “admin”. Khi nói đến mật khẩu mạnh hơn, một chút trí tưởng tượng có thể đi được một chặng đường dài.
Vấn đề 3: Quá dễ đoán
Mặc dù mật khẩu đơn giản có thể dễ dàng bị bẻ khóa, nhưng mật khẩu dễ đoán có thể cung cấp khả năng truy cập dễ dàng hơn cho bọn tội phạm. Cấu tạo và mật khẩu dễ đoán? Tên đường nhà, trường đại học, tên vợ / chồng – bất cứ thứ gì mà những kẻ tấn công có thể dễ dàng biết và nhập vào trong một nỗ lực vũ phu của con người đủ điều kiện là quá rõ ràng.
Các mật khẩu khác cũng có thể dễ dàng đoán được. Gần đây, một nhà nghiên cứu người Hà Lan báo cáo đã giành được quyền truy cập vào tài khoản Twitter của Donald Trump bằng cách sử dụng “maga2020!” làm mật khẩu. Đây là một mẹo: Nếu bạn (hoặc tổ chức của bạn) được biết đến với một câu cửa miệng hoặc khẩu hiệu, đừng sử dụng nó làm mật khẩu.
Nhiều vụ vi phạm thông tin cá nhân trong vài năm qua đã khiến những kẻ tấn công dễ dàng đưa ra danh sách các thành phần mật khẩu rõ ràng hơn rất nhiều. Người dùng nên làm cho công việc của kẻ tấn công trở nên khó khăn hơn bằng cách tránh những từ và cụm từ dễ tìm thấy và dễ đoán này.
Vấn đề 4: Liên quan đến một vấn đề thời sự
Năm 2020 là năm bầu cử tổng thống ở Mỹ và ta đang có một đại dịch. Vì vậy, mặc dù không thực sự đáng ngạc nhiên, nhưng thực tế là security.org đã tìm thấy 14% người dùng có “COVID” làm mật khẩu, 12% với “Trump” và 9% với “Biden” có nghĩa là những kẻ tấn công an ninh mạng có thể có công việc dễ dàng hơn hoặc các nhà dịch tễ học hoặc các nhà chính trị trong năm nay.
Một mặt, có thể hiểu được rằng người dùng sẽ chuyển các chủ đề quan tâm của họ thành các mật khẩu, đặc biệt là đối với các chính sách yêu cầu mật khẩu mới thường xuyên. Chìa khóa là, khi nói chuyện với người dùng, khuyến khích họ biến những từ chủ đề này thành một phần của mật khẩu dài hơn, phức tạp hơn nhiều nếu chúng sẽ được sử dụng.
Ví dụ: “COVID2020” là một mật khẩu rất tệ. “2020wasthe & ^ # $% yearthatCOVIDruinedforeveryone !!” là một mật khẩu tốt. Bối cảnh là vấn đề.
Vấn đề 5: Không riêng tư
Bàn chải đánh răng là thứ thực sự không nên dùng chung. Trong an ninh mạng, mật khẩu phải có trạng thái giống như bàn chải đánh răng, nhưng điều đó không ngăn được 25% người Mỹ chia sẻ mật khẩu của họ với người khác, dữ liệu của Security.org cho thấy.
Tại sao mọi người chia sẻ mật khẩu? Bằng chứng giai thoại cho thấy rằng nó thường vì lý do thuận tiện: Tài khoản đồng nghiệp không được ủy quyền cho nhiệm vụ của bạn hoặc bạn cần ai đó thực hiện một trong các nhiệm vụ của mình trong khi bạn đang bận việc khác. Trong cả hai trường hợp, việc giao lại các thông tin xác thực là một cách rất rủi ro để hoàn thành công việc.
Một câu nói cổ rằng, “Hai người có thể chia sẻ một bí mật nếu một trong hai người đã chết.” Đó là một cách rõ ràng để chỉ ra rằng bí mật mất đi yếu tố bí mật với mỗi lần chia sẻ thêm. Các nhóm bảo mật nhận thức được việc chia sẻ mật khẩu thường xuyên nên khám phá các tài khoản khách một lần hoặc các cách hợp pháp khác để cho phép các quy trình kinh doanh tiếp tục trong khi giữ mật khẩu bất khả xâm phạm.
Vấn đề 6: Dễ quên
Chỉ vì người dùng chọn một mật khẩu dễ nhớ không có nghĩa là họ sẽ thực sự nhớ nó. Bộ nhớ của con người không ổn định là một trong những lý do chính mà các chuyên gia bảo mật đề xuất trình quản lý mật khẩu cho tất cả người dùng. Theo báo cáo của security.org, Khoảng 12% người dùng thực sự làm như vậy, 10% khác tận dụng các tính năng quản lý mật khẩu của trình duyệt web cho cùng mục đích.
Đối với 1/5 người dùng, viết mật khẩu của họ vào sổ ghi chép vật lý là lựa chọn của hệ thống quản lý mật khẩu. 12,5% khác sử dụng ứng dụng ghi chú để lưu trữ mật khẩu. Điều đó khiến cho việc “viết ra giấy”, dưới hình thức này hay hình thức khác, chỉ xếp sau 37% những người chỉ đơn giản là cố gắng nhớ tất cả mật khẩu họ sử dụng cho tài khoản doanh nghiệp và cá nhân.
Đây là vấn đề với việc ghi nhớ tất cả các mật khẩu: Hầu hết mọi người không thể. Điều đó có nghĩa là sử dụng lại mật khẩu, với cùng một mật khẩu được sử dụng cho nhiều tài khoản hoặc sử dụng một số kiểu mẫu cho mật khẩu. Một trong hai lựa chọn đó sẽ khiến những kẻ tấn công dễ dàng sử dụng một mật khẩu bị đánh cắp để tận dụng quyền truy cập vào nhiều tài khoản và tăng thiệt hại theo cấp số nhân.
Bảo mật tốt nhất để truy cập bao gồm mật khẩu mạnh, duy nhất kết hợp với phương pháp xác thực hai yếu tố. Tuy nhiên, cho đến khi phần lớn người dùng chấp nhận những điều đó, những bài viết như thế này sẽ tiếp tục là những tính năng thường xuyên – cùng với những câu chuyện về vi phạm dữ liệu dựa trên mật khẩu có mục đích.
Thegioibantin.com | Vina-Aspire News