Làm gì khi mật khẩu hết “mật”?
Thật đáng ngại khi "123456" vẫn là mật khẩu được sử dụng nhiều nhất thế giới.
Có một sự thật phải thừa nhận rằng cho đến thời điểm này, một lượng rất lớn thông tin trên Internet vẫn được bảo vệ theo phương pháp truyền thống là kiểm tra mật khẩu. Các phương thức bảo mật mới như quét vân tay, nhận dạng tròng mắt và giọng nói tuy đang trở nên phổ biến hơn, nhưng vẫn chủ yếu được áp dụng cho việc truy cập vào điện thoại hay máy tính. Hầu hết các trang web vẫn chỉ có một lựa chọn duy nhất khi đăng nhập là gõ vào mật khẩu. Theo thống kê từ Dashlane, bình quân một người sử dụng Internet có tới 92 tài khoản web các loại, đồng nghĩa với việc phải nhớ 92 mật khẩu.
Do đó, không có gì ngạc nhiên khi việc ghi nhớ và giữ kín mật khẩu luôn là điều khó thực hiện. Để bảo vệ mật khẩu tốt hơn, cần hiểu rằng đây là trách nhiệm của cả người dùng lẫn doanh nghiệp. Vụ rò rỉ thông tin về hàng trăm ngàn tài khoản Golden Lotus tại Vietnam Airlines tháng 7 vừa qua là một bài học cảnh tỉnh lớn về vấn đề mật khẩu, không chỉ đối với doanh nghiệp mà còn với cả người sử dụng.
Theo một chuyên gia bảo mật Việt Nam phân tích và báo cáo trên trang VNReady.com, có tới hơn 25.000 tài khoản Golden Lotus đã lựa chọn mật khẩu là “123456’” và gần 16.000 tài khoản khác chọn “12345678”. Đây cũng là 2 mật khẩu được sử dụng nhiều nhất, chiếm hơn 10% số tài khoản. Còn nếu xét tốp 20 mật khẩu phổ biến nhất, có tới 10 biến thể các loại của “123456’” chẳng hạn như “abc123” hay “123123”. Trong những trường hợp như vậy, dù phía doanh nghiệp có áp dụng các kỹ thuật mã hóa và bảo vệ thông tin tốt đến đâu thì cũng thành vô nghĩa, vì mật khẩu này rất dễ đoán.
Đây không phải là nỗi đau đầu của riêng Việt Nam, mà còn của các chuyên gia bảo mật khắp thế giới. Tháng 9.2015, vụ đánh cắp và công bố 36 triệu tài khoản từ trang web hẹn hò Ashley Madison cũng cho thấy rất nhiều người dùng trang này mắc lỗi sơ đẳng khi cài đặt mật khẩu. Theo phân tích của công ty bảo mật Avast, 4 mật khẩu được sử dụng nhiều nhất lần lượt là “123456”, “password”, “12345678” và “1234”.
Giữa tháng 5/2016, một tin tặc đã rao bán 117 triệu mật khẩu tài khoản LinkedIn bị đánh cắp từ năm 2012. Trong đó, dãy số “123456” lại một lần nữa được sử dụng nhiều nhất, với số lượng hơn 750.000 tài khoản, nhiều gấp 4 lần mật khẩu đứng thứ nhì là “linkedin”.
Có một nơi duy nhất mà mật khẩu “123456” không giữ vị trí số 1 là các hệ thống máy bán hàng và tính tiền (POS). Theo kết quả khảo sát của Rapid7, những nhân viên vận hành các hệ thống này còn không buồn bận tâm gõ đến 6 ký tự. Các mật khẩu mà họ hay dùng nhất là “x”, “Zz” và “1”.
Nguy hại hơn, do thói quen của đa số mọi người là sử dụng cùng một mật khẩu cho nhiều trang web khác nhau (theo các khảo sát, tỉ lệ này ở mức 55-75%), hiệu ứng domino là điều rất dễ xảy ra. Việc LinkedIn bị tấn công hồi năm 2012 đã làm lộ ra mật khẩu của một nhân viên tại dịch vụ chia sẻ file Dropbox. Người này cũng sử dụng cùng mật khẩu đó cho tài khoản tại Dropbox, từ đó các tin tặc đã tấn công được vào hệ thống dữ liệu của Dropbox, làm lộ ra thông tin của 86 triệu tài khoản.
Việc tham khảo thủ tục an ninh của các doanh nghiệp công nghệ lớn là điều nên làm. Kể từ năm 2009, mạng xã hội Twitter đã có một danh sách 370 mật khẩu không được phép sử dụng, bao gồm các dãy số và từ tiếng Anh thông dụng. Sau vụ rò rỉ ở LinkedIn, Microsoft (quyết định thâu tóm LinkedIn hồi tháng 6 vừa qua) cũng đã triển khai một danh sách các mật khẩu không được sử dụng đối với các phần mềm và dịch vụ của hãng.
Hiện nay, nhiều trang web đã có tính năng cho phép khách hàng biết được ngay độ an toàn của mật khẩu từ lúc mới đăng ký tài khoản. Đây là một điều rất nên làm, tuy nhiên cách thức thực hiện cũng là điều phải bàn tới. Nhiều doanh nghiệp chỉ đơn giản là kiểm tra độ dài của mật khẩu cũng như có chữ số và ký tự đặc biệt xen kẽ trong mật khẩu hay không, mà quên mất rằng đó không phải là các tiêu chí quan trọng nhất.
Nghiên cứu hồi năm 2012 của Trustwave cho thấy, nhiều website đánh giá một mật khẩu như “Password1” là ngang hàng về mặt an toàn với “X$nc*(24,”. Một điều đáng lo nữa là hiện nay tin tặc đã phát triển khá tốt các phương pháp tấn công sử dụng từ điển (dictionary attack) dựa trên những cụm từ thông dụng và các biến thể phổ thông. Nhiều người nghĩ rằng việc sử dụng một mật khẩu cơ bản có xen kẽ ký tự đặc biệt như “pa$$w0rd”, hay thêm vào vài con số ở sau như “password987” sẽ đủ an toàn, nhưng đây lại là một trong những cách kém an toàn nhất.
Doanh nghiệp không chỉ cần yêu cầu khách hàng sử dụng và bảo vệ kỹ mật khẩu, mà còn phải sử dụng các biện pháp mã hóa mật khẩu tốt hơn trong cơ sở dữ liệu. Mật khẩu của người dùng có phức tạp tới đâu thì cũng trở thành vô nghĩa nếu doanh nghiệp không buồn mã hóa nó.
Một trong những lỗ hổng lớn nhất trong hệ thống lưu trữ thông tin khách hàng của Golden Lotus là sử dụng thuật toán mã hóa rất đơn giản, mà không dùng đến cả phương pháp phổ thông nhất hiện nay là hàm băm (hash function). Năm 2014, Starbucks từng thừa nhận sai lầm chết người là lưu trữ mật khẩu của người dùng ứng dụng di động dưới dạng văn bản thường, không hề được mã hóa.
Một điều nữa mà các doanh nghiệp cũng cần phải suy nghĩ kỹ là không nên dồn quá nhiều trách nhiệm về ghi nhớ thông tin cho người sử dụng. Một số doanh nghiệp tự động tạo ra các tên tài khoản với mật khẩu rất phức tạp và không cho người dùng thay đổi, với suy nghĩ rằng như vậy thì sẽ an toàn hơn. Nhưng điều này thực ra chỉ là buộc người dùng phải ghi lại các thông tin này ra giấy, hoặc tệ hơn nữa là lưu vào một file văn bản hay email. Khi đó, nguy cơ rò rỉ thông tin còn tăng cao hơn, trong khi phía doanh nghiệp lại mất cảnh giác.
Có doanh nghiệp lại yêu cầu người sử dụng phải thay đổi mật khẩu sau một thời gian nhất định, có khi là mỗi tháng một lần. Điều này tưởng chừng là an toàn, nhưng thực ra lại dễ dẫn tới hành vi lựa chọn mật khẩu thật đơn giản, hoặc chỉ thay đổi đôi chút so với mật khẩu cũ.
Quy trình xử lý những trường hợp người dùng quên mật khẩu cũng là một lỗ hổng mà các tin tặc thường xuyên khai thác triệt để. Năm 2009, nhiều tài khoản Twitter của các nhân vật nổi tiếng đã bị thâm nhập và sử dụng cho mục đích xấu, do tin tặc tấn công được vào hệ thống điều chỉnh thông tin tài khoản mà đội ngũ hỗ trợ của Twitter sử dụng.
Năm 2012, công ty bảo mật CloudFlare từng nhận được một bài học đắt giá khi chính CEO của họ bị tin tặc tấn công. Bằng cách sử dụng kỹ thuật tạo hộp thư thoại giả, các tin tặc đã đánh lừa được cả hệ thống bảo mật của Google và nhận được mã khởi động lại tài khoản Gmail của vị CEO này.
Xử lý khủng hoảng cũng là điều mà doanh nghiệp phải tính toán kỹ lưỡng. Theo một chuyên gia tư vấn công nghệ thông tin, một khi dữ liệu khách hàng đã bị đánh cắp, cần phải bảo đảm là hệ thống đã được loại trừ hết các “cửa hậu” (backdoor) cho phép tin tặc thâm nhập lại, trước khi đồng loạt yêu cầu khách hàng thay đổi mật khẩu. Bằng không, việc thay mật khẩu quá sớm chỉ làm cho cả doanh nghiệp lẫn khách hàng mất cảnh giác hơn và tin tặc có thể dễ dàng đánh cắp mật khẩu mới để gây thiệt hại lớn hơn.
Các doanh nghiệp cũng cần phải tính đến giải pháp bảo mật nhiều yếu tố (2FA/3FA). Theo đó, khách hàng có thể sử dụng mật khẩu chỉ dùng 1 lần (OTP) được gửi tới điện thoại hoặc một thiết bị tạo mã đặc biệt (token), hay một dạng thông tin đặc biệt khác nữa mà chỉ họ mới biết.
Theo lời khuyên của công ty bảo mật AVG, để bảo đảm an toàn với hình thức OTP, doanh nghiệp nên tránh gửi mật khẩu qua tin nhắn SMS, thay vào đó nên gửi tới một ứng dụng di động có mã PIN riêng. Năm 2012 và 2014, hàng loạt vụ tấn công đánh cắp thông tin ngân hàng đã được thực hiện bằng các công cụ “chặn đầu” tin nhắn SMS từ ngân hàng.