Cách đầu tiên mà tin tặc (hacker) thâm nhập vào các hệ thống được bảo vệ không phải là cách khai thác kỹ thuật theo kiểu thích tìm hiểu.
Ảnh minh họa |
Không quá khó khi mật khẩu (password) phổ biến nhất được sử dụng ở các hệ thống doanh nghiệp lại là "Password1."
Có một lý do kỹ thuật cho việc phổ biến “Password1”: Đó là một chữ cái hoa, một con số và 9 ký tự. Điều này thỏa mãn các quy định phức tạp đối với nhiều hệ thống, trong đó có việc thiết lập cố định cho phần mềm quản lý nhân thực Active Directory của Microsoft được sử dụng rộng rãi.
Công ty các dịch vụ an ninh Trustwave lưu ý lỗi "Password1" trong một báo cáo “An ninh toàn cầu 2012” (2012 Global Security Report) gần đây, tổng kết những tìm kiếm của công ty này từ 2 triệu lượt quét những chỗ xung yếu của mạng và 300 điều tra lỗ hổng gần đây.
Các nghiên cứu viên của công ty này đã tìm thấy khoảng 5% các mật khẩu liên quan đến một biến thể của từ "password". Từ tiếp theo là “welcome” (chào mừng) chiếm hơn 1%.
Các mật khẩu dễ đoán hay trống trơn hoàn toàn là những chỗ nhạy cảm phổ biến nhất mà các phòng thí nghiệm Spider của Trustwave tìm thấy trong những lần kiểm tra sự thâm nhập vào các hệ thống máy khách năm ngoái. Công ty này đã phân loại các công cụ phá (crack) mật khẩu bị mất trên 2,5 triệu mật khẩu, và tìm ra thành công hơn 200.000 mật khẩu trong số đó.
Verizon cũng thông báo những kết quả tương tự trong báo cáo điều tra lỗ hổng dữ liệu 2012 (Data Breach Investigations), một trong những nghiên cứu hàng năm toàn diện nhất của ngành an ninh. Báo cáo đầy đủ này sẽ được trung ra trong nhiều tháng nữa, nhưng Verizon sẽ tóm tắt những phát hiện tại hội thảo RSA tuần này ở San Francisco.
Khai thác điểm yếu và các mật khẩu được xem là phương thức hàng đầu mà năm 2011 những kẻ tấn công đã sử dụng để truy cập. Nó chiếm tới 29% trong các lỗ hổ an ninh mà nhóm ứng phó của Verizon đã điều tra.
Phát hiện quan trọng của Verizon cho thấy các tin tặc đôi khi nằm bên trong mạng lưới của nạn nhân trong nhiều tháng hay nhiều năm trước khi chúng được phát hiện. Chưa đến 20% những thâm nhập Verizon đã nghiên cứu được phát hiện là tin tặc đã ẩn mình nhiều ngày trong hệ thống, chứ không chỉ vài giờ.
Đáng chú ý hơn: Một số công ty đã tự mình phát hiện ra lỗ hổng. Hơn 2/3 lỗ hổng họ phát hiện là do bị tấn công sau khi một đối tượng bên ngoài, như một cơ quan thực thi pháp luật, cảnh báo họ. Những phát hiện của Trustwave gần như chính xác: chỉ 16% trường hợp mà công ty này đã điều tra năm ngoái được kiểm tra là từ nội bộ.
Do đó nếu mật khẩu của bạn là thứ gì đó dễ đoán, cách tốt nhất nào để làm mật khẩu an toàn? Đó là hãy kéo dài mật khẩu.
Tăng thêm sự phức tạp vào mật khẩu của bạn biến "password" thành "p@S$w0rd" - để bảo vệ cái gọi là tấn công kiểu từ điển, nó sẽ tự động kiểm tra tránh một danh sách các từ chuẩn.
Nhưng các tin tặc ngày càng sử dụng các công cụ sức mạnh hơn là đơn giản đảo qua tất cả các kết hợp ký tự có thể. Độ dài của mật khẩu là cách bảo vệ hiệu quả duy nhất chống lại việc mật khẩu bị đánh cắp. Một mật khẩu 7 chữ cái có 70 tỷ sự kết hợp có thể; một mật khẩu 8 ký tự có hơn 600.000 kết hợp.
Thậm chí một vài lựa chọn nghìn triệu triệu không phải là một cái gì ghê gớm lắm cho các máy hiện đại. Sử dụng một máy tính 1.500 USD có các bộ phận lắp trong, khiến cho Trustwave chỉ mất 10 giờ để thu hoạch 200.000 mật khẩu đã bị phá.
“Chúng ta đã tự sử dụng những thứ quá ư đơn giản hơn là khả năng ghi nhớ của con người”, nghiên cứu viên an toàn độc lập Dan Kaminsky cho biế trong một bài trình bày RSA về những mật khẩu nào sẽ không hiệu quả.
Dan Kaminsky cho biết đó không phải là một cuộc đấu tranh khó khăn. Xác thực sinh trắc học, thẻ thông minh, các bộ tạo khóa một lần và các giải pháp khác có thể tăng cường an ninh nhưng với chi phí để tăng sự phức tạp.
“Cách cơ bản chiếm được một mật khẩu qua bất kỳ công nghệ xác thực là chính sự đơn giản nhất của bất kỳ thiết bị nào. Điều này, dĩ nhiên cũng là lỗi cơ bản”, Kaminsky cho biết.