Tại sao bạn nên đổi mật khẩu thành cụm mật khẩu

[Starlink]

Lời khuyên này đã không thay đổi trong nhiều thập kỷ: hãy sử dụng mật khẩu phức tạp với chữ hoa, chữ thường, số và ký hiệu. Ý tưởng là làm cho mật khẩu khó bị tin tặc bẻ khóa bằng phương pháp tấn công vét cạn (brute force).

Tuy nhiên, hướng dẫn gần đây hơn cho thấy chúng ta nên tập trung vào độ dài mật khẩu, thay vì độ phức tạp. Độ dài là yếu tố bảo mật quan trọng hơn, và cụm mật khẩu là cách đơn giản nhất để khuyến khích người dùng tạo (và ghi nhớ!) mật khẩu dài hơn.

1. Toán học quan trọng

Khi kẻ tấn công đánh cắp mã băm mật khẩu từ một lỗ hổng, chúng sẽ dùng phương pháp brute-force bằng cách băm hàng triệu lần mỗi giây cho đến khi tìm được kết quả trùng khớp. Thời gian thực hiện phương pháp này phụ thuộc vào một yếu tố: có bao nhiêu tổ hợp có thể tồn tại.

Một mật khẩu "phức tạp" 8 ký tự truyền thống (P@ssw0rd!) có thể tạo ra khoảng 218 nghìn tỷ tổ hợp. Nghe có vẻ ấn tượng cho đến khi bạn nhận ra rằng các thiết lập GPU hiện đại có thể kiểm tra những tổ hợp đó trong nhiều tháng, chứ không phải nhiều năm. Tăng lên 16 ký tự chỉ sử dụng chữ thường, bạn sẽ có 26^16 tổ hợp, khó bẻ khóa hơn hàng tỷ lần.

Đây chính là entropy hiệu quả: tính ngẫu nhiên thực sự mà kẻ tấn công phải xử lý. Ba hoặc bốn từ phổ biến ngẫu nhiên được xâu chuỗi lại với nhau ("carpet-static-pretzel-invoke") mang lại entropy lớn hơn nhiều so với việc nhồi nhét các ký hiệu vào những chuỗi ngắn. Và người dùng thực sự có thể nhớ chúng.

2. Tại sao cụm mật khẩu chiến thắng trên mọi mặt trận

Trường hợp sử dụng cụm mật khẩu không phải là lý thuyết mà là thực tế:

Ít phải đặt lại mật khẩu hơn. Khi mật khẩu dễ nhớ, người dùng sẽ không còn ghi chúng lên giấy nhớ hay sử dụng lại các biến thể tương tự trên nhiều tài khoản nữa. Số lượng yêu cầu hỗ trợ từ bộ phận hỗ trợ của bạn giảm xuống, và điều này tự nó đã đủ để biện minh cho việc thay đổi.

Khả năng chống tấn công tốt hơn. Kẻ tấn công tối ưu hóa các mẫu. Chúng kiểm tra các từ trong từ điển bằng các phép thay thế phổ biến (@ cho a, 0 cho o) vì đó là điều mọi người thường làm. Một cụm mật khẩu bốn từ hoàn toàn tránh được các mẫu này – nhưng chỉ khi các từ thực sự ngẫu nhiên và không liên quan.

Phù hợp với hướng dẫn hiện hành. NIST đã nêu rõ : ưu tiên độ dài hơn là độ phức tạp bắt buộc. Giới hạn tối thiểu 8 ký tự truyền thống thực sự nên được loại bỏ.

3. Một quy tắc đáng để tuân theo

Hãy ngừng quản lý 47 yêu cầu mật khẩu. Hãy hướng dẫn người dùng một cách rõ ràng:

Chọn 3-4 từ thông dụng không liên quan + dấu phân cách. Tránh dùng lời bài hát, tên riêng hoặc cụm từ nổi tiếng. Không bao giờ sử dụng lại cho nhiều tài khoản.

Ví dụ: mango-glacier-laptop-furnace hoặc cricket.highway.mustard.piano

Vậy thôi. Không cần viết hoa, không cần ký hiệu, không cần kịch tính phức tạp. Chỉ cần độ dài và tính ngẫu nhiên.

4. Triển khai mà không gây hỗn loạn

Những thay đổi về xác thực có thể gây ra sự phản đối. Sau đây là cách giảm thiểu sự bất đồng:

Bắt đầu với một nhóm thí điểm, chọn 50-100 người dùng từ các phòng ban khác nhau. Cung cấp cho họ hướng dẫn mới và giám sát (nhưng không bắt buộc) trong hai tuần. Quan sát các quy luật: Mọi người có đang mặc định sử dụng các cụm từ trong văn hóa đại chúng không? Họ có đạt yêu cầu về độ dài tối thiểu một cách nhất quán không?

Sau đó, chuyển sang chế độ chỉ cảnh báo trên toàn tổ chức. Người dùng sẽ thấy cảnh báo khi mật khẩu mới của họ yếu hoặc bị xâm phạm, nhưng mật khẩu đó không bị chặn. Điều này giúp nâng cao nhận thức mà không gây ra tình trạng tắc nghẽn hỗ trợ.

Chỉ thực hiện sau khi bạn đã đo:

    Tỷ lệ chấp nhận mật khẩu
    Giảm thiểu việc thiết lập lại bộ phận trợ giúp
    Mật khẩu bị cấm sẽ bị xóa khỏi danh sách chặn của bạn
    Điểm ma sát do người dùng báo cáo

Theo dõi những chỉ số này dưới dạng KPI. Chúng sẽ cho bạn biết liệu chính sách này có hiệu quả hơn chính sách cũ hay không.

5. Thực hiện đúng các công cụ chính sách

Chính sách mật khẩu Active Directory của bạn cần ba bản cập nhật để hỗ trợ cụm mật khẩu đúng cách:

    Tăng độ dài tối thiểu. Tăng từ 8 lên 14+ ký tự. Điều này cho phép sử dụng cụm mật khẩu mà không gây khó khăn cho những người dùng vẫn thích dùng mật khẩu truyền thống.
    Loại bỏ các kiểm tra độ phức tạp bắt buộc. Không yêu cầu chữ hoa, số và ký hiệu. Độ dài mang lại khả năng bảo mật tốt hơn, giảm thiểu sự phiền hà cho người dùng.
    Chặn thông tin đăng nhập bị xâm phạm. Điều này là không thể thương lượng. Ngay cả mật khẩu mạnh nhất cũng không có tác dụng nếu nó đã bị rò rỉ trong một vụ xâm phạm. Chính sách của bạn nên kiểm tra các thông tin đã gửi so với danh sách đã biết bị xâm phạm theo thời gian thực.

Tính năng đặt lại mật khẩu tự phục vụ (SSPR) có thể hỗ trợ quá trình chuyển đổi. Người dùng có thể tự cập nhật thông tin đăng nhập một cách an toàn theo thời gian của mình, và bộ phận hỗ trợ của bạn sẽ không phải là nút thắt cổ chai.

Kiểm tra mật khẩu giúp bạn nắm rõ tỷ lệ áp dụng. Bạn có thể xác định các tài khoản vẫn đang sử dụng mật khẩu ngắn hoặc các mẫu mật khẩu phổ biến, sau đó hướng dẫn thêm cho những người dùng đó.

Các công cụ như Specops Password Policy xử lý cả ba chức năng: mở rộng giới hạn tối thiểu của chính sách, chặn hơn 4 tỷ mật khẩu bị xâm phạm và tích hợp với quy trình làm việc SSPR. Các bản cập nhật chính sách được đồng bộ hóa với Active Directory và Azure AD mà không cần cơ sở hạ tầng bổ sung, và danh sách chặn được cập nhật hàng ngày khi có vi phạm mới.

6. Điều này trông như thế nào trong thực tế

Hãy tưởng tượng chính sách của bạn yêu cầu 15 ký tự nhưng lại bỏ qua mọi quy tắc phức tạp. Một người dùng tạo bản phác thảo hình ô-đài phun nước-đài phun nước trong lần đổi mật khẩu tiếp theo. Một công cụ như Specops Password Policy sẽ kiểm tra nó với cơ sở dữ liệu mật khẩu đã bị xâm phạm – nó hoàn toàn sạch sẽ. Người dùng nhớ nó mà không cần trình quản lý mật khẩu vì nó là bốn hình ảnh cụ thể được liên kết với nhau. Họ không sử dụng lại nó vì họ biết nó dành riêng cho tài khoản này.

Sáu tháng sau, không có yêu cầu thiết lập lại. Không có giấy nhớ và không có cuộc gọi đến bộ phận hỗ trợ vì họ đã gõ nhầm một ký hiệu. Không có gì đột phá - chỉ đơn giản và hiệu quả.

7. Sự an toàn mà bạn thực sự cần

Cụm mật khẩu không phải là giải pháp hoàn hảo. Xác thực Đa yếu tố (MFA) vẫn quan trọng. Việc giám sát thông tin đăng nhập bị xâm phạm vẫn quan trọng. Nhưng nếu bạn đang đầu tư nguồn lực vào việc thay đổi chính sách mật khẩu, thì đây chính là lúc nên đầu tư: thời gian tối thiểu dài hơn, quy tắc đơn giản hơn và khả năng bảo vệ thực sự trước nguy cơ thông tin đăng nhập bị xâm phạm.

Kẻ tấn công vẫn đánh cắp mã băm và tấn công brute-force ngoại tuyến. Điều thay đổi là chúng tôi hiểu rõ hơn về những yếu tố thực sự làm chậm chúng, vì vậy chính sách mật khẩu tiếp theo của bạn nên phản ánh điều đó. Bạn có muốn dùng thử không?