VietNetwork.Vn

Bảo vệ an ninh cho tổ chức của bạn cũng giống như việc củng cố một lâu đài—bạn cần hiểu kẻ tấn công sẽ tấn công vào đâu và chúng sẽ cố gắng phá vỡ bức tường của bạn như thế nào. Và tin tặc luôn tìm kiếm điểm yếu, cho dù đó là chính sách mật khẩu lỏng lẻo hay cửa hậu bị quên. Để xây dựng một hàng phòng thủ mạnh hơn, bạn phải suy nghĩ như một tin tặc và dự đoán các động thái của chúng. Đọc tiếp để tìm hiểu thêm về các chiến lược bẻ khóa mật khẩu của tin tặc, các lỗ hổng mà chúng khai thác và cách bạn có thể củng cố hàng phòng thủ của mình để ngăn chặn chúng.


1. Phân tích những mật khẩu tệ nhất

Mật khẩu yếu, thường được sử dụng là mục tiêu dễ dàng nhất đối với tin tặc. Hàng năm, các chuyên gia cung cấp danh sách các mật khẩu được sử dụng thường xuyên nhất, với các mật khẩu kinh điển như " 123456 " và " password " xuất hiện năm này qua năm khác. Những mật khẩu này là mục tiêu dễ dàng đạt được của chiến lược tấn công của tin tặc. Bất chấp nhiều năm cảnh báo về bảo mật, người dùng vẫn sử dụng mật khẩu đơn giản, dễ nhớ—thường dựa trên các mẫu có thể dự đoán được hoặc thông tin cá nhân mà tin tặc có thể nhanh chóng thu thập được từ phương tiện truyền thông xã hội hoặc hồ sơ công khai.

Tin tặc biên soạn cơ sở dữ liệu của những mật khẩu phổ biến này và sử dụng chúng trong các cuộc tấn công bằng brute-force, lặp lại các kết hợp mật khẩu có khả năng xảy ra cho đến khi tìm được đúng mật khẩu. Đối với tin tặc, những mật khẩu tệ nhất lại mang đến cơ hội tốt nhất. Cho dù đó là một bước đi trên bàn phím như " qwerty " hay một cụm từ phổ biến như " iloveyou ", tính đơn giản của những mật khẩu này cung cấp cho tin tặc một đường dẫn trực tiếp vào tài khoản, đặc biệt là khi không có xác thực đa yếu tố.

2. Phải mất bao lâu để bẻ khóa mật khẩu?

Thời gian để bẻ khóa mật khẩu phụ thuộc phần lớn vào ba điều:

• Độ dài và độ mạnh của mật khẩu
• Các phương pháp được sử dụng để bẻ khóa nó
• Các công cụ mà tin tặc đang sử dụng

Tin tặc có thể bẻ khóa mật khẩu ngắn, đơn giản — đặc biệt là những mật khẩu chỉ sử dụng chữ thường hoặc số — chỉ trong vài giây bằng các công cụ bẻ khóa mật khẩu hiện đại. Nhưng mật khẩu phức tạp hơn, như mật khẩu kết hợp nhiều loại ký tự khác nhau (ví dụ: chữ hoa và chữ thường, ký hiệu và số) khó bẻ khóa hơn nhiều và mất nhiều thời gian hơn.

Tấn công bằng cách dùng vũ lực và tấn công theo từ điển là hai phương pháp bẻ khóa mật khẩu phổ biến nhất của tin tặc.

• Trong một cuộc tấn công bằng cách dùng vũ lực, tin tặc sử dụng các công cụ để thử mọi tổ hợp mật khẩu có thể, nghĩa là một mật khẩu yếu gồm bảy ký tự có thể bị bẻ khóa chỉ trong vài phút, trong khi một mật khẩu phức tạp hơn gồm 16 ký tự bao gồm các ký hiệu và số có thể mất nhiều tháng, nhiều năm hoặc thậm chí lâu hơn để bẻ khóa.
• Trong các cuộc tấn công từ điển, tin tặc sử dụng danh sách các từ hoặc mật khẩu phổ biến được xác định trước để đoán ra tổ hợp đúng, khiến phương pháp này đặc biệt hiệu quả đối với các mật khẩu thường dùng hoặc đơn giản.

Bạn có muốn biết có bao nhiêu người dùng cuối của bạn đang sử dụng mật khẩu yếu hoặc bị xâm phạm không? Quét Active Directory miễn phí bằng Specops Password Auditor để xác định mật khẩu trùng lặp, trống, giống hệt nhau, bị xâm phạm và các lỗ hổng mật khẩu khác.

3. Quản lý rủi ro mật khẩu

Rủi ro bảo mật mật khẩu lớn nhất của tổ chức bạn là gì? Hành vi của người dùng. Người dùng cuối có xu hướng sử dụng lại mật khẩu trên nhiều tài khoản hoặc sử dụng mật khẩu yếu hoặc dễ nhớ, điều này mang lại cho tin tặc một lợi thế rất lớn. Khi tin tặc đã bẻ khóa được mật khẩu của một tài khoản, chúng thường sẽ thử cùng một mật khẩu trên các dịch vụ khác—một chiến thuật được gọi là nhồi thông tin xác thực. Và nếu người dùng đã sử dụng lại mật khẩu cho nhiều trang web? Trên thực tế, họ đã trao cho tin tặc chìa khóa để truy cập vào cuộc sống số của họ.

Để quản lý rủi ro này, tổ chức của bạn nên thúc đẩy thói quen vệ sinh mật khẩu tốt. Khuyến khích người dùng cuối tránh sử dụng lại mật khẩu trên nhiều trang web hoặc tài khoản khác nhau. Không chỉ dừng lại ở việc giáo dục người dùng; hãy triển khai các biện pháp bảo vệ hệ thống như ngưỡng khóa để hạn chế số lần đăng nhập không thành công. Ngoài ra, hãy triển khai xác thực đa yếu tố cho người dùng cuối và triển khai các chính sách mật khẩu mạnh mẽ, áp dụng độ dài, độ phức tạp và khoảng thời gian thay đổi.

4. Mật khẩu và xác minh danh tính

Khi tin tặc và các công cụ của chúng trở nên tinh vi hơn, các tổ chức buộc phải xem xét lại thành phần của mật khẩu. Bước vào kỷ nguyên của cụm mật khẩu — sự kết hợp của các từ không liên quan, dễ nhớ đối với người dùng nhưng khó đoán đối với tin tặc. Ví dụ, cụm mật khẩu như "hardwood llama ships" an toàn hơn nhiều so với mật khẩu ngắn bao gồm các số và chữ cái ngẫu nhiên, nhưng người dùng cũng dễ nhớ hơn.

Độ dài của cụm mật khẩu (thường là 16 ký tự trở lên) kết hợp với tính không thể đoán trước của tổ hợp từ khiến cho các cuộc tấn công bằng cách dùng từ điển hoặc dùng brute-force khó thành công hơn nhiều. Bạn có thể tìm thêm lời khuyên về cách giúp người dùng cuối tạo cụm mật khẩu tại đây.

Cũng nên cân nhắc việc triển khai các biện pháp xác minh danh tính để thêm một lớp bảo mật khác. Yêu cầu người dùng xác minh danh tính của họ qua email hoặc xác nhận qua SMS sẽ tăng thêm khả năng bảo vệ ngay cả khi tin tặc xâm phạm mật khẩu.

5. Hãy suy nghĩ như một hacker để phòng thủ như một chuyên gia

Bằng cách suy nghĩ như một hacker, bạn có thể hiểu rõ hơn cách khiến mọi thứ trở nên khó khăn hơn đối với họ. Hacker phát triển mạnh nhờ mật khẩu yếu, sử dụng lại nhiều lần và các mẫu có thể dự đoán được, khai thác những người dùng bỏ qua các biện pháp thực hành tốt nhất về mật khẩu hoặc không bật MFA.

Chính sách bảo mật vững chắc là nền tảng của bảo vệ mật khẩu mạnh mẽ — và Specops Password Policy là giải pháp đơn giản giúp bạn tùy chỉnh các yêu cầu của mình. Tổ chức của bạn có thể thực thi các yêu cầu về tuân thủ và quy định, tùy chỉnh cài đặt quy tắc mật khẩu, tạo từ điển tùy chỉnh, thực thi cụm mật khẩu và thậm chí liên tục quét Active Directory của bạn để tìm hơn 4 tỷ mật khẩu bị xâm phạm.

Để phòng thủ hiệu quả chống lại các cuộc tấn công này, tổ chức của bạn phải thu hẹp khoảng cách. Khuyến khích người dùng triển khai cụm mật khẩu dài, duy nhất mà tin tặc khó có thể đoán được. Triển khai các phương pháp xác minh danh tính để cung cấp thêm bảo mật. Và tận dụng các công cụ hàng đầu trong ngành để giúp thực thi các biện pháp bảo mật mật khẩu tốt nhất.