VietNetwork.Vn

Thay đổi mật khẩu bắt buộc trong một khung thời gian thường xuyên là một thực tế của cuộc sống trong nhiều tổ chức. Phương pháp lâu đời này được những người đề xuất ủng hộ như một biện pháp bảo mật cơ bản tốt để giảm thiểu rủi ro mất mật khẩu. Nhưng liệu nó có còn phù hợp nhiều thập kỷ sau khi nó xuất hiện lần đầu tiên không?


1. Mật khẩu hết hạn giải quyết điều gì?

Trước tiên, điều quan trọng là phải hiểu tại sao việc hết hạn mật khẩu được thực thi lại trở nên phổ biến. Hầu hết các tổ chức yêu cầu thay đổi mật khẩu sau mỗi 30 hoặc 90 ngày. Điều này xuất phát từ bối cảnh lịch sử của các hàm băm mật khẩu đơn giản hơn có thể bị bẻ khóa tương đối nhanh chóng. Quay lại thời điểm kẻ tấn công có thể bẻ khóa mật khẩu trong vài tháng, các nhà bảo mật cho rằng những thay đổi trong khung thời gian đó sẽ giúp giữ an toàn cho người dùng.

Mô hình mối đe dọa ngày nay trông khá khác. Mật khẩu được mã hóa bằng cơ chế băm hiện đại có thể mất hàng tỷ năm để bẻ khóa thành công.

Ngày nay bọn tội phạm thu thập mật khẩu theo những cách tập trung vào bạn, người dùng, thay vì dịch vụ lưu trữ chúng. Các cuộc tấn công lừa đảo và kỹ thuật xã hội là rủi ro lớn nhất, cũng như các cuộc tấn công từ điển phối hợp sử dụng danh sách các mật khẩu đã biết. Các danh sách này có nguồn gốc từ các vụ vi phạm dữ liệu trước đó.

Những thay đổi trong bối cảnh mối đe dọa có nghĩa là việc hết hạn mật khẩu không còn giải quyết được vấn đề mà chúng dự kiến. Thỏa hiệp xảy ra trong vài giây. Vào thời điểm bạn thay đổi mật khẩu của mình, những kẻ tấn công có thể đã biến mất từ lâu.

2. Các vấn đề về hết hạn mật khẩu

Thay đổi mật khẩu bắt buộc là một nỗi thất vọng chung của người dùng. Họ có thể có xu hướng chọn liên tiếp các mật khẩu ngắn dễ ghi nhớ. Một số người dùng sẽ ghi chú lại từng mật khẩu, có khả năng khiến mật khẩu bị xâm phạm - dù là trong tệp văn bản hay dưới dạng ghi chú đăng trên máy tính để bàn.

Nghiên cứu tại Đại học Bắc Carolina cho thấy kẻ tấn công có quyền truy cập vào mật khẩu trước đó có thể xác định mật khẩu hiện tại của người dùng trong vòng chưa đầy 3 giây trong 41% trường hợp. Điều này cung cấp bằng chứng mạnh mẽ rằng nhiều người dùng chỉ thực hiện những thay đổi nhỏ đối với mật khẩu của họ trong khoảng thời gian được ủy quyền.

Hết hạn mật khẩu có nghĩa là đặt ra một giới hạn thời gian đối với quyền truy cập của kẻ tấn công vào hệ thống bị xâm nhập. Trong bối cảnh thay đổi ngày nay, kẻ xâm nhập có thể đã có quyền truy cập liên tục vào thời điểm chúng đánh cắp danh sách mật khẩu. Việc cài đặt trình ghi khóa hoặc phần mềm độc hại tương tự khác ngay lập tức bỏ qua tất cả các lợi ích của việc hết hạn mật khẩu.

Cuối cùng, những người thử nghiệm bút trong thế giới thực đã tuyên bố rằng họ không bị cản trở bởi chính sách hết hạn mật khẩu. Các chính sách thường bảo vệ chống lại các mối đe dọa mà họ không thể hy vọng có thể ngăn chặn. Ngày nay, việc thay đổi mật khẩu thường xuyên nên được coi là một nỗ lực để khuyến khích người dùng duy trì bảo mật. Trong thực tế, nó cũng không phù hợp với điều này, vì nó gây ra sự bất tiện mà người dùng sẽ cố gắng tránh.

3. Chống lại việc thay đổi mật khẩu của bạn

Những yếu tố này kết hợp với nhau đã khiến một số tổ chức nổi tiếng chống lại các chính sách thay đổi mật khẩu trong những năm gần đây. Từ Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh (NCSC) đến cơ sở bảo mật Windows chính thức của Microsoft, phương thức phổ biến từng có thời đã nhanh chóng không còn được ưa chuộng.

Trong một bài đăng trên blog vào năm 2016, NCSC giải thích rằng việc hết hạn sử dụng gây ra "chi phí khả dụng" cho người dùng cao hơn các lợi ích bảo mật đã có vấn đề:

Đó là một trong những tình huống bảo mật phản trực quan; người dùng càng bị buộc phải thay đổi mật khẩu thường xuyên hơn, thì lỗ hổng tổng thể bị tấn công càng lớn. Những gì có vẻ là một lời khuyên hoàn toàn hợp lý, đã có từ lâu, hóa ra lại không phù hợp với một phân tích toàn hệ thống, chặt chẽ.

Tác động của sự mệt mỏi về mật khẩu có nhiều khả năng làm suy yếu tình trạng bảo mật tổng thể của tổ chức, vì người dùng sẽ chọn mật khẩu kém an toàn hơn và mất cảnh giác trước các mối đe dọa đang diễn ra. Những kẻ tấn công sẽ không bị quấy rầy bởi chính sách hết hạn mật khẩu - thông tin bị đánh cắp ngay lập tức, thường là rất lâu trước khi thay đổi mật khẩu theo lịch trình có thể giảm thiểu tác động.

4. Sử dụng gì để thay thế?

Quản trị viên hệ thống vẫn có một số công cụ để bảo vệ tổ chức của họ. Trong số các lựa chọn có sẵn, giáo dục có thể là một trong những cách tiếp cận dài hạn mạnh mẽ nhất. Giải thích cho người dùng về rủi ro của mật khẩu bảo mật thấp để khuyến khích họ đưa ra các lựa chọn an toàn hơn.

Bạn cũng nên áp dụng phương pháp xác thực đa nhân tố . Việc thêm một ứng dụng xác thực vào phương trình sẽ ngăn những kẻ tấn công sử dụng mật khẩu, ngay cả khi chúng đánh cắp thành công. Điều này không thể xảy ra khi chính sách hết hạn mật khẩu bắt đầu được áp dụng lần đầu tiên.

Nếu bạn vẫn khăng khăng thay đổi mật khẩu thường xuyên hoặc ngành của bạn có luật yêu cầu điều đó, hãy tìm cách giúp người dùng của bạn. Cung cấp phần mềm quản lý mật khẩu đã được phê duyệt sẽ cho phép người dùng tạo và lưu trữ mật khẩu an toàn mà không cần dùng đến các cụm từ đơn giản được viết nguệch ngoạc trên giấy ghi chú.

Bỏ hết hạn mật khẩu không có nghĩa là từ bỏ tất cả các cơ chế kiểm soát mật khẩu. Bạn vẫn có thể thực thi độ dài và độ phức tạp tối thiểu để hướng dẫn người dùng đến những lựa chọn mạnh mẽ. Ngoài ra, bạn nên giữ lại khả năng vô hiệu hóa mật khẩu để có thể nhanh chóng khóa hệ thống của mình trong trường hợp vi phạm.

5. Kết luận: Đã đến lúc ngừng sử dụng mật khẩu

Việc hết hạn mật khẩu từng có hiệu quả hợp lý trong việc ngăn chặn các cuộc tấn công mạng vào web ngày hôm qua. Bây giờ chúng đang gặp nhiều rắc rối hơn giá trị của chúng. Việc tiếp tục thực thi các thay đổi mật khẩu thường xuyên sẽ khiến người dùng thất vọng, gây ra nhiều truy vấn hơn cho bộ phận trợ giúp CNTT và gây ra những ảnh hưởng không đáng kể - hoặc tiêu cực - đối với tình trạng bảo mật của bạn.

Chính sách hết hạn rất hữu ích khi web là một nơi nhỏ hơn và chậm hơn. Internet và các mối đe dọa của nó đã phát triển rất nhiều trong vài thập kỷ qua. Giờ đây, việc người dùng nói cho kẻ tấn công biết mật khẩu của họ, trong email lừa đảo hoặc trong một cuộc gọi lừa đảo, phổ biến hơn là mật khẩu thực sự bị kẻ xâm nhập "đánh cắp".

Đối với các hệ thống có nguy cơ truy cập liên tục, việc có được mật khẩu của người dùng đặc quyền một lần thường cung cấp cho kẻ tấn công khả năng cài đặt cửa sau hoặc thiết lập tài khoản người dùng của riêng họ. Với rất nhiều yếu tố chống lại việc hết hạn mật khẩu như một biện pháp giảm thiểu bảo mật, điều quan trọng hơn là phải tập trung vào vệ sinh mật khẩu cơ bản và bức tranh toàn cảnh hơn về phòng thủ mạng.

Việc bỏ chính sách hết hạn mật khẩu của bạn sẽ làm hài lòng người dùng và góp phần vào trạng thái bảo mật của bạn. Cân nhắc lợi ích bảo mật của các thực hành mật khẩu của bạn so với chi phí khả dụng khi khiến người dùng học lại thông tin đăng nhập của họ vài tháng một lần. Nhiều quy định tuân thủ như PCI-DSS và HIPAA vẫn yêu cầu thay đổi mật khẩu thường xuyên nhưng trong các ngành không được quy định, bạn nên suy nghĩ kỹ trước khi sử dụng hết hạn bắt buộc.