VietNetwork.Vn

Dù thế nào đi nữa, mật khẩu luôn là chủ đề nóng hổi trên báo chí. Chúng hoặc bị đánh cắp trong các vụ rò rỉ dữ liệu, hoặc bị chế giễu vì quá đơn giản ; bị coi là vô nghĩa, hoặc bị than phiền vì lạc hậu về mặt công nghệ. Tuy nhiên, dù chúng ta có quan điểm gì về mật khẩu, thì có một điều không thể chối cãi: chúng ta sẽ sử dụng chúng hôm nay, ngày mai và cả tương lai gần.

Không giống như công nghệ cảm ứng hay nhận dạng khuôn mặt, mật khẩu được sử dụng ở khắp mọi nơi vì chúng rẻ và dễ triển khai. Đối với người dùng cuối, chúng là công nghệ bảo mật đơn giản nhất từ trước đến nay. Tất nhiên, chính sự phổ biến và đơn giản đó khiến mật khẩu trở nên hấp dẫn đối với kẻ trộm.


Trong bài viết này, chúng ta sẽ cùng tìm hiểu cách tin tặc đánh cắp mật khẩu của chúng ta và những gì chúng ta có thể làm để ngăn chặn chúng.

1. Nhồi nhét thông tin xác thực

Mức độ rủi ro: Cao

Người ta ước tính rằng hàng chục triệu tài khoản bị tin tặc kiểm tra mỗi ngày bằng cách sử dụng phương pháp nhồi nhét thông tin đăng nhập.

Nó là gì?

Nhồi thông tin xác thực, còn được gọi là dọn dẹp danh sách và phát lại vi phạm, là một phương tiện kiểm tra cơ sở dữ liệu hoặc danh sách thông tin xác thực bị đánh cắp – tức là mật khẩu và tên người dùng – so với nhiều tài khoản để xem có sự trùng khớp hay không.

Nó hoạt động như thế nào?

Các trang web có bảo mật kém thường xuyên bị xâm phạm, và kẻ gian chủ động nhắm mục tiêu vào việc đánh cắp thông tin đăng nhập người dùng từ các trang web đó để có thể bán chúng trên dark net hoặc các diễn đàn ngầm. Vì nhiều người dùng sẽ sử dụng cùng một mật khẩu trên nhiều trang web khác nhau, nên về mặt thống kê, tội phạm có khả năng cao phát hiện ra người dùng [email protected] đã sử dụng cùng một mật khẩu trên [email protected]. Các công cụ tự động kiểm tra danh sách thông tin đăng nhập bị đánh cắp trên nhiều trang web cho phép tin tặc nhanh chóng xâm nhập vào các tài khoản mới, ngay cả trên các trang web thực hiện bảo mật và quản lý mật khẩu tốt.

Làm thế nào để bạn có thể giữ an toàn?

Bí quyết để không trở thành nạn nhân của việc nhồi nhét thông tin đăng nhập rất đơn giản: mỗi mật khẩu cho mỗi trang web phải là duy nhất. Tất nhiên, điều đó sẽ không ngăn chặn việc mật khẩu của bạn bị đánh cắp cho một tài khoản trên một trang web có bảo mật kém, nhưng điều đó có nghĩa là bất kỳ sự xâm phạm thông tin đăng nhập nào cũng sẽ không ảnh hưởng đến bạn ở bất kỳ nơi nào khác trên Internet. Nếu bạn đang cảm thấy khó chịu khi nghĩ đến việc tạo và ghi nhớ mật khẩu duy nhất cho mỗi trang web bạn sử dụng, hãy xem phần Mẹo của chúng tôi ở gần cuối bài viết.

2. Lừa đảo

Mức độ rủi ro: Cao

Hơn 70% tội phạm mạng bắt đầu bằng một cuộc tấn công lừa đảo hoặc lừa đảo trực tuyến. Tin tặc thích sử dụng các kỹ thuật lừa đảo để đánh cắp thông tin đăng nhập của người dùng, có thể để sử dụng cho mục đích cá nhân, hoặc phổ biến hơn là để bán cho tội phạm trên dark net.

Nó là gì?

Lừa đảo là một thủ thuật kỹ thuật xã hội nhằm lừa người dùng cung cấp thông tin đăng nhập của họ cho những gì họ tin là yêu cầu chính đáng từ một trang web hoặc nhà cung cấp hợp pháp.

Nó hoạt động như thế nào?

Thông thường, nhưng không phải lúc nào cũng vậy, lừa đảo trực tuyến xảy ra thông qua email chứa liên kết lừa đảo đến các trang web giả mạo hoặc tệp đính kèm độc hại. Trong chuỗi sự kiện bắt đầu từ việc người dùng mắc bẫy, kẻ lừa đảo sẽ tạo một biểu mẫu đăng nhập giả để đánh cắp tên đăng nhập và mật khẩu của người dùng. Kẻ lừa đảo cũng sẽ sử dụng một số hình thức chặn giữa người dùng và trang đăng nhập chính hãng, chẳng hạn như tấn công trung gian để đánh cắp thông tin đăng nhập.

Làm thế nào để bạn có thể giữ an toàn?

Sử dụng xác thực 2 yếu tố hoặc đa yếu tố. Mặc dù các nhà nghiên cứu đã phát triển các mẹo để khắc phục những vấn đề này, nhưng trong thực tế vẫn chưa có trường hợp nào được báo cáo. Thận trọng là biện pháp phòng thủ hàng đầu của bạn trước lừa đảo. Bỏ qua các yêu cầu đăng nhập vào dịch vụ từ liên kết email và luôn truy cập trực tiếp vào trang web của nhà cung cấp trên trình duyệt. Kiểm tra cẩn thận các email có chứa tệp đính kèm. Phần lớn email lừa đảo đều chứa lỗi chính tả hoặc các lỗi khác mà bạn có thể dễ dàng phát hiện nếu dành chút thời gian kiểm tra kỹ nội dung email.

3. Phun mật khẩu

Mức độ rủi ro: Cao

Người ta ước tính rằng có lẽ 16% các cuộc tấn công vào mật khẩu xuất phát từ các cuộc tấn công rải mật khẩu.

Nó là gì?

Phun mật khẩu là một kỹ thuật cố gắng sử dụng danh sách các mật khẩu thường dùng để tấn công tên tài khoản người dùng, chẳng hạn như 123456, password123, 1qaz2wsx, letmein, batmanv.v.

Nó hoạt động như thế nào?

Tương tự như nhồi thông tin xác thực, ý tưởng cơ bản đằng sau việc rải mật khẩu là lấy một danh sách tài khoản người dùng và kiểm tra chúng với một danh sách mật khẩu khác. Điểm khác biệt là với việc nhồi thông tin xác thực, mật khẩu được sử dụng đều là mật khẩu đã biết của một số người dùng cụ thể. Rải mật khẩu thì tinh vi hơn. Kẻ gian có một danh sách tên người dùng, nhưng không biết mật khẩu thực tế. Thay vào đó, mỗi tên người dùng được kiểm tra với một danh sách các mật khẩu được sử dụng phổ biến nhất. Danh sách này có thể là 5, 10 hoặc 100 mật khẩu phổ biến nhất, tùy thuộc vào thời gian và nguồn lực mà kẻ tấn công có. Hầu hết các trang web sẽ phát hiện các lần thử mật khẩu lặp lại từ cùng một địa chỉ IP, vì vậy kẻ tấn công cần sử dụng nhiều địa chỉ IP để tăng số lượng mật khẩu chúng có thể thử trước khi bị phát hiện.

Làm thế nào để bạn có thể giữ an toàn?

Đảm bảo mật khẩu của bạn không nằm trong danh sách 100 mật khẩu được sử dụng phổ biến nhất.

4. Ghi lại thao tác phím

Mức độ rủi ro: Trung bình

Ghi lại thao tác phím thường là một kỹ thuật được sử dụng trong các cuộc tấn công có mục tiêu, trong đó tin tặc biết nạn nhân (vợ/chồng, đồng nghiệp, họ hàng) hoặc đặc biệt quan tâm đến nạn nhân (gián điệp của công ty hoặc quốc gia).

Nó là gì?

Keylogger ghi lại các thao tác bạn gõ trên bàn phím và có thể là phương tiện đặc biệt hiệu quả để lấy thông tin đăng nhập cho các mục như tài khoản ngân hàng trực tuyến, ví tiền điện tử và các thông tin đăng nhập khác có biểu mẫu an toàn.

Nó hoạt động như thế nào?

Keylogging khó thực hiện hơn Credential Stuffing, Phishing và Password Spraying vì trước tiên nó đòi hỏi phải truy cập hoặc xâm nhập máy tính của nạn nhân bằng phần mềm độc hại keylogging. Tuy nhiên, hiện có rất nhiều bộ công cụ hậu khai thác được cung cấp công khai, cung cấp cho kẻ tấn công các keylogger có sẵn, cũng như các công cụ phần mềm gián điệp thương mại được cho là để giám sát phụ huynh hoặc nhân viên.

Làm thế nào để bạn có thể giữ an toàn?

Bạn cần chạy một giải pháp bảo mật tốt có khả năng phát hiện các hoạt động và lây nhiễm keylogging. Đây là một trong số ít các kỹ thuật đánh cắp mật khẩu mà độ mạnh hoặc tính duy nhất của mật khẩu thực sự không tạo ra sự khác biệt. Điều quan trọng là điểm cuối của bạn được bảo vệ chống lại lây nhiễm như thế nào, và liệu phần mềm bảo mật của bạn có thể phát hiện hoạt động độc hại nếu phần mềm độc hại tìm được cách vượt qua các tính năng bảo vệ của nó hay không.

5. Brute Force

Mức độ rủi ro: Thấp

Đáng ngạc nhiên là việc bẻ khóa mật khẩu bằng vũ lực lại không phổ biến như mọi người nghĩ, nhưng lại rất khó khăn, tốn thời gian và tốn kém đối với tội phạm.

Nó là gì?

Đây là kiểu nội dung mà các nhà nghiên cứu bảo mật thích viết đến hoặc bạn có thể thấy trong các chương trình truyền hình: một tin tặc chạy một thuật toán với một mật khẩu được mã hóa và trong 3...2...1... thuật toán sẽ bẻ khóa mật khẩu và tiết lộ nó dưới dạng văn bản thuần túy.

Nó hoạt động như thế nào?

Có rất nhiều công cụ như "Aircrack-ng", "John The Ripper" và "DaveGrohl" có thể thử bẻ khóa mật khẩu bằng vũ lực. Nhìn chung, có hai loại bẻ khóa khả dụng. Loại đầu tiên là một dạng tấn công "từ điển" - được gọi như vậy vì kẻ tấn công chỉ cần thử mọi từ trong từ điển làm mật khẩu. Các chương trình như đã đề cập ở trên có thể chạy qua và kiểm tra toàn bộ từ điển chỉ trong vài giây. Loại kỹ thuật khác được sử dụng khi tin tặc (thông qua vi phạm dữ liệu) có được hàm băm của mật khẩu văn bản thuần túy. Vì những mật khẩu này không thể đảo ngược, mục tiêu là băm càng nhiều mật khẩu văn bản thuần túy càng tốt và cố gắng tìm ra mật khẩu trùng khớp. Có các bảng cầu vồng liệt kê các hàm băm của cụm mật khẩu phổ biến để tăng tốc quá trình này.

Một trong những lý do tại sao việc bẻ khóa mật khẩu không phải là một kỹ thuật khả thi như một số kỹ thuật khác mà chúng tôi đã đề cập là vì mật khẩu được mã hóa thường sử dụng một chuỗi ngẫu nhiên (salt). Đây là một số dữ liệu ngẫu nhiên được sử dụng trong quá trình mã hóa để đảm bảo không có hai mật khẩu dạng văn bản thuần túy nào tạo ra cùng một giá trị băm. Tuy nhiên, lỗi do quản trị viên trang web mắc phải khi sử dụng hoặc lưu trữ chuỗi ngẫu nhiên và mật khẩu có thể khiến một số mật khẩu được mã hóa bị bẻ khóa.

Làm thế nào để bạn có thể giữ an toàn?

Chìa khóa để tránh bị tấn công brute force là đảm bảo bạn sử dụng mật khẩu đủ dài. Với công nghệ hiện tại, mật khẩu dài hơn 16 ký tự là đủ, nhưng tốt nhất là hãy chuẩn bị sẵn sàng cho tương lai bằng cách sử dụng cụm mật khẩu dài bằng độ dài tối đa mà dịch vụ bạn đang đăng ký cho phép. Tránh sử dụng bất kỳ dịch vụ nào không cho phép bạn tạo mật khẩu dài hơn 8 hoặc 10 ký tự. Bạn lo lắng về việc làm sao để nhớ một mật khẩu quá dài? Xem phần Mẹo bên dưới.

6. Khám phá nội bộ

Mức độ rủi ro: Thấp

Phần lớn đây là kỹ thuật chỉ được sử dụng trong một cuộc tấn công có chủ đích, do người quen, họ hàng, đồng nghiệp hoặc cơ quan thực thi pháp luật thực hiện.

Nó là gì?

Phát hiện cục bộ xảy ra khi bạn viết hoặc sử dụng mật khẩu ở nơi nào đó mà người khác có thể nhìn thấy dưới dạng văn bản thuần túy. Kẻ tấn công sẽ tìm thấy mật khẩu và sử dụng nó, thường là khi bạn không hề biết mật khẩu đã bị rò rỉ.

Nó hoạt động như thế nào?

Bạn đã xem những bộ phim cảnh sát lục tung thùng rác của kẻ xấu để tìm manh mối về những gì hắn đã làm chưa? Vâng, lục thùng rác là một cách hợp lệ để lấy được mật khẩu thông qua điều tra cục bộ. Bạn có ghi chú Post-It trên màn hình, hay một cuốn nhật ký trong ngăn kéo bàn làm việc với thông tin đăng nhập Paypal của mình không? Tuy nhiên, vẫn còn nhiều cách bí mật hơn để điều tra cục bộ, bao gồm cả việc đánh hơi thông tin liên lạc Bluetooth hoặc tìm mật khẩu dạng văn bản thuần túy trong nhật ký hoặc URL. Việc theo dõi qua vai cũng không phải là điều gì mới mẻ. Đó có thể là bất cứ điều gì, từ một đồng nghiệp lén lút lảng vảng sau bàn làm việc của bạn khi bạn đăng nhập, cho đến camera quan sát trong quán cà phê và các khu vực công cộng khác có thể ghi lại video người dùng khi họ nhập thông tin đăng nhập vào một trang web trên máy tính xách tay của họ.

Làm thế nào để bạn có thể giữ an toàn?

Không cần phải quá lo lắng, nhưng hãy cẩn thận ở mức độ vừa phải. Mặc dù rủi ro nhìn chung là thấp, nhưng nếu bạn vô tình để lộ mật khẩu của mình, đừng ngạc nhiên nếu ai đó lợi dụng điều đó.

7. Tống tiền

Mức độ rủi ro: Thấp

Có lẽ là mức rủi ro thấp nhất nhưng không phải là chưa từng có.

Nó là gì?

Có người yêu cầu bạn cung cấp thông tin đăng nhập. Không cần phải qua bất kỳ thủ đoạn nào. Thỏa thuận là bạn phải cung cấp mật khẩu, nếu không họ sẽ làm điều gì đó mà bạn không thích.

Nó hoạt động như thế nào?

Kỹ thuật tống tiền đơn giản này phụ thuộc vào bản chất mối quan hệ giữa kẻ tấn công và mục tiêu. Ai đó có thể yêu cầu bạn cung cấp mật khẩu nếu họ có khả năng gây hại hoặc làm bạn xấu hổ nếu bạn không tuân thủ, chẳng hạn như tiết lộ thông tin nhạy cảm, hình ảnh hoặc video về bạn, hoặc đe dọa sự an toàn thể chất của bạn hoặc người thân. Phần mềm độc hại RAT cho phép tin tặc theo dõi bạn thông qua web hoặc camera video có thể khiến bạn phải chịu hình thức tống tiền này.

Làm thế nào để bạn có thể giữ an toàn?

Như các nạn nhân của ransomware đang nhận ra gần như hàng ngày, không có quy tắc nào về cách xử lý các yêu cầu tống tiền. Đó là sự đánh đổi giữa giá trị của những gì họ muốn và giá trị của thiệt hại mà họ có thể gây ra. Xin lưu ý rằng ở một số khu vực pháp lý và trong một số trường hợp nhất định, việc nhượng bộ yêu cầu tống tiền có thể khiến bạn phải chịu trách nhiệm pháp lý.

8. Mật khẩu có quan trọng không?

Một số người nghĩ là không, nhưng thực ra là có. Mật khẩu mạnh sẽ bảo vệ bạn khỏi các kỹ thuật như rải mật khẩu và tấn công brute force, trong khi mật khẩu duy nhất sẽ bảo vệ bạn khỏi việc nhồi nhét thông tin đăng nhập, đảm bảo rằng thiệt hại do rò rỉ thông tin trên một trang web sẽ không ảnh hưởng tiêu cực đến bạn ở nơi khác.

9. Mẹo tạo mật khẩu mạnh và độc đáo

Một trong những lý do chính khiến Credential Stuffing và Password Spraying thành công đến vậy là vì mọi người không thích tạo và ghi nhớ những mật khẩu phức tạp. Tin tốt - thực ra không phải là tin tức mới vì nó đã đúng trong một thời gian khá dài - là các trình quản lý mật khẩu sẽ giúp bạn tiết kiệm công sức. Những trình quản lý này có sẵn và một số trình duyệt thậm chí còn có các đề xuất mật khẩu được tích hợp sẵn. Tất nhiên, đúng là những trình quản lý này không phải là hoàn hảo. Chúng thường dựa vào một mật khẩu chính, nếu bị xâm phạm, tất cả các dữ liệu quan trọng của bạn sẽ bị lộ. Tuy nhiên, khả năng trở thành nạn nhân của hành vi trộm cắp mật khẩu nếu bạn sử dụng trình quản lý mật khẩu thấp hơn đáng kể so với khi bạn không sử dụng. Chúng tôi cho rằng lợi ích của trình quản lý mật khẩu lớn hơn nhiều so với rủi ro và chúng tôi thực sự khuyên bạn nên sử dụng chúng như một bài thực hành bảo mật 101 cơ bản.

Mật khẩu sẽ không biến mất trong thời gian tới, và thậm chí còn có những lý lẽ chính đáng cho thấy chúng không nên biến mất. Mặc dù dữ liệu sinh trắc học, quét khuôn mặt và vân tay đều có vai trò giúp bảo mật quyền truy cập vào các dịch vụ, nhưng vẻ đẹp vượt trội của mật khẩu là nó là "thứ bạn biết" chứ không phải "thứ bạn có". Trong một số trường hợp, thứ sau có thể bị tước đoạt khỏi bạn một cách hợp pháp, nhưng thứ trước thì không, miễn là bạn đảm bảo rằng nó đủ phức tạp, duy nhất và bí mật. Kết hợp điều đó với xác thực hai yếu tố hoặc đa yếu tố, khả năng bạn bị mất dữ liệu do bị hack mật khẩu là cực kỳ thấp và - quan trọng là - rất hạn chế. Nếu một trang web không an toàn làm rò rỉ thông tin đăng nhập của bạn, bạn có thể tự tin rằng điều đó sẽ không ảnh hưởng đến bạn ngoài dịch vụ cụ thể đó nếu bạn duy trì thói quen bảo mật mật khẩu tốt.