Bài học rút ra chính
- Các chuyên gia an ninh mạng cho rằng mật khẩu tự nó không còn được coi là đủ để bảo mật tài khoản.
- Người dùng nên bật xác thực đa yếu tố (MFA) bất cứ khi nào có thể.
- Tuy nhiên, MFA không nên được sử dụng như một cái cớ để tạo mật khẩu yếu.
Mật khẩu mạnh nhất và chính sách mật khẩu nghiêm ngặt nhất không được sử dụng nhiều khi nhà cung cấp dịch vụ trực tuyến của bạn làm rò rỉ thông tin đăng nhập của bạn do cấu hình sai trong máy chủ của họ.
Nếu bạn nghĩ trường hợp như vậy là hiếm, hãy biết rằng nhiều vụ rò rỉ dữ liệu lớn nhất vào năm 2021 là do lỗi kỹ thuật của các nhà cung cấp dịch vụ. Trên thực tế, vào tháng 12 năm 2021, các chuyên gia an ninh mạng đã giúp loại bỏ một cấu hình sai như vậy trong nhóm S3 của Amazon Web Services do Sega sở hữu, chứa tất cả các loại thông tin nhạy cảm, bao gồm cả mật khẩu.
"Việc sử dụng mật khẩu sẽ trở nên lỗi thời và chúng ta nên tìm các cách khác nhau để đăng nhập vào tài khoản", Giám đốc điều hành của nhà cung cấp bảo mật Gurucul, Saryu Nayyar, nói với Lifewire qua email.
Vấn đề với Mật khẩu
Vào tháng 12, The Sun đã báo cáo rằng Cơ quan Tội phạm Quốc gia của Vương quốc Anh (NCA) đã cung cấp hơn 500 triệu mật khẩu cho dịch vụ Have I Been Pwned (HIBP) phổ biến mà nó đã phát hiện ra trong một cuộc điều tra.
HIBP cho phép người dùng kiểm tra xem mật khẩu của họ có bị rò rỉ khi vi phạm và dễ bị tin tặc lạm dụng hay không. Theo người sáng lập HIBP, Troy Hunt, hơn 200 triệu mật khẩu do NCA cung cấp đã không tồn tại trong cơ sở dữ liệu.
Mặc dù tính năng lưu trữ thông tin đăng nhập tài khoản của các trình duyệt rất tiện lợi… người dùng nên hạn chế sử dụng tính năng này.
"Nó chỉ ra quy mô tuyệt đối của vấn đề, vấn đề là mật khẩu, một phương pháp cổ xưa để chứng minh lợi ích của một người. Nếu đã từng có lời kêu gọi hành động để loại bỏ mật khẩu và tìm giải pháp thay thế, thì điều này phải có thể là ", Baber Amin, COO của các chuyên gia nhận dạng kỹ thuật số, Veridium nói với Lifewire qua email, để đáp lại đóng góp gần đây của NCA cho HIPB.
Amin nói thêm rằng thông tin đăng nhập bị rò rỉ không chỉ xâm phạm các tài khoản hiện có, vì tin tặc hiện sử dụng chúng với các công cụ phân tích dựa trên AI để xác định các mẫu về cách một cá nhân tạo mật khẩu. Về bản chất, thông tin đăng nhập bị rò rỉ cũng gây nguy hiểm cho bảo mật của các tài khoản không bị xâm phạm khác.
Mật khẩu và hơn thế nữa
Ủng hộ cơ chế bảo vệ tốt hơn mật khẩu, Nayyar đề nghị người dùng có tùy chọn thiết lập xác thực đa yếu tố trên tài khoản của họ nên làm như vậy.
Ron Bradley, Phó Chủ tịch Đánh giá Chung, một tổ chức thành viên giúp phát triển các phương pháp hay nhất để đảm bảo rủi ro của bên thứ ba, đồng ý. "Bật xác thực đa yếu tố ở mọi nơi có thể, đặc biệt là các ứng dụng chuyển tiền."
Bảo mật tài khoản chỉ bằng mật khẩu được gọi là xác thực một yếu tố. Xác thực đa yếu tố hoặc MFA xây dựng trên cơ sở đó và bảo mật tài khoản bằng cách thêm một bước bổ sung vào quy trình đăng nhập bằng cách yêu cầu người dùng cung cấp một phần thông tin khác. Nhiều dịch vụ, bao gồm một số ngân hàng, triển khai MFA bằng cách gửi mã xác minh đến số điện thoại di động của người dùng đã đăng ký với ngân hàng.
Tuy nhiên, cơ chế xác minh này dễ xảy ra cơ chế tấn công được gọi là tấn công hoán đổi SIM, trong đó những kẻ tấn công chiếm quyền kiểm soát số điện thoại di động của mục tiêu bằng cách lừa nhà cung cấp dịch vụ của chủ sở hữu gán lại số cho thẻ SIM của kẻ tấn công.
Trong khi thừa nhận một cuộc tấn công nhắm vào một số khách hàng của mình, T-Mobile nói rằng các cuộc tấn công hoán đổi SIM đã trở nên phổ biến và xảy ra trên toàn ngành.
Thay vào đó, một tùy chọn tốt hơn để bật MFA là sử dụng các ứng dụng như Duo Security, Google Authenticator, Authy, Microsoft Authenticator và các ứng dụng MFA chuyên dụng khác.
Mật khẩu Sprawl
Tuy nhiên, tất cả các chuyên gia an ninh mạng mà chúng tôi đã nói chuyện đều cảnh báo rằng việc sử dụng MFA không nên là cái cớ cho việc không thực hiện các bước đầy đủ để bảo mật mật khẩu.
"Hãy là một phần trăm không biết mật khẩu ngân hàng của họ là gì vì nó quá dài và phức tạp", Bradley khuyên.
Anh ấy nói thêm rằng người dùng nên cân nhắc đầu tư vào một trình quản lý mật khẩu khi nói đến mật khẩu. Mặc dù không thiếu trình quản lý mật khẩu miễn phí và cũng có một trình quản lý mật khẩu được tích hợp sẵn trong trình duyệt web của bạn, nhưng các chuyên gia khuyên rằng trình quản lý mật khẩu miễn phí tốt hơn là không có, nhưng người dùng nên thận trọng khi sử dụng.
Hãy là một phần trăm không biết mật khẩu ngân hàng của họ là gì vì nó quá dài và phức tạp.
Trong khi điều tra một vụ vi phạm mạng nội bộ của một công ty gần đây, các nhà nghiên cứu an ninh mạng từ AhnLab đã phát hiện ra rằng tài khoản VPN được sử dụng để đột nhập vào mạng công ty đã bị rò rỉ từ PC của một nhân viên làm việc từ xa.
PC này đã bị nhiễm nhiều phần mềm độc hại khác nhau, bao gồm một phần mềm được thiết kế đặc biệt để trích xuất mật khẩu từ trình quản lý mật khẩu được tích hợp trong các trình duyệt web dựa trên Chromium như Google Chrome và Microsoft Edge.
"Mặc dù tính năng lưu trữ thông tin đăng nhập tài khoản của các trình duyệt rất tiện lợi, vì có nguy cơ rò rỉ thông tin đăng nhập tài khoản khi bị nhiễm phần mềm độc hại, người dùng nên hạn chế sử dụng nó", các nhà nghiên cứu AhnLab cảnh báo.
