Cũng trong thập niên 1960, công nghệ bảo mật bằng mật khẩu dần được hoàn thiện thành dạng password được sử dụng phổ biến nhất cho đến ngày nay: alpha – numeric password, tức mật khẩu dướ
Trang 1Các dạng mật khẩu cần biết
Tầm quan trọng của password (mật khẩu) đối với người dùng internet là điều tất yếu Tuy nhiên, bạn cần phải hiểu rõ về các dạng password để vận dụng chúng tốt hơn nhằm bảo vệ tài khoản và dữ liệu của mình
Các chương trình đánh cắp password ngày càng tinh
vi, công nghệ xử lý và bảo mật password cũng vì thế
mà liên tục được cải tiến Nhân dịp BitDefender vừa giới thiệu công nghệ password mới bằng bản đồ 3D,
Quản trị mạng cùng điểm qua một số giải pháp
password trực tuyến đang được áp dụng hiện nay
Trang 2Mật khẩu là lá chắn an toàn cho dữ liệu của bạn trước
những cặp mắt tò mò - (Ảnh: minh họa: Internet)
Mật khẩu truyền thống
Công nghệ bảo mật bằng mật khẩu (password) đã được áp dụng từ những ngày đầu tiên khi máy tính xuất hiện Năm 1961, viện công nghệ MIT cho ra mắt một trong những hệ thống chia sẻ đầu tiên trên thế
giới – CTSS – cùng với hệ thống mật khẩu sơ khai bao gồm lệnh LOGIN, yêu cầu người dùng nhập vào
Trang 3mật khẩu Sau khi nhập lệnh PASSWORD, người
dùng sẽ phải nhập tiếp mật khẩu của mình để được hệ thống xác nhận
Cũng trong thập niên 1960, công nghệ bảo mật bằng mật khẩu dần được hoàn thiện thành dạng password
được sử dụng phổ biến nhất cho đến ngày nay: alpha – numeric password, tức mật khẩu dưới dạng một
chuỗi các chữ cái và chữ số Bất kỳ chuỗi ký tự nào cũng có thể trở thành mật khẩu, nhưng người dùng được khuyến cáo nên đặt mật khẩu của mình phức tạp đủ để không bị người khác đoán ra Mật khẩu
càng phức tạp, khó đoán thì độ bảo mật càng cao
Tuy nhiên, độ phức tạp của mật khẩu cũng tỉ lệ
nghịch với việc người dùng có thể nhớ chúng một cách dễ dàng
Ngoài việc khó có thể tự đặt ra một mật khẩu đủ khó
để không bị người khác đoán ra nhưng cũng phải đủ
Trang 4dễ để chính bản thân người dùng có thể ghi nhớ,
alpha – numberic password còn phải đối mặt với các cuộc tấn công chiếm password và các chương trình đánh cắp mật khẩu
Dạng tấn công phổ biến nhất là tấn công tra cứu từ
điển (dictionary attack) Phương thức này hiểu đơn
giản là kiểu đoán mật khẩu với các cụm từ có nghĩa thường được nhiều người chọn dùng làm mật khẩu (thay vì các chuỗi ký tự ngẫu nhiên như được khuyến cáo), kẻ tấn công sẽ dùng chương trình tự động thử tất cả các từ có nghĩa trong từ điển để bẻ khóa
password
Ngoài ra còn có hàng trăm chương trình keylogger
được sử dụng để ghi nhận quá trình nhập password của nạn nhân rồi tự động gửi thông tin về cho kẻ có ý muốn đánh cắp password đó Hoặc kiểu tra cứu từng
ký tự trong mật khẩu (brute-force attack), chương
Trang 5trình sẽ tự động dò tìm từng ký tự trong chuỗi mật khẩu Tuy dạng brute-force attack có tỉ lệ phá mật khẩu cao nhưng nếu người dùng sử dụng các loại mật khẩu bao gồm nhiều ký tự chữ và số xen lẫn ký tự đặc biệt thì có thể phải mất nhiều năm mới có thể tìm
ra chuỗi mật khẩu hoàn thiện (Ví dụ:
n$W0k1J^57$h@k3R mật khẩu được cho là có tính
bảo mật cao nhưng lại khó nhớ)
Trước sự đe dọa của các chương trình đánh cắp mật khẩu, việc phát minh ra nhiều dạng password mới thay thế cho kiểu truyền thống là hết sức cần thiết, và mật khẩu hình ảnh cùng với mật khẩu một lần là 2 trong số những số ấy
Mật khẩu dạng hình ảnh (Graphical password)
Về cơ bản, con người có xu hướng ghi nhớ các thông tin dưới dạng hình ảnh dễ dàng hơn thông tin dưới
Trang 6các dạng khác Chúng ta có thể gặp khó khăn khi
phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ gương mặt của những người ta đã gặp, những nơi ta
đã đến và những thứ ta đã thấy Dựa vào đặc điểm
này, người ta đã tạo ra mật khẩu hình ảnh (graphical password)
Để đăng nhập vào một website hay hệ thống được
bảo mật bằng graphical password, thay vì phải nhập một chuỗi ký tự như ở alpha – numberic password,
người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên bức ảnh mà hệ thống đưa ra 4 điểm này chính là mật khẩu mà họ đã xác định và ghi nhớ trong quá trình tạo mật khẩu Dĩ nhiên người dùng cũng có thể chọn
số lượng điểm bí mật nhiều hơn 4 để tăng độ bảo
mật
Trang 7Click vào bốn điểm chấm đỏ là cách thức nhập
password qua hình ảnh
Ở một hình thức khác, người dùng sẽ chọn và ghi nhớ
4 hoặc nhiều hơn các biểu tượng trong quá trình tạo password và chọn lại chúng trong hàng loạt biểu
tượng được sắp xếp ngẫu nhiên và thay đổi trong quá trình đăng nhập
Trang 8Chọn password theo hình ảnh
Trường Đại học Malaya (Malaysia) còn cung cấp một thuật toán khác: khi đăng ký tài khoản, người dùng sẽ tạo password bằng cách chọn các biểu tượng do máy chủ cung cấp Khi đăng nhập, những biểu tượng này
sẽ được thu nhỏ và xoay theo các chiều khác nhau, người dùng lúc này sẽ phải nhận ra biểu tượng mà
Trang 9mình đã chọn, sau đó nhập vào ô password những ký
tự hiện bên dưới biểu tượng đó Giải pháp này khá mất thời gian nên vẫn còn đang trong giai đoạn thăm
dò ý kiến người dùng
Điểm mạnh của graphical password là dễ nhớ mà
mức độ bảo mật lại cao vì hacker không thể sự dụng cách tấn công từ điển để đánh cắp mật khẩu và các
chương trình keylogger cũng trở nên vô dụng vì các
biểu tượng được xáo trộn ngẫu nhiên mỗi lần đăng nhập Tuy nhiên bạn cũng có thể bị lộ password nếu người khác quan sát và ghi nhớ các biểu tượng cũng như điểm ảnh bạn chọn mỗi lần đăng nhập
Trang 10Mật khẩu dùng một lần duy nhất (One time
password)
Nguyên lý hoạt động của mật khẩu một lần (One time password - OTP) như sau: sau khi đã đăng ký
dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ
được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị tạo mật khẩu cầm tay
(token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn hay điện thoại di động mà không cần
đến kết nối internet
Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng
đăng xuất (log out) ra khỏi hệ thống Như vậy, nếu
bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được, và do đó giải pháp OTP
có tính bảo mật rất cao
Trang 11Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào hệ thống được bảo mật bằng OTP Công nghệ OTP được dùng nhiều trong chứng thực trực tuyến (thương mại trực tuyến) Hiện nay người dùng các thiết bị cầm tay như iPhone,
Blackberry cũng có thể tự cài đặt cơ chế bảo mật
OTP bằng các chương trình như VeriSign, RSA SecureID hay SafeNet MobilePASS
Trang 12Ngày càng có nhiều giải pháp mới giúp tăng cường tính bảo mật của password Nhưng dù với bất cứ giải pháp nào thì người dùng cũng nên tự bảo vệ mình bằng cách lựa chọn và ghi nhớ mật khẩu của mình thật hiệu quả, cũng như tăng cường các biện pháp phòng vệ trước sự đe dọa của hacker và các chương trình keylogger