Trong thế giới kỹ thuật số ngày nay, bảo mật bằng mật khẩu quan trọng hơn bao giờ hết. Trong khi sinh trắc học, mật khẩu dùng một lần (OTP) và các hình thức xác thực mới nổi khác thường được quảng cáo là thay thế cho mật khẩu truyền thống, ngày nay, khái niệm này mang tính quảng cáo cao hơn bất cứ thứ gì khác.
Nhưng chỉ vì mật khẩu sẽ sớm không đi bất cứ đâu không có nghĩa là các tổ chức không cần phải hiện đại hóa phương pháp tiếp cận vệ sinh mật khẩu của họ ngay bây giờ.
Khủng hoảng thông tin xác thực được thỏa hiệp
Như của Microsoft đội an ninh đặt nó, “Tất cả những gì cần là một thông tin đăng nhập bị xâm phạm … để gây ra vi phạm dữ liệu.” Cùng với vấn đề sử dụng lại mật khẩu tràn lan, mật khẩu bị xâm phạm có thể có tác động đáng kể và lâu dài đến bảo mật doanh nghiệp.
Trên thực tế, các nhà nghiên cứu từ Đại học Công nghệ Virginia phát hiện ra rằng hơn 70% người dùng sử dụng mật khẩu bị xâm nhập cho các tài khoản khác trong vòng một năm sau khi mật khẩu bị rò rỉ ban đầu, với 40% sử dụng lại mật khẩu đã bị rò rỉ hơn ba năm trước.
Mặc dù thách thức về thông tin xác thực bị xâm phạm không phải là điều mới mẻ đối với hầu hết các nhà lãnh đạo CNTT, nhưng họ có thể ngạc nhiên khi biết rằng những nỗ lực của họ để giải quyết vấn đề thường tạo ra nhiều lỗ hổng bảo mật hơn.
Sau đây chỉ là một số ví dụ về các cách tiếp cận truyền thống có thể làm suy yếu tính bảo mật của mật khẩu:
- Độ phức tạp của mật khẩu bắt buộc
- Đặt lại mật khẩu định kỳ
- Hạn chế về độ dài mật khẩu và cách sử dụng ký tự
- Yêu cầu về ký tự đặc biệt
Phương pháp tiếp cận hiện đại để bảo mật mật khẩu
Do các lỗ hổng liên quan đến các phương pháp tiếp cận kế thừa này, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã sửa đổi khuyến nghị của nó để khuyến khích các phương pháp hay nhất về bảo mật mật khẩu hiện đại hơn. Gốc rễ của các khuyến nghị gần đây nhất của NIST là nhận thức rằng yếu tố con người thường dẫn đến lỗ hổng bảo mật khi người dùng buộc phải tạo mật khẩu phù hợp với các yêu cầu phức tạp cụ thể hoặc buộc phải đặt lại mật khẩu định kỳ.
Ví dụ: khi được yêu cầu sử dụng các ký tự và số đặc biệt, người dùng có thể chọn một cái gì đó cơ bản như “P @ ssword1;” thông tin xác thực rõ ràng là phổ biến và dễ bị tin tặc khai thác. Một cách tiếp cận cũ khác có thể có ảnh hưởng xấu đến bảo mật là các chính sách cấm sử dụng khoảng trắng hoặc các ký tự đặc biệt khác nhau trong mật khẩu. Rốt cuộc, nếu bạn muốn người dùng của mình tạo một mật khẩu mạnh, duy nhất mà họ có thể dễ dàng ghi nhớ, tại sao bạn lại đặt ra những giới hạn đối với những gì có thể xảy ra?
Ngoài ra, NIST hiện đang khuyến cáo không nên đặt lại mật khẩu định kỳ và đề xuất rằng các công ty chỉ yêu cầu thay đổi mật khẩu nếu có bằng chứng về sự xâm phạm.
Vai trò của các giải pháp sàng lọc tín nhiệm
Vì vậy, làm thế nào các công ty có thể giám sát các dấu hiệu thỏa hiệp? Bằng cách áp dụng một đề xuất khác của NIST; cụ thể là các tổ chức sàng lọc mật khẩu chống lại danh sách đen có chứa thông tin đăng nhập thường được sử dụng và bị xâm phạm trên cơ sở liên tục.
Điều này nghe có vẻ đơn giản, nhưng điều quan trọng là phải chọn giải pháp sàng lọc thông tin xác thực bị xâm phạm phù hợp cho bối cảnh mối đe dọa ngày càng cao hiện nay.
Không thay thế cho động
Có rất nhiều danh sách đen tĩnh có sẵn trực tuyến và một số công ty thậm chí còn quản lý của riêng họ. Nhưng với nhiều lần vi phạm dữ liệu xảy ra trên cơ sở thời gian thực, thông tin đăng nhập mới bị xâm phạm liên tục được đăng trên Dark Web và có sẵn để tin tặc tận dụng trong các cuộc tấn công đang diễn ra của chúng. Danh sách đen hiện tại hoặc những danh sách chỉ được cập nhật định kỳ trong năm đơn giản là không phù hợp với môi trường đặt cược cao này.
Enzoic’s giải pháp năng động kiểm tra thông tin xác thực chống lại một cơ sở dữ liệu độc quyền chứa hàng tỷ mật khẩu bị lộ khi vi phạm dữ liệu và được tìm thấy trong từ điển bẻ khóa. Bởi vì cơ sở dữ liệu được cập nhật tự động nhiều lần mỗi ngày, các công ty yên tâm rằng bảo mật mật khẩu của họ đang phát triển để giải quyết thông tin về vi phạm mới nhất mà không cần phải làm việc thêm từ góc độ CNTT.
Kiểm tra thông tin xác thực cả khi chúng được tạo và liên tục theo dõi tính toàn vẹn của chúng sau đó cũng là một thành phần quan trọng của phương pháp tiếp cận hiện đại đối với bảo mật mật khẩu. Nếu mật khẩu an toàn trước đó bị xâm phạm, các tổ chức có thể tự động hóa hành động thích hợp — ví dụ: buộc đặt lại mật khẩu ở lần đăng nhập tiếp theo hoặc đóng toàn bộ quyền truy cập cho đến khi CNTT điều tra được sự cố.
Con đường phía trước
Mặc dù các nguyên tắc của NIST thường cung cấp các khuyến nghị về phương pháp hay nhất trong ngành bảo mật, nhưng cuối cùng, các nhà lãnh đạo bảo mật sẽ quyết định điều gì phù hợp nhất với nhu cầu riêng của họ và điều chỉnh chiến lược của họ cho phù hợp.
Tùy thuộc vào ngành, quy mô công ty và các yếu tố khác, có lẽ một số đề xuất không phù hợp với doanh nghiệp của bạn.
Nhưng với hàng loạt các cuộc tấn công mạng hàng ngày không có dấu hiệu giảm bớt và thường xuyên bị liên kết trở lại với các lỗ hổng mật khẩu, thật không dễ dàng để tưởng tượng một tổ chức sẽ không được hưởng lợi từ lớp bảo mật bổ sung được cung cấp bởi sàng lọc thông tin xác thực.
Tìm hiểu thêm về tính năng thông minh về mối đe dọa mật khẩu động của Enzoic và cách nó có thể giúp khởi động lại phương pháp bảo vệ mật khẩu của bạn đây.
