Các chính sách mật khẩu hiện đại bao gồm nhiều yếu tố khác nhau góp phần tạo nên hiệu quả của nó. Một trong những thành phần của chính sách mật khẩu hiệu quả hiện tại sử dụng những gì được gọi là từ điển tùy chỉnh lọc ra một số từ không được phép làm mật khẩu trong môi trường.
Sử dụng từ điển tùy chỉnh, các tổ chức có thể cải thiện đáng kể tình trạng an ninh mạng của họ và lọc ra các mật khẩu rõ ràng cung cấp bảo mật kém cho tài khoản người dùng.
Khi sử dụng từ điển mật khẩu trong chính sách mật khẩu của bạn, có nhiều cách tiếp cận khác nhau cần xem xét. Trước tiên, hãy xem xét việc tạo một từ điển tùy chỉnh cho chính sách mật khẩu của bạn, bao gồm hướng dẫn chung về cách chúng được tạo, cấu hình và cách bạn có thể dễ dàng sử dụng từ điển tùy chỉnh trong môi trường thư mục hoạt động.
Tại sao phải tùy chỉnh từ điển của bạn?
Từ điển tùy chỉnh được sinh ra từ nhu cầu “nghĩ như một hacker nghĩ.” Thông tin đăng nhập bị xâm phạm là một trong những nguyên nhân hàng đầu gây ra các vụ vi phạm dữ liệu độc hại trên diện rộng. Chúng cũng là một trong những chi phí đắt nhất đối với các tổ chức. Của IBM Chi phí của một Báo cáo vi phạm dữ liệu 2020, thông tin xác thực bị xâm phạm đã làm tăng tổng chi phí trung bình của một vụ vi phạm gần 1 triệu đô la lên 4,77 triệu đô la.
Tin tặc thường sử dụng các cuộc tấn công dựa trên thông tin xác thực để xâm phạm mật khẩu yếu, mật khẩu đã bị vi phạm trước đó, mật khẩu phổ biến được sử dụng trong một lĩnh vực kinh doanh cụ thể hoặc các biến đổi chính tả phổ biến.
Thật không may, tất cả chúng ta đều có xu hướng sử dụng mật khẩu mà chúng ta có thể dễ dàng nhớ được. Ngoài ra, người dùng cuối thường thêm các số hoặc mẫu ký hiệu chung vào đầu hoặc cuối mật khẩu để giải quyết các yêu cầu về độ phức tạp của mật khẩu.
Cả bản chất con người và các công cụ công nghệ có sẵn đều cho phép dễ dàng bẻ khóa hoặc đoán mật khẩu yếu, tiêu chuẩn hoặc mật khẩu mong đợi. Trong khi những kẻ tấn công có quyền truy cập vào cơ sở dữ liệu lớn về mật khẩu bị vi phạm và các mật khẩu phổ biến hoặc yếu, thì “những kẻ tốt” có thể triển khai tệp mật khẩu theo cách tốt – từ điển tùy chỉnh.
Từ điển mật khẩu tùy chỉnh hoạt động có lợi cho việc bảo mật mật khẩu trong môi trường của bạn.
Khi được triển khai, từ điển tùy chỉnh cung cấp một phương tiện để lọc mật khẩu đã chọn hoặc người dùng cuối theo cách không cho phép mật khẩu hoặc các biến thể của mật khẩu có trong từ điển tùy chỉnh.
Vì vậy, không phải tất cả mật khẩu đáp ứng các yêu cầu của Chính sách mật khẩu Active Directory đều an toàn? Không chính xác.
Mặc dù các yêu cầu về chính sách mật khẩu được xác định bởi Active Directory Password Policy là một điểm khởi đầu tốt, nhưng chúng vẫn để lại nhiều điều đáng mong đợi khi xem xét các công cụ bẻ khóa và mật khẩu khác mà tội phạm mạng đang sử dụng ngày nay.
Ví dụ: chính sách mật khẩu có thể yêu cầu người dùng cuối đáp ứng các yêu cầu sau:
- Tối thiểu 8 ký tự
- Mật khẩu phải đáp ứng các yêu cầu về độ phức tạp (Phải chứa chữ hoa, chữ thường, số và các ký tự không phải chữ cái như ký hiệu)
 |
| Chính sách mật khẩu được xác định trong Dịch vụ miền Active Directory |
Bằng cách sử dụng cài đặt Chính sách mật khẩu Active Directory gốc ở trên, người dùng có thể đặt các mật khẩu như:
- P @ $$ w0rd123
- MybusinessName123!
- Letmein1 $
Các mật khẩu trên đáp ứng tất cả các tiêu chí được xác định như một phần của yêu cầu về độ dài và độ phức tạp.
Tuy nhiên, họ yếu và dễ đoán do nhiều nguyên nhân khác nhau. Như các ví dụ trên cho thấy, đây có thể là các biến thể đã biết của các từ phổ biến như “Mật khẩu”, liên quan đến tên doanh nghiệp hoặc ngành cụ thể của bạn hoặc một cụm từ phổ biến có trong cơ sở dữ liệu mật khẩu bị bẻ khóa, chẳng hạn như “Letmein1 $.”
Từ điển mật khẩu tùy chỉnh có thể tải xuống
Bạn có thể không muốn “phát minh lại bánh xe” khi nói đến việc thu thập mật khẩu để sử dụng trong từ điển tùy chỉnh cho chính sách mật khẩu của mình. Có các từ điển mật khẩu sẵn có và các tệp mật khẩu có thể được tải xuống miễn phí làm cơ sở cho từ điển mật khẩu tùy chỉnh. Một ví dụ bao gồm Tôi đã được Pwned chưa danh sách mật khẩu: Tôi đã được Pwned: Mật khẩu Pwned.
Các công ty cũng có thể sử dụng các công cụ sẵn có như Crunch, có sẵn trong Kali Linux hoặc có thể cài đặt từ kho lưu trữ phân phối Linux của bạn. Trong Ubuntu, bạn có thể cài đặt Crunch bằng lệnh:
- sudo apt-get install crunch
Nó cho phép tạo một danh sách từ có thể được sử dụng để kiểm tra sức mạnh mật khẩu hoặc bạo lực của các nhóm SecOps trong tổ chức của bạn. Ngoài ra, những công cụ sẵn có này có thể cung cấp cơ sở để tạo danh sách mật khẩu tùy chỉnh của riêng bạn trong môi trường của bạn.
Sử dụng bộ lọc Mật khẩu .dlls
Tuy nhiên, có nhiều thứ liên quan hơn là chỉ tạo một tệp từ điển mật khẩu. Các tổ chức muốn triển khai bộ lọc .dll mật khẩu tùy chỉnh của riêng họ, cùng với các từ chứa tên doanh nghiệp hoặc từ khóa theo ngành cụ thể, phải có sẵn tài năng phát triển và tài nguyên để tạo tệp .dll cần thiết cho chức năng bộ lọc mật khẩu trong Active Directory.
Microsoft phác thảo quy trình đăng ký và cài đặt bộ lọc mật khẩu .dll tại đây: Cài đặt và đăng ký bộ lọc mật khẩu DLL – ứng dụng Win32 | Tài liệu Microsoft.
Các giải pháp từ điển tùy chỉnh trong các công cụ chính sách mật khẩu của bạn
Có cách nào dễ dàng để tạo từ điển tùy chỉnh cho chính sách mật khẩu của bạn không? Chính sách mật khẩu Specops giúp bạn thực hiện các từ điển tùy chỉnh cho các chính sách mật khẩu của mình một cách khó khăn hơn và cho phép phủ định hơn 2 tỷ mật khẩu bị vi phạm đã biết cùng với bất kỳ thuật ngữ tùy chỉnh nào như tên công ty hoặc vị trí của bạn được thêm vào công cụ chính sách mật khẩu.
Các công cụ chính sách mật khẩu chất lượng cao như thế này tích hợp với Chính sách mật khẩu Active Directory ban đầu của bạn được triển khai ở cấp Chính sách Nhóm.
Với các hộp kiểm đơn giản, giải pháp Specops cho phép quản trị viên CNTT triển khai dễ dàng và nhanh chóng nhiều từ điển mật khẩu như một phần của quy tắc mật khẩu được định cấu hình cho tổ chức của họ.
 |
| Cài đặt từ điển Specops Password Policy |
 |
| Định cấu hình cài đặt từ điển tùy chỉnh trong Chính sách mật khẩu Specops |
Định cấu hình Sử dụng từ điển tùy chỉnh cho phép nhập tệp mật khẩu, tệp băm hoặc tạo từ điển mới ngay từ giao diện.
Trong cấu hình từ điển đã tải xuống, quản trị viên có quyền truy cập vào các tệp từ điển mật khẩu sẵn có, có thể tải xuống trực tiếp từ giao diện Specops Password Policy.
 |
| Tải xuống tệp từ điển mật khẩu từ giao diện Chính sách mật khẩu Specops |
Specops Password Policy giúp việc định cấu hình, triển khai và duy trì các tệp từ điển tùy chỉnh cho chính sách mật khẩu của tổ chức bạn trở nên dễ dàng hơn — mà không yêu cầu kiến thức hoặc chuyên môn về lập trình.
Bắt đầu sử dụng từ điển tùy chỉnh trong chính sách mật khẩu của bạn
Các tổ chức ngày nay phải tăng cường bảo mật cho mật khẩu tài khoản để củng cố vị thế an ninh mạng tổng thể của họ. Sử dụng từ điển tùy chỉnh như một phần của chính sách mật khẩu của họ là một cách tuyệt vời để tạo ra một chiến lược tấn công các nỗ lực an ninh mạng của bạn.
Tuy nhiên, việc triển khai bộ lọc mật khẩu tùy chỉnh .dll trong môi trường yêu cầu phát triển tệp .dll bộ lọc mật khẩu tùy chỉnh theo yêu cầu của Active Directory. Sự phát triển này có thể giới thiệu các rào cản cho các doanh nghiệp triển khai từ điển tùy chỉnh như trình chặn chi phí, bảo trì và hiệu quả.
Specops Password Policy cho phép triển khai nhiều tệp từ điển tùy chỉnh chỉ với một vài cú nhấp chuột, loại bỏ sự phức tạp và các vấn đề bảo mật liên quan đến việc triển khai điều này một cách chính xác.
Học nhiều hơn về Specops Chính sách mật khẩu hoặc bắt đầu dùng thử miễn phí của bạn.
