Vai trò của mật khẩu trong bảo mật thông tin đã lỗi thời?

Posted on by Bao Long
Vai trò của mật khẩu trong bảo mật thông tin đã lỗi thời?

Bài viết liên quan

Có thể nói mật khẩu là hòn đá tảng của hoạt động bảo mật thông tin doanh nghiệp. Tuy nhiên, người dùng thường rất ít khi làm theo các chỉ dẫn để tạo mật khẩu khó đoán. Bên  cạnh đó, cũng đã có không ít vụ tin tặc khai thác các lỗ hổng để đánh cắp dữ liệu mật khẩu từ các nhà cung cấp dịch vụ. Do đó, nhiều tổ chức và doanh nghiệp đang gấp rút tìm kiếm những công cụ xác thực mới thay cho mật khẩu. Hiệu quả thực sự của chúng vẫn còn cần được kiểm chứng, và mật khẩu do đó vẫn chưa thể hoàn toàn bị thay thế trong tương lai gần. Song ít nhất thì các biện pháp mới này cũng giúp tăng cường đáng kể năng lực bảo mật thông tin.

Các câu hỏi bảo mật có lẽ là công cụ được sử dụng kèm với mật khẩu phổ biến nhất. Chúng thường là về các thông tin cá nhân, tiểu sử, sở thích của người dùng. Và chính là vấn đề lớn nhất của các câu hỏi bảo mật, vì tin tặc có thể tìm kiếm các thông tin trên một cách không quá khó khăn.

Xác thực 2 lớp cũng đang ngày càng trở nên thông dụng hơn, đặc biệt là đối với các tổ chức tài chính. Bên cạnh việc nhập mật khẩu, người dùng còn cần một mã xác thực được tạo ngẫu nhiên và gửi đến token hoặc điện thoại di động của họ. Xác thực 2 lớp giờ đây là một tính năng bảo mật trong phần lớn hệ thống ngân hàng trực tuyến. Tuy nhiên không phải là không có rủi ro, như người dùng làm mất điện thoại.

Nhiều tổ chức do đó đang đầu tư cho bảo mật sinh trắc học, theo đó danh tính của người dùng được xác thực bằng các đặc điểm sinh trắc học như dấu vân tay, giọng nói, khuôn mặt. Những đặc điểm này là độc nhất cho mỗi cá nhân. Ngay cả những cặp song sinh cũng không có gương mặt hay giọng nói giống nhau hoàn toàn. Các hệ thống nhận diện sinh trắc học ngày càng tối tân và rẻ hơn, cho phép chúng được triển khai rộng rãi. Ví dụ như HSBC đang trong quá trình thử nghiệm thay thế mật khẩu hay số PIN bằng các ứng dụng sinh trắc học trên điện thoại dùng hệ điều hành iOS và Android.

Bảo mật sinh trắc học tuy thế không phải là không thể bị phá vỡ. Dấu vân tay giả làm từ gelatin đã được chứng minh là có thể qua mặt các máy quét vân tay. Công nghệ nhận diện khuôn mặt cũng có thể bị đánh lừa bằng cách tấm ảnh.

Một số chuyên gia vì vậy cho rằng sinh trắc học nên được dùng thay cho tên tài khoản thay vì mật khẩu. Ví dụ như người dùng sẽ quét vân tay trước và sau đó nhập mật khẩu. Nó cũng có thể được dùng trong quy trình xác thực 2 lớp.

Mật khẩu đã hết thời?

Google đang phát triển một công nghệ mới với mục đích thay thế hoàn toàn mật khẩu. Nó sẽ dùng một chỉ số gọi là điểm số tin tưởng (trust score) cho quá trình xác thực. Trust score được tính toán dựa trên tổng hợp các yếu tố như tốc độ gõ, nhận diện giọng nói, khuôn mặt, khoảng cách đến các thiết bị không dây quen thuộc. Nếu mức điểm này thấp hơn mức tối thiểu, người dùng sẽ được yêu cầu nhập mật khẩu.

Trong khi chờ đến lúc mật khẩu được thay thế hoàn toàn bằng một biện pháp bảo vệ dữ liệu triệt để hơn thì các doanh nghiệp cần tiếp tục thực thi các biện pháp bảo mật có sẵn, thiết lập chính sách nhóm chặt chẽ, và đảm bảo các nhân viên của mình dùng mật khẩu mạnh cho các hệ thống thiết yếu trong doanh nghiệp. Một mật khẩu mạnh nên có ít nhất 8 ký tự, và kết hợp giữa ký tự hoa, ký tự thường, chữ số, ký tự đặc biệt. Ngoài ra nên thay mật khẩu mỗi 8 tháng.

Post Views: 301