Trong thế giới kỹ thuật số ngày nay, bảo mật bằng mật khẩu quan trọng hơn bao giờ hết. Trong khi sinh trắc học, mật khẩu dùng một lần (OTP) và các hình thức xác thực mới nổi khác thường được coi là thay thế cho mật khẩu truyền thống, thì ngày nay, khái niệm này mang tính quảng cáo tiếp thị nhiều hơn bất cứ thứ gì khác.
Nhưng chỉ vì mật khẩu sớm không đi đến bất cứ đâu không có nghĩa là các tổ chức không cần phải hiện đại hóa cách tiếp cận vệ sinh mật khẩu của họ ngay bây giờ.
Khủng hoảng thông tin xác thực được thỏa hiệp
Như nhóm bảo mật của Microsoft đã nói , “Tất cả những gì cần có là một thông tin xác thực bị xâm phạm … để gây ra vi phạm dữ liệu.” Cùng với vấn đề sử dụng lại mật khẩu tràn lan, mật khẩu bị xâm nhập có thể có tác động đáng kể và lâu dài đến bảo mật doanh nghiệp.
Trên thực tế, các nhà nghiên cứu từ Đại học Công nghệ Virginia phát hiện ra rằng hơn 70% người dùng sử dụng mật khẩu bị xâm nhập cho các tài khoản khác trong vòng một năm sau khi mật khẩu bị rò rỉ ban đầu, với 40% sử dụng lại mật khẩu đã bị rò rỉ hơn ba năm trước.
Mặc dù thách thức về thông tin xác thực bị xâm phạm không phải là điều mới mẻ đối với hầu hết các nhà lãnh đạo CNTT, nhưng họ có thể ngạc nhiên khi biết rằng những nỗ lực của họ để giải quyết vấn đề thường tạo ra nhiều lỗ hổng bảo mật hơn.
Sau đây chỉ là một số ví dụ về các cách tiếp cận truyền thống có thể làm suy yếu tính bảo mật của mật khẩu:
Độ phức tạp của mật khẩu bắt buộc
Đặt lại mật khẩu định kỳ
Hạn chế về độ dài mật khẩu và cách sử dụng ký tự
Yêu cầu về ký tự đặc biệt
Phương pháp tiếp cận hiện đại để bảo mật mật khẩu
Do các lỗ hổng liên quan đến các phương pháp tiếp cận kế thừa này, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã sửa đổi các khuyến nghị của mình để khuyến khích các phương pháp hay nhất về bảo mật mật khẩu hiện đại hơn. Gốc rễ của các khuyến nghị gần đây nhất của NIST là nhận thức rằng yếu tố con người thường dẫn đến lỗ hổng bảo mật khi người dùng buộc phải tạo mật khẩu phù hợp với các yêu cầu phức tạp cụ thể hoặc buộc phải đặt lại mật khẩu định kỳ.
Ví dụ: khi được yêu cầu sử dụng các ký tự và số đặc biệt, người dùng có thể chọn một cái gì đó cơ bản như “P @ ssword1;” thông tin xác thực rõ ràng là phổ biến và dễ bị tin tặc khai thác. Một cách tiếp cận cũ khác có thể có ảnh hưởng xấu đến bảo mật là các chính sách cấm sử dụng khoảng trắng hoặc các ký tự đặc biệt khác nhau trong mật khẩu. Rốt cuộc, nếu bạn muốn người dùng của mình tạo một mật khẩu mạnh, duy nhất mà họ có thể dễ dàng ghi nhớ, tại sao bạn lại đặt ra những giới hạn đối với những gì có thể xảy ra?
Ngoài ra, NIST hiện đang khuyến cáo không nên đặt lại mật khẩu định kỳ và đề xuất rằng các công ty chỉ yêu cầu thay đổi mật khẩu nếu có bằng chứng về sự xâm phạm.
Vai trò của các giải pháp sàng lọc tín nhiệm
Vì vậy, làm thế nào các công ty có thể giám sát các dấu hiệu thỏa hiệp? Bằng cách áp dụng một đề xuất khác của NIST; cụ thể là các tổ chức sàng lọc mật khẩu chống lại danh sách đen có chứa thông tin đăng nhập thường được sử dụng và bị xâm phạm trên cơ sở liên tục.
Điều này nghe có vẻ đơn giản, nhưng điều quan trọng là phải chọn giải pháp sàng lọc thông tin xác thực bị xâm phạm phù hợp cho bối cảnh mối đe dọa ngày càng cao hiện nay.
Không thay thế cho mật khẩu động
Có rất nhiều danh sách đen tĩnh có sẵn trực tuyến và một số công ty thậm chí còn quản lý của riêng họ. Nhưng với nhiều lần vi phạm dữ liệu xảy ra trên cơ sở thời gian thực, thông tin đăng nhập mới bị xâm phạm liên tục được đăng trên Dark Web và có sẵn để tin tặc tận dụng trong các cuộc tấn công đang diễn ra của chúng. Các danh sách đen hiện có hoặc những danh sách chỉ được cập nhật định kỳ trong năm đơn giản là không phù hợp với môi trường đặt cược cao này.
Giải pháp động của Enzoic sàng lọc thông tin xác thực dựa trên cơ sở dữ liệu độc quyền chứa hàng tỷ mật khẩu bị lộ trong các vụ vi phạm dữ liệu và được tìm thấy trong từ điển bẻ khóa. Vì cơ sở dữ liệu được cập nhật tự động nhiều lần mỗi ngày, các công ty có thể yên tâm rằng bảo mật mật khẩu của họ đang phát triển để giải quyết thông tin tình báo vi phạm mới nhất mà không cần phải làm việc thêm từ góc độ CNTT.
Kiểm tra thông tin xác thực cả khi chúng được tạo và liên tục theo dõi tính toàn vẹn của chúng sau đó cũng là một thành phần quan trọng của phương pháp hiện đại để bảo mật mật khẩu. Nếu mật khẩu an toàn trước đây bị xâm phạm, các tổ chức có thể tự động hóa hành động thích hợp — ví dụ: buộc đặt lại mật khẩu ở lần đăng nhập tiếp theo hoặc đóng toàn bộ quyền truy cập cho đến khi CNTT điều tra được sự cố.
Con đường phía trước
Mặc dù các hướng dẫn của NIST thường cung cấp các khuyến nghị về phương pháp hay nhất trong ngành bảo mật, nhưng cuối cùng các nhà lãnh đạo bảo mật sẽ quyết định điều gì phù hợp nhất với nhu cầu riêng của họ và điều chỉnh chiến lược của họ cho phù hợp
Tùy thuộc vào ngành, quy mô công ty và các yếu tố khác, có lẽ một số đề xuất không phù hợp với doanh nghiệp của bạn.
Nhưng với hàng loạt các cuộc tấn công mạng hàng ngày không có dấu hiệu giảm bớt và thường xuyên bị liên kết trở lại với các lỗ hổng mật khẩu, không dễ để tưởng tượng một tổ chức sẽ không được hưởng lợi từ lớp bảo mật bổ sung được cung cấp bởi sàng lọc thông tin đăng nhập.