Tại sao ngay cả mật khẩu phức tạp nhất của bạn cũng sẽ sớm bị bẻ khóa

Hơn 80% tất cả các vụ rò rỉ dữ liệu đều liên quan đến mật khẩu. Việc sử dụng các mật khẩu phức tạp và khác nhau cho mỗi tài khoản có thể tăng cường bảo mật. Tuy nhiên, các tài khoản khách hàng ngay cả khi có mật khẩu mạnh vẫn có thể bị hack.

Khi chúng ta nói về việc đăng nhập vào các tài khoản kỹ thuật số, cho dù là trong các ứng dụng hay trang web, sự kết hợp giữa tên người dùng và mật khẩu luôn hiện ra trong tâm trí. Mật khẩu bí mật đã được sử dụng từ hàng ngàn năm nay. Đó là một khái niệm đơn giản, một mảnh thông tin được chia sẻ, giữ bí mật giữa các cá nhân và được sử dụng để chứng minh danh tính.

Trong thời đại mà mọi người dành phần lớn cuộc sống của họ trên mạng, việc sử dụng khái niệm đơn giản này rất phổ biến. Các cuộc khảo sát đã phát hiện ra rằng số lượng tài khoản được bảo vệ bằng mật khẩu trên mỗi người dùng đã tăng theo cấp số nhân trong những năm gần đây, nhằm đáp ứng sự bùng nổ của các ứng dụng và dịch vụ trực tuyến mới. Một nghiên cứu, do NordPass ủy quyền, đã phát hiện ra rằng giữa năm 2019 và 2020, số lượng mật khẩu trên mỗi người dùng đã tăng 20%, từ mức trung bình 83 lên 100.

Số lượng ngày càng tăng của các tài khoản được bảo vệ bằng mật khẩu ban đầu không phải là một vấn đề. Tuy nhiên, cách người dùng thiết lập và quản lý mật khẩu thực sự là một vấn đề. Mật khẩu là tĩnh và do đó người dùng phải ghi nhớ nó hoặc lưu trữ, cho dù là trên giấy nhớ hay trong một trình quản lý mật khẩu. Vì một người bình thường chỉ có thể nhớ một tổ hợp gồm 7 chữ cái hoặc chữ số, việc ghi nhớ 100 mật khẩu riêng biệt có thể trở thành một nỗi đau lớn. Do đó, người dùng có xu hướng sử dụng các mật khẩu đơn giản như tên của các thành viên gia đình, ngày sinh hoặc đơn giản là 123456, vẫn là mật khẩu được sử dụng nhiều nhất trên internet. Nhưng tại sao mật khẩu lại là một vấn đề bảo mật ngay từ đầu?

Việc sử dụng lại mật khẩu là nguyên nhân số 1 gây ra các lỗ hổng bảo mật#

Để quản lý tất cả các tài khoản của mình, 52% người dùng sử dụng lại mật khẩu với những hậu quả nghiêm trọng. Điều này cho phép hacker giành quyền truy cập vào một số tài khoản bằng cách tấn công mắt xích yếu nhất (trang web có tiêu chuẩn bảo mật thấp nhất). Ví dụ, tài khoản Facebook của bạn được bảo mật bằng một mật khẩu phức tạp và các tiêu chuẩn bảo mật mạnh. Tuy nhiên, rất có thể thông tin xác thực của bạn đã dính líu đến một vụ rò rỉ dữ liệu trước đó, như vụ của MySpace năm 2008, nơi 359.420.698 thông tin xác thực đã bị đánh cắp. Và đây chỉ là một ví dụ. Theo Forbes, số lượng thông tin xác thực bị đánh cắp đã tăng 300% kể từ năm 2018. Ngày nay, mọi người có thể mua hơn 15 tỷ thông tin xác thực từ 100.000 vụ rò rỉ dữ liệu trên internet. Với những thông tin xác thực này, hacker thực hiện các yêu cầu đăng nhập quy mô lớn trên hàng trăm nền tảng để giành quyền truy cập vào các tài khoản của bạn (được gọi là các cuộc tấn công credential stuffing).

Ngay cả mật khẩu phức tạp cũng không an toàn#

Bất chấp rủi ro được nhiều người biết đến này, 70% thông tin xác thực bị rò rỉ vẫn đang được sử dụng. Nhìn chung, các cuộc tấn công credential stuffing có thể tránh được bằng cách sử dụng các mật khẩu phức tạp, khác biệt cho mỗi tài khoản trên từng nền tảng kết hợp với các trình quản lý mật khẩu. Tuy nhiên, ngay cả các mật khẩu phức tạp cũng có thể dễ dàng bị bẻ khóa trong vòng vài giây. Năm ngoái, một kỷ lục đã được thiết lập đối với một máy tính cố gắng tạo ra mọi mật khẩu có thể hình dung được. Nó đạt tốc độ nhanh hơn 100.000.000.000 lần đoán mỗi giây. Việc sử dụng các tập lệnh như vậy để thử các kết hợp tên người dùng/mật khẩu ngẫu nhiên được gọi là các phương pháp brute force.

Nhưng ngay cả khi mật khẩu của bạn không bị bẻ khóa bởi brute force, nó vẫn không hoàn toàn an toàn. Là một khách hàng, bạn phải tin tưởng vào các tiêu chuẩn bảo mật của những nền tảng bạn đang đăng nhập. Trong trường hợp bảo vệ yếu, bất kỳ mật khẩu nào, cho dù phức tạp đến đâu, cũng có thể bị đánh cắp.

Hacker rất sáng tạo và không ngừng cải tiến phương pháp của chúng#

Đáng tiếc thay, credential stuffing và brute force không phải là những phương pháp duy nhất để giành quyền truy cập trái phép vào các tài khoản khách hàng. Một kỹ thuật phổ biến khác là phishing, trong đó một giao diện người dùng giả mạo của trang web gốc được sử dụng để đánh lừa người dùng nhập thông tin xác thực của họ. Các phương pháp khác là các cuộc tấn công man-in-the-middle, nơi các luồng giao tiếp như mạng WiFi công cộng bị chặn lại hoặc keylogging, nơi phần mềm độc hại được cài đặt trên máy tính để chụp lại thông tin xác thực.

Chừng nào còn mật khẩu, tài khoản khách hàng vẫn sẽ bị hack#

Những vấn đề được nêu ra ở trên là lý do tại sao hơn 80% tất cả các vụ rò rỉ dữ liệu và tấn công hack đều do mật khẩu và nhấn mạnh rằng chúng ta cần một phương pháp tiếp cận tốt hơn là chỉ có tên người dùng và mật khẩu để xử lý xác thực. Các sự phát triển như Xác thực 2 yếu tố (2FA) đang đi đúng hướng xét về mặt bảo mật, nhưng việc áp dụng của người dùng vẫn khá thấp. Vậy tại sao không loại bỏ hoàn toàn mật khẩu và chuyển sang passwordless? Nghe có vẻ thú vị? Hãy khám phá các giải pháp passwordless của Corbado và có cái nhìn đầu tiên về tương lai của việc xác thực!

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Câu hỏi thường gặp#

Tại sao việc sử dụng một mật khẩu phức tạp, duy nhất lại không đủ để giữ an toàn cho tài khoản của tôi?#

Ngay cả một mật khẩu phức tạp cũng có thể bị xâm phạm nếu nền tảng lưu trữ nó có tiêu chuẩn bảo mật yếu, vì bất kỳ mật khẩu nào cũng có thể bị đánh cắp từ một máy chủ có lỗ hổng bất kể độ mạnh của nó. Các kỹ thuật như phishing, keylogging và tấn công man-in-the-middle có thể chụp lại thông tin xác thực trước cả khi quá trình mã hóa được áp dụng, khiến bản thân mật khẩu trở thành mắt xích yếu nhất dù nó có phức tạp đến đâu.

Credential stuffing là gì và tại sao quy mô của thông tin xác thực bị đánh cắp lại khiến nó trở nên nguy hiểm đến vậy?#

Credential stuffing liên quan đến việc lấy các cặp tên người dùng và mật khẩu bị đánh cắp từ một vụ rò rỉ và tự động kiểm tra chúng trên hàng trăm nền tảng khác. Với hơn 15 tỷ thông tin xác thực từ 100.000 vụ rò rỉ dữ liệu có thể mua được trên mạng, những kẻ tấn công có các tập dữ liệu khổng lồ để làm việc và chỉ riêng vụ rò rỉ MySpace năm 2008 đã phơi bày hơn 359 triệu thông tin xác thực vẫn có thể bị khai thác ở bất cứ đâu nạn nhân sử dụng lại các mật khẩu đó.

Tại sao vẫn có quá nhiều người dùng dựa vào các mật khẩu yếu hoặc sử dụng lại dù đã biết về các rủi ro?#

Một người bình thường chỉ có thể nhớ một cách đáng tin cậy một tổ hợp khoảng 7 chữ cái hoặc chữ số, khiến việc ghi nhớ 100 mật khẩu phức tạp duy nhất là gần như không thể. Giới hạn nhận thức này dẫn đến việc 52% người dùng sử dụng lại mật khẩu trên nhiều tài khoản, điều này từ đó cho phép hacker truy cập vào nhiều dịch vụ bằng cách nhắm mục tiêu vào nền tảng kém bảo mật nhất mà người dùng đã đăng ký.

Liệu các giải pháp như xác thực hai yếu tố có đủ để thay thế hoàn toàn mật khẩu không?#

Xác thực hai yếu tố là một bước đi đúng hướng cho bảo mật nhưng bài viết lưu ý rằng tỷ lệ áp dụng của người dùng vẫn còn khá thấp, làm hạn chế tác động thực tế của nó. Hướng đi hứa hẹn hơn là loại bỏ hoàn toàn mật khẩu thông qua xác thực không mật khẩu (passwordless), điều này loại bỏ bí mật chia sẻ tĩnh - nền tảng gốc rễ của các cuộc tấn công phishing, brute force và credential stuffing.