Vì vậy, bạn nghĩ rằng mật khẩu Internet của bạn là an toàn?
Paul Haskell-Hạ Long, tác giả cung cấp

Mật khẩu đã được sử dụng trong hàng nghìn năm như một phương tiện nhận dạng bản thân với người khác và trong thời gian gần đây, với máy tính. Đó là một khái niệm đơn giản - một phần thông tin được chia sẻ, được giữ bí mật giữa các cá nhân và được sử dụng để "chứng minh" danh tính.

Mật khẩu trong ngữ cảnh CNTT nổi lên vào những năm 1960 với máy tính lớn máy tính - máy tính lớn vận hành tập trung với các “thiết bị đầu cuối” từ xa để người dùng truy cập. Chúng hiện được sử dụng cho mọi thứ, từ mã PIN chúng ta nhập tại máy ATM, đến đăng nhập vào máy tính của chúng ta và các trang web khác nhau.

Nhưng tại sao chúng ta cần “chứng minh” danh tính của mình với các hệ thống mà chúng ta truy cập? Và tại sao mật khẩu rất khó lấy đúng?

Điều gì tạo nên một mật khẩu tốt?

Cho đến tương đối gần đây, một mật khẩu tốt có thể là một từ hoặc cụm từ có ít nhất sáu đến tám ký tự. Nhưng bây giờ chúng tôi có hướng dẫn về độ dài tối thiểu. Điều này là do "entropy".

Khi nói về mật khẩu, entropy là thước đo khả năng dự đoán. Các phép toán đằng sau điều này không phức tạp, nhưng hãy kiểm tra nó bằng một phép đo thậm chí còn đơn giản hơn: số lượng mật khẩu có thể có, đôi khi được gọi là “không gian mật khẩu”.

đồ họa đăng ký nội tâm

Nếu mật khẩu một ký tự chỉ chứa một chữ cái viết thường thì chỉ có 26 mật khẩu có thể sử dụng (“a” đến “z”). Bằng cách bao gồm các chữ cái viết hoa, chúng tôi tăng không gian mật khẩu của mình lên 52 mật khẩu tiềm năng.

Không gian mật khẩu tiếp tục mở rộng khi độ dài được tăng lên và các loại ký tự khác được thêm vào.

Tạo một mật khẩu dài hơn hoặc phức tạp hơn sẽ làm tăng đáng kể 'không gian mật khẩu'. Nhiều không gian mật khẩu hơn có nghĩa là một mật khẩu an toàn hơn.

Tạo một mật khẩu dài hơn hoặc phức tạp hơn sẽ làm tăng đáng kể 'không gian mật khẩu'. (vì vậy bạn nghĩ rằng mật khẩu internet của bạn an toàn)

Nhìn vào các số liệu trên, thật dễ hiểu tại sao chúng tôi khuyến khích sử dụng mật khẩu dài với các chữ cái, số và ký hiệu viết hoa và viết thường. Mật khẩu càng phức tạp thì càng cần nhiều nỗ lực để đoán nó.

Tuy nhiên, vấn đề với việc tùy thuộc vào độ phức tạp của mật khẩu là máy tính có hiệu quả cao trong việc lặp lại các tác vụ - bao gồm cả việc đoán mật khẩu.

Năm ngoái, một kỷ lục đã được thiết lập cho một máy tính đang cố gắng tạo mọi mật khẩu có thể hiểu được. Nó đạt được tốc độ nhanh hơn 100,000,000,000 lượt đoán mỗi giây.

Bằng cách tận dụng sức mạnh tính toán này, bọn tội phạm mạng có thể xâm nhập vào hệ thống bằng cách bắn phá chúng bằng nhiều tổ hợp mật khẩu nhất có thể, trong một quá trình được gọi là tấn công vũ phu.

Và với công nghệ dựa trên đám mây, việc đoán mật khẩu gồm 12 ký tự có thể đạt được trong vòng 25 phút và tốn ít nhất là XNUMX đô la Mỹ.

Ngoài ra, vì mật khẩu hầu như luôn được sử dụng để cấp quyền truy cập vào dữ liệu nhạy cảm hoặc các hệ thống quan trọng, điều này thúc đẩy tội phạm mạng tích cực tìm kiếm chúng. Nó cũng thúc đẩy một thị trường trực tuyến sinh lợi bán mật khẩu, một số mật khẩu đi kèm với địa chỉ email và / hoặc tên người dùng.

Bạn có thể mua gần 600 triệu mật khẩu trực tuyến chỉ với 14 đô la Úc!

Mật khẩu được lưu trữ trên các trang web như thế nào?

Mật khẩu trang web thường được lưu trữ theo cách được bảo vệ bằng cách sử dụng một thuật toán toán học được gọi là băm. Mật khẩu băm không thể nhận dạng được và không thể quay lại mật khẩu đó (một quá trình không thể đảo ngược).

Khi bạn cố gắng đăng nhập, mật khẩu bạn nhập được băm bằng quy trình tương tự và được so sánh với phiên bản được lưu trữ trên trang web. Quá trình này được lặp lại mỗi khi bạn đăng nhập.

Ví dụ: mật khẩu “Pa $$ w0rd” được cung cấp giá trị “02726d40f378e716981c4321d60ba3a325ed6a4c” khi được tính bằng thuật toán băm SHA1. Thử nó mình.

Khi đối mặt với một tệp chứa đầy mật khẩu được băm, có thể sử dụng một cuộc tấn công bạo lực, thử mọi tổ hợp ký tự cho một phạm vi độ dài mật khẩu. Điều này đã trở thành một thực tế phổ biến đến nỗi có những trang web liệt kê các mật khẩu phổ biến cùng với giá trị băm (được tính toán) của chúng. Bạn chỉ cần tìm kiếm mã băm để tiết lộ mật khẩu tương ứng.

Việc đánh cắp và bán danh sách mật khẩu hiện nay quá phổ biến, trang web chuyên dụng - hasibeenpwned.com - có sẵn để giúp người dùng kiểm tra xem tài khoản của họ có ở trạng thái "hoang dã" hay không. Điều này đã phát triển bao gồm hơn 10 tỷ chi tiết tài khoản.

Nếu địa chỉ email của bạn được liệt kê trên trang web này, bạn chắc chắn nên thay đổi mật khẩu đã phát hiện, cũng như trên bất kỳ trang web nào khác mà bạn sử dụng cùng thông tin đăng nhập.

Có phải phức tạp hơn là giải pháp?

Bạn sẽ nghĩ rằng với rất nhiều vi phạm mật khẩu xảy ra hàng ngày, chúng tôi sẽ cải thiện các phương pháp lựa chọn mật khẩu của mình. Thật không may, năm ngoái thường niên Khảo sát mật khẩu SplashData đã cho thấy ít thay đổi trong năm năm.

Cuộc khảo sát mật khẩu SplashData hàng năm năm 2019 đã tiết lộ những mật khẩu phổ biến nhất từ ​​năm 2015 đến năm 2019.Cuộc khảo sát mật khẩu SplashData hàng năm năm 2019 đã tiết lộ những mật khẩu phổ biến nhất từ ​​năm 2015 đến năm 2019.

Khi khả năng tính toán tăng lên, giải pháp sẽ có vẻ phức tạp hơn. Nhưng là con người, chúng ta không có kỹ năng (cũng như không có động cơ) để ghi nhớ các mật khẩu có độ phức tạp cao.

Chúng tôi cũng đã vượt qua điểm mà chúng tôi chỉ sử dụng hai hoặc ba hệ thống cần mật khẩu. Hiện nay, việc truy cập vào nhiều trang web rất phổ biến, với mỗi trang yêu cầu mật khẩu (thường có độ dài và độ phức tạp khác nhau). Một cuộc khảo sát gần đây cho thấy trung bình có 70-80 mật khẩu mỗi người.

Tin tốt là có những công cụ để giải quyết những vấn đề này. Hầu hết các máy tính hiện nay đều hỗ trợ lưu trữ mật khẩu trong hệ điều hành hoặc trình duyệt web, thường có tùy chọn chia sẻ thông tin được lưu trữ trên nhiều thiết bị.

Ví dụ bao gồm của Apple Móc khóa iCloud và khả năng lưu mật khẩu trong Internet Explorer, Chrome và Firefox (mặc dù kém tin cậy).

Quản lý mật khẩu chẳng hạn như KeePassXC có thể giúp người dùng tạo mật khẩu dài, phức tạp và lưu trữ chúng ở một vị trí an toàn khi họ cần.

Mặc dù vị trí này vẫn cần được bảo vệ (thường là "mật khẩu chính" dài), việc sử dụng trình quản lý mật khẩu cho phép bạn có một mật khẩu phức tạp, duy nhất cho mọi trang web bạn truy cập.

Điều này sẽ không ngăn mật khẩu bị đánh cắp từ một trang web dễ bị tấn công. Nhưng nếu nó bị đánh cắp, bạn sẽ không phải lo lắng về việc thay đổi cùng một mật khẩu trên tất cả các trang web khác của mình.

Tất nhiên cũng có những lỗ hổng trong các giải pháp này, nhưng có lẽ đó là câu chuyện của một ngày khác.

Về các tác giả

Paul Haskell-Dowland, Phó trưởng khoa (Máy tính và Bảo mật), Đại học Edith Cowan và Brianna O'Shea, Giảng viên, Đạo đức tấn công và phòng thủ, Đại học Edith Cowan

Bài viết này được tái bản từ Conversation theo giấy phép Creative Commons. Đọc ban đầu bài viết.