(Post 17/12/2010) Tầm quan trọng của password (mật khẩu) đối với người dùng internet là điều tất yếu. Tuy nhiên, bạn cần phải hiểu rõ về các dạng password để vận dụng chúng tốt hơn nhằm bảo vệ tài khoản và dữ liệu của mình, đặc biệt là khi bạn sẽ phải dùng các giao dịch tài chính trực tuyến ngày càng nhiều…

Các chương trình đánh cắp password ngày càng tinh vi, công nghệ xử lý và bảo mật password cũng vì thế mà liên tục được cải tiến. Nhân dịp BitDefender vừa giới thiệu công nghệ password mới bằng bản đồ 3D, Nhịp Sống Số cùng điểm qua một số giải pháp password trực tuyến đang được áp dụng hiện nay.

Mật khẩu truyền thống

Công nghệ bảo mật bằng mật khẩu (password) đã được áp dụng từ những ngày đầu tiên khi máy tính xuất hiện. Năm 1961, viện công nghệ MIT cho ra mắt một trong những hệ thống chia sẻ đầu tiên trên thế giới – CTSS – cùng với hệ thống mật khẩu sơ khai bao gồm lệnh LOGIN, yêu cầu người dùng nhập vào mật khẩu. Sau khi nhập lệnh PASSWORD, người dùng sẽ phải nhập tiếp mật khẩu của mình để được hệ thống xác nhận.

Cũng trong thập niên 1960, công nghệ bảo mật bằng mật khẩu dần được hoàn thiện thành dạng password được sử dụng phổ biến nhất cho đến ngày nay: alpha – numeric password, tức mật khẩu dưới dạng một chuỗi các chữ cái và chữ số. Bất kỳ chuỗi ký tự nào cũng có thể trở thành mật khẩu, nhưng người dùng được khuyến cáo nên đặt mật khẩu của mình phức tạp đủ để không bị người khác đoán ra. Mật khẩu càng phức tạp, khó đoán thì độ bảo mật càng cao. Tuy nhiên, độ phức tạp của mật khẩu cũng tỉ lệ nghịch với việc người dùng có thể nhớ chúng một cách dễ dàng.

Ngoài việc khó có thể tự đặt ra một mật khẩu đủ khó để không bị người khác đoán ra nhưng cũng phải đủ dễ để chính bản thân người dùng có thể ghi nhớ, alpha – numberic password còn phải đối mặt với các cuộc tấn công chiếm password và các chương trình đánh cắp mật khẩu.

Dạng tấn công phổ biến nhất là tấn công tra cứu từ điển (dictionary attack). Phương thức này hiểu đơn giản là kiểu đoán mật khẩu với các cụm từ có nghĩa thường được nhiều người chọn dùng làm mật khẩu (thay vì các chuỗi ký tự ngẫu nhiên như được khuyến cáo), kẻ tấn công sẽ dùng chương trình tự động thử tất cả các từ có nghĩa trong từ điển để bẻ khóa password.

Ngoài ra còn có hàng trăm chương trình keylogger được sử dụng để ghi nhận quá trình nhập password của nạn nhân rồi tự động gửi thông tin về cho kẻ có ý muốn đánh cắp password đó. Hoặc kiểu tra cứu từng ký tự trong mật khẩu (brute-force attack), chương trình sẽ tự động dò tìm từng ký tự trong chuỗi mật khẩu. Tuy dạng brute-force attack có tỉ lệ phá mật khẩu cao nhưng nếu người dùng sử dụng các loại mật khẩu bao gồm nhiều ký tự chữ và số xen lẫn ký tự đặc biệt thì có thể phải mất nhiều năm mới có thể tìm ra chuỗi mật khẩu hoàn thiện (Ví dụ: n$W0k1J^57$h@k3R mật khẩu được cho là có tính bảo mật cao nhưng lại khó nhớ).

Trước sự đe dọa của các chương trình đánh cắp mật khẩu, việc phát minh ra nhiều dạng password mới thay thế cho kiểu truyền thống là hết sức cần thiết, và mật khẩu hình ảnh cùng với mật khẩu một lần là 2 trong số những số ấy.

Mật khẩu dạng hình ảnh (Graphical password)

Về cơ bản, con người có xu hướng ghi nhớ các thông tin dưới dạng hình ảnh dễ dàng hơn thông tin dưới các dạng khác. Chúng ta có thể gặp khó khăn khi phải nhớ một chuỗi 50 ký tự, nhưng lại dễ dàng nhớ gương mặt của những người ta đã gặp, những nơi ta đã đến và những thứ ta đã thấy. Dựa vào đặc điểm này, người ta đã tạo ra mật khẩu hình ảnh (graphical password).

Để đăng nhập vào một website hay hệ thống được bảo mật bằng graphical password, thay vì phải nhập một chuỗi ký tự như ở alpha – numberic password, người dùng sẽ được yêu cầu ấn chuột vào 4 điểm trên bức ảnh mà hệ thống đưa ra. 4 điểm này chính là mật khẩu mà họ đã xác định và ghi nhớ trong quá trình tạo mật khẩu. Dĩ nhiên người dùng cũng có thể chọn số lượng điểm bí mật nhiều hơn 4 để tăng độ bảo mật.

Ở một hình thức khác, người dùng sẽ chọn và ghi nhớ 4 hoặc nhiều hơn các biểu tượng trong quá trình tạo password và chọn lại chúng trong hàng loạt biểu tượng được sắp xếp ngẫu nhiên và thay đổi trong quá trình đăng nhập.

Trường Đại học Malaya (Malaysia) còn cung cấp một thuật toán khác: khi đăng ký tài khoản, người dùng sẽ tạo password bằng cách chọn các biểu tượng do máy chủ cung cấp. Khi đăng nhập, những biểu tượng này sẽ được thu nhỏ và xoay theo các chiều khác nhau, người dùng lúc này sẽ phải nhận ra biểu tượng mà mình đã chọn, sau đó nhập vào ô password những ký tự hiện bên dưới biểu tượng đó. Giải pháp này khá mất thời gian nên vẫn còn đang trong giai đoạn thăm dò ý kiến người dùng.

Điểm mạnh của graphical password là dễ nhớ mà mức độ bảo mật lại cao vì hacker không thể sự dụng cách tấn công từ điển để đánh cắp mật khẩu và các chương trình keylogger cũng trở nên vô dụng vì các biểu tượng được xáo trộn ngẫu nhiên mỗi lần đăng nhập. Tuy nhiên bạn cũng có thể bị lộ password nếu người khác quan sát và ghi nhớ các biểu tượng cũng như điểm ảnh bạn chọn mỗi lần đăng nhập.

FPT APTECH cung cấp cho các bạn đam mê học tin học, học công nghệ thông tin chuyên sâu về học lập trình cơ hội được đào tạo Công Nghệ Thông Tin trong môi trường tiêu chuẩn chất lượng quốc tế ISO9001.

Học CNTT – Học Aptech – Học tại FPT

Mật khẩu dùng một lần duy nhất (One time password)

Nguyên lý hoạt động của mật khẩu một lần (One time password – OTP) như sau: sau khi đã đăng ký dịch vụ, mỗi lần muốn đăng nhập, người dùng sẽ được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn hhay điện thoại di động mà không cần đến kết nối internet.

Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng đăng xuất (log out) ra khỏi hệ thống. Như vậy, nếu bạn bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được, và do đó giải pháp OTP có tính bảo mật rất cao.

Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào hệ thống được bảo mật bằng OTP. Công nghệ OTP được dùng nhiều trong chứng thực trực tuyến (thương mại trực tuyến). Hiện nay người dùng các thiết bị cầm tay như iPhone, Blackberry cũng có thể tự cài đặt cơ chế bảo mật OTP bằng các chương trình như VeriSign, RSA SecureID hay SafeNet MobilePASS.

Ngày càng có nhiều giải pháp mới giúp tăng cường tính bảo mật của password. Nhưng dù với bất cứ giải pháp nào thì người dùng cũng nên tự bảo vệ mình bằng cách lựa chọn và ghi nhớ mật khẩu của mình thật hiệu quả, cũng như tăng cường các biện pháp phòng vệ trước sự đe dọa của hacker và các chương trình keylogger.

Lương Nguyễn
(theo báo Tuổi Trẻ)

FPT Aptech trực thuộc Tổ chức Giáo dục FPT có hơn 25 năm kinh nghiệm đào tạo lập trình viên quốc tế tại Việt Nam, và luôn là sự lựa chọn ưu tiên của các sinh viên và nhà tuyển dụng.
0981578920
icons8-exercise-96