Mật khẩu của bạn có nằm trong 100.000 mật khẩu bị vi phạm nhiều nhất?
Diễn đàn - Ngày đăng : 20:33, 01/05/2019
Bạn có thể xem toàn bộ danh sách 100.000 mật khẩu được sử dụng nhiều nhất tại đây và bạn sẽ thấy có rất nhiều từ, tên, tổ hợp số và thậm chí cả chữ và số đơn lẻ quen thuộc.
Lời khuyên cho người dùng
Danh sách được Hunt biên soạn dựa trên các tài khoản người dùng bị xâm phạm được công bố trên dịch vụ trực tuyến Have I Been Pwned. Theo đó, “123456” đã được sử dụng 23,2 triệu lần.
Các lựa chọn phổ biến khác cũng đã được thực hiện hàng trăm ngàn nếu không phải hàng triệu lần.
Nếu bạn chưa biết, việc chọn tên của bạn hoặc tên người bạn yêu mến (cho dù đó là một người thực, nhân vật hư cấu hay đội bóng đá) là một ý tưởng tồi.
NCSC khuyên người dùng kết hợp ba từ ngẫu nhiên nhưng dễ nhớ để tạo ra mật khẩu khó đoán. “Hãy sáng tạo và sử dụng những từ dễ nhớ với bạn, mọi người sẽ không thể đoán ra mật khẩu của bạn,” Giám đốc kỹ thuật của NCSC, Tiến sĩ Ian Levy khuyên.
Hunt chỉ ra rằng việc lựa chọn mật khẩu tốt là chốt kiểm soát lớn nhất của người tiêu dùng đối với việc bảo mật thông tin cá nhân của họ.
Điều đó thực sự đúng: Chúng ta thường có ít hoặc không thể kiểm soát các tùy chọn bảo mật mà các doanh nghiệp cung cấp cho chúng ta, nhưng chúng ta có thể sử dụng nó một cách tốt nhất.
Nếu chúng ta có thể chọn một mật khẩu dài và phức tạp, hãy làm điều đó.
Nếu chúng ta có thể lựa chọn sử dụng xác thực đa yếu tố, hãy làm điều đó.
Nếu chúng ta có thể ghi nhớ tất cả các mật khẩu phức tạp khác nhau cho các tài khoản khác nhau của mình, hãy sử dụng một trình quản lý mật khẩu. Ngoài việc ghi nhớ mật khẩu giúp chúng ta, các trình quản lý mật khẩu có thể tạo một mật khẩu dài và phức tạp cho mỗi tài khoản vì chúng thường bao gồm một trình tạo mật khẩu.
Lời khuyên dành cho nhà phát triển và hệ thống
NCSC cũng cung cấp cho các nhà phát triển và quản trị viên hệ thống một vài lời khuyên về cách giảm thiểu rủi ro của những mật khẩu yếu.
Họ có thể sử dụng danh sách này làm danh sách đen để ngăn người dùng chọn mật khẩu có trong đó, nhưng hãy nhớ rằng danh sách này không phải là tất cả.
“Sẽ có những mật khẩu khác cụ thể hơn (mật khẩu chứa tên của công ty nhân viên làm việc) hoặc có mốc thời gian (như 'Spring2019' v.v...) hiếm khi nằm trong danh sách mật khẩu bị xâm phạm toàn cầu, nhưng kẻ tấn công vẫn sẽ có thể cố gắng lợi dụng chúng,” NCSC cho biết.
“Những kẻ tấn công mạng thường sử dụng các danh sách như thế này khi cố gắng tấn công hệ thống phòng thủ của đơn vị hoặc khi di chuyển trong mạng để làm suy yếu các hệ thống phòng thủ. Nó đặc biệt phổ biến trong các mạng nơi chỉ có một thành phần phục vụ doanh nghiệp và một thành phần phục vụ hoạt động hoặc hệ thống điều khiển công nghiệp. Trong các triển khai như vậy, những kẻ tấn công có thể xâm phạm mạng công ty và di chuyển ngang sang mạng nội bộ nhờ một phân đoạn mạng kém, nơi chứa một điểm yếu (như mật khẩu thuộc danh sách trên trong DMZ, một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet) đã kích hoạt vùng giao nhau.”
NCSC thừa nhận rằng việc không cho phép người dùng chọn mật khẩu yếu có thể gây ra một số rắc rối trong quá trình đăng ký tài khoản nhưng điều đó sẽ giúp dữ liệu hoặc cơ sở hạ tầng quan trọng của tổ chức được bảo vệ tốt hơn.