Nếu bạn đã tạo một hoặc hai tài khoản trong những năm gần đây, bạn có thể nhận thấy rằng nhiều trang web này mắng bạn vì sử dụng mật khẩu "không an toàn" trong một số điều kiện nhất định. Đôi khi bạn thậm chí không cần phải nhấn nút “Đăng ký” trước khi gặp một thông báo nhỏ bên cạnh trường mật khẩu cho biết rằng bạn đang sử dụng mật khẩu yếu.
Mặc dù một số trang web có thể ngăn bạn đăng ký bằng mật khẩu mà họ hoàn toàn coi là mật khẩu yếu, những trang khác chỉ cảnh báo bạn và để bạn làm những gì bạn muốn theo ý mình. Bất chấp điều đó, các trang web này (hầu hết) đều có một điểm chung:tiêu chí về “mật khẩu an toàn” của họ sẽ không giúp bạn an toàn.
Rèn luyện thói quen xấu
Một trong những điều đầu tiên bạn sẽ nhận thấy trên hầu hết các trang web là tất cả chúng dường như đều có các tiêu chí giống nhau về mật khẩu được coi là mật khẩu “mạnh”. Trên hầu hết các trang web, tiêu chí là như sau:
- Tối thiểu 6 hoặc 8 ký tự
- Tối thiểu một số và một chữ cái
- Đôi khi có ít nhất một chữ cái viết hoa.
Trong trường hợp này, một mật khẩu như “Ironclad1” rất dễ hiểu và đáp ứng các yêu cầu của trang web cụ thể đó. Vì hầu hết các trang web chỉ có những yêu cầu này, nên mọi người có thể quen với thực tế rằng “Ironclad1”, “Sallyepstein4”, “Michael1985,” v.v. là những mật khẩu tốt. Bất kỳ ai đã từng đọc ba trang đầu tiên của cuốn sách về an ninh mạng đều biết rằng điều này là cực kỳ không an toàn, nhưng nó đang ngầm được hàng triệu trang web trên khắp thế giới coi là tiêu chuẩn, nơi bảo mật là một quy tắc đáng giá sau năm dòng mã.
Một tin tặc có thể chỉ cần sử dụng một cuộc tấn công từ điển để bẻ khóa mật khẩu của bạn và thế là xong.
Một số dịch vụ web (như Google) cũng yêu cầu sử dụng ký hiệu (như “!” Hoặc “$”) để tạo mật khẩu. Điều này chỉ làm cho những thứ như mật khẩu hợp lệ “$ allyepstein4” và các cuộc tấn công từ điển ngày càng tinh vi hơn trong những năm qua.
Thói quen mật khẩu tốt là gì?
Có rất nhiều cuộc tranh luận về điều gì tạo nên một mật khẩu tốt, nhưng thay vì tìm hiểu và giải thích tất cả các sắc thái, chúng ta sẽ chỉ xem xét một số điều mà mọi người thường đồng ý. Một mật khẩu tốt
- Bao gồm một loạt các biến thể chữ và số như chữ in hoa, chữ số và chữ thường
- Có các ký hiệu ở những nơi không thể đoán trước (“@shley” kém an toàn hơn “@ $ _ hley” vì có dấu gạch dưới ở giữa từ, nơi tấn công từ điển thường quét tìm “@” thay thế “a” và “ $ ”Thay thế“ s ”)
- Chứa khoảng trắng (như “I @te a S4nDw1ch”)
- Đạt đến giới hạn trên của giới hạn ký tự hợp lý (“ I l0v3 LuC # Y ”Kém an toàn hơn“ Th1S p4ssword sH_oulD b3 h @ rd to cr @ ck “)
- Chứa từ sai chính tả không theo quy luật (ví dụ:“schuld” thay vì “should”, “beffe” thay vì “beef”, “inszteda” thay vì “Replace”, “mektekezier” thay vì “maketecheasier”, v.v. )
Tất nhiên, một trong những mật khẩu tốt nhất mà bạn có thể có không dễ ghi vào bộ nhớ (ví dụ:“ ifjecBucE083 $ &&8c ociefjC * # &$ 6c iof0e0 ($ * # “). Lưu ý rằng ví dụ được cung cấp hoàn toàn vô nghĩa bằng cách sử dụng tất cả các quy tắc ở trên, bao gồm cả việc giới thiệu dấu cách. Điều này rất khác thường đối với ngay cả những cuộc tấn công từ điển phức tạp nhất. Miễn là cơ sở dữ liệu lưu trữ mã băm cho mật khẩu của bạn được bảo mật và các khóa mã hóa được quản lý chính xác, điều đó sẽ làm cho tài khoản của bạn ít đáng giá hơn để tin tặc bẻ khóa.
Đương nhiên, không phải tất cả các máy chủ đều an toàn và một dịch vụ bạn sử dụng có thể bị vi phạm làm lộ mật khẩu của bạn. Đây là lý do tại sao điều quan trọng là phải có một mật khẩu khác nhau cho mỗi dịch vụ .
Nhưng bạn không thể thực sự ghi nhớ 15 mật khẩu, chứ đừng nói đến mật khẩu mà tôi đã cung cấp để làm ví dụ về “một trong những mật khẩu tốt nhất mà bạn có thể có”. Để chống lại điều này, bạn có thể sử dụng dịch vụ đăng nhập một lần (còn được gọi là “quản lý danh tính”) có độ bảo mật cao, giúp bạn lưu các tab trên mật khẩu để bạn không phải ghi nhớ chúng. Mặc dù chúng đã tồn tại được một số năm, khái niệm này vẫn còn là một lãnh thổ chưa được khám phá (ít nhất là theo ý kiến chuyên môn của tôi), vì vậy hãy đi nhẹ. Thực hiện nghiên cứu của riêng bạn và google tên một dịch vụ theo sau là từ “vi phạm” để tìm hiểu xem nó đã từng bị tấn công hay chưa.
Làm thế nào vấn đề có thể được giải quyết
Vấn đề mà chúng tôi đang cố gắng giải quyết ở đây là làm cho số lượng lớn những người tạo tài khoản trên Web hiểu được các phương pháp hay nhất để tạo mật khẩu là gì. Điều này nghe có vẻ là một nhiệm vụ hoành tráng, phải không?
Trên thực tế, việc cung cấp thông tin ở đâu đó cũng dễ dàng như vậy. Google thực hiện tốt công việc này với các nguyên tắc của mình, nhưng nó chưa đi đủ xa.
Mặc dù có nhiều kudo, tôi nghĩ rằng tốt nhất nên bao gồm một liên kết đến các nguyên tắc này bên cạnh trường mật khẩu, giúp người dùng dễ dàng truy cập trong giai đoạn đăng ký tài khoản. Nếu ai đó bỏ qua điều này, đó là đặc quyền của riêng họ, nhưng không ai tại thời điểm đó có thể nói rằng họ không bao giờ có cơ hội đọc một số tài liệu giáo dục về chủ đề này.
Phần khó duy nhất của vấn đề này là thuyết phục hàng triệu trang web có cơ sở dữ liệu tài khoản sử dụng phương pháp này. Tuy nhiên, vì hầu hết các trang web này sử dụng phần mềm hộp lớn (như WordPress hoặc Drupal), có lẽ tốt hơn là bạn nên liên hệ với các nhà phát triển phần mềm này để cung cấp loại thứ này trong các bản cập nhật trong tương lai của họ. Ngay sau khi các trang web cập nhật phần mềm của họ, họ sẽ tự động nhận được các nguyên tắc này trên trang đăng ký của họ!
Bạn nghĩ chúng tôi có thể làm gì khác để nâng cao nhận thức về mật khẩu tốt? Hãy thảo luận điều này trong phần bình luận!