MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Hướng dẫn mới về mật khẩu của Anh
Cơ quan Quản lý thông tin liên lạc của chính phủ Anh (GCHQ) vừa đưa ra hướng dẫn mới về mật khẩu, với những lời khuyên có thể giúp giảm tải cho cả những người quản trị hệ thống và người dùng.
Trong số những khuyến nghị của GCHQ, có nhiều điểm khá khác biệt so với quan điểm phổ biến hiện nay.
Trước hết là việc nên hạn chế việc sử dụng mật khẩu để giảm “gánh nặng” cho người dùng, chỉ triển khai mật khẩu trong những trường hợp thực sự cần thiết. Các hệ thống và dịch vụ không có yêu cầu bảo mật nên được gỡ bỏ mật khẩu. Năm 2014, một nghiên cứu với sự tham gia của các chuyên gia từ Microsoft thậm chí còn cho rằng, việc sử dụng chung một mật khẩu cho các dịch vụ không quan trọng là có ích, vì nó giúp người dùng đỡ phải nhớ nhiều mật khẩu.
Các giải pháp kỹ thuật như đăng nhập một lần (single sign-on) và đồng bộ mật khẩu nên được triển khai để giúp người dùng đỡ phải nhớ nhiều mật khẩu. Các tiện ích phục vụ việc lưu giữ và bảo vệ mật khẩu, có thể là mức vật lý (ví dụ như két sắt) hay phần mềm quản lý mật khẩu hoặc cả hai biện pháp kết hợp, cũng nên được cung cấp.
Phần lớn những người quản trị hệ thống buộc người dùng thay đổi mật khẩu định kỳ, thường là sau 30, 60 hay 90 ngày. Điều đó chỉ khiến người dùng vất vả thêm và khiến họ chọn mật khẩu mới gần giống như mật khẩu cũ, trong khi không mang lại chút lợi ích thực tế nào, vì những mật khẩu bị đánh cắp thường bị lợi dụng ngay tức khắc. Tốt hơn là áp dụng những biện pháp sau để chống lại việc lợi dụng những mật khẩu bị lộ:
- Theo dõi việc đăng nhập để phát hiện những sự kiện bất thường.
- Thông báo cho người dùng về những lần đăng nhập thành công và không thành công, họ cần phải báo cáo những lần đăng nhập họ không thực hiện.
Một thông lệ khác của các tổ chức là áp đặt quy định về độ dài và độ phức tạp của mật khẩu. Tuy nhiên, do người dùng thường sử dụng các phương thức dễ đoán để tạo mật khẩu, nên quy định đó không đem lại lợi ích đáng kể, trong khi khiến cho người dùng thêm vất vả. Vì lý do đó, GCHQ khuyến cáo các tổ chức không nên áp đặt quy định về độ phức tạp của mật khẩu mà nên tập trung nỗ lực vào các biện pháp kỹ thuật như:
- Chống lại các kiểu dò mật khẩu tự động bằng cách khóa tài khoản hoặc cấm đăng nhập một thời gian sau một số lần đăng nhập liên tiếp không thành công.
- Ngăn chặn việc sử dụng các mật khẩu phổ biến và dễ đoán.
Biện pháp khóa tài khoản sau một số lần đăng nhập không thành công liên tiếp (account lockout) dễ thực hiện hơn so với việc cấm đăng nhập tạm thời (throttling). Tuy nhiên, cách làm đó có thể gây phiền toái cho người dùng và bị lợi dụng để tấn công từ chối dịch vụ - nhất là với những hệ thống trực tuyến quy mô lớn. Nếu quyết định sử dụng biện pháp khóa tài khoản, số lần đăng nhập không thành công liên tiếp trước khi bị khóa tài khoản nên được đặt là 10.
Xét từ một phương diện khác, các quy định về độ phức tạp của mật khẩu có thể giúp người dùng tránh được những mật khẩu yếu nhất, nhưng không ngăn được họ sử dụng những mật khẩu yếu (sử dụng thông tin cá nhân, các ký tự lặp hay các chuỗi ký tự thông dụng để tạo thành mật khẩu).
Trong số những khuyến nghị của GCHQ, có nhiều điểm khá khác biệt so với quan điểm phổ biến hiện nay.
Trước hết là việc nên hạn chế việc sử dụng mật khẩu để giảm “gánh nặng” cho người dùng, chỉ triển khai mật khẩu trong những trường hợp thực sự cần thiết. Các hệ thống và dịch vụ không có yêu cầu bảo mật nên được gỡ bỏ mật khẩu. Năm 2014, một nghiên cứu với sự tham gia của các chuyên gia từ Microsoft thậm chí còn cho rằng, việc sử dụng chung một mật khẩu cho các dịch vụ không quan trọng là có ích, vì nó giúp người dùng đỡ phải nhớ nhiều mật khẩu.
Các giải pháp kỹ thuật như đăng nhập một lần (single sign-on) và đồng bộ mật khẩu nên được triển khai để giúp người dùng đỡ phải nhớ nhiều mật khẩu. Các tiện ích phục vụ việc lưu giữ và bảo vệ mật khẩu, có thể là mức vật lý (ví dụ như két sắt) hay phần mềm quản lý mật khẩu hoặc cả hai biện pháp kết hợp, cũng nên được cung cấp.
Phần lớn những người quản trị hệ thống buộc người dùng thay đổi mật khẩu định kỳ, thường là sau 30, 60 hay 90 ngày. Điều đó chỉ khiến người dùng vất vả thêm và khiến họ chọn mật khẩu mới gần giống như mật khẩu cũ, trong khi không mang lại chút lợi ích thực tế nào, vì những mật khẩu bị đánh cắp thường bị lợi dụng ngay tức khắc. Tốt hơn là áp dụng những biện pháp sau để chống lại việc lợi dụng những mật khẩu bị lộ:
- Theo dõi việc đăng nhập để phát hiện những sự kiện bất thường.
- Thông báo cho người dùng về những lần đăng nhập thành công và không thành công, họ cần phải báo cáo những lần đăng nhập họ không thực hiện.
Một thông lệ khác của các tổ chức là áp đặt quy định về độ dài và độ phức tạp của mật khẩu. Tuy nhiên, do người dùng thường sử dụng các phương thức dễ đoán để tạo mật khẩu, nên quy định đó không đem lại lợi ích đáng kể, trong khi khiến cho người dùng thêm vất vả. Vì lý do đó, GCHQ khuyến cáo các tổ chức không nên áp đặt quy định về độ phức tạp của mật khẩu mà nên tập trung nỗ lực vào các biện pháp kỹ thuật như:
- Chống lại các kiểu dò mật khẩu tự động bằng cách khóa tài khoản hoặc cấm đăng nhập một thời gian sau một số lần đăng nhập liên tiếp không thành công.
- Ngăn chặn việc sử dụng các mật khẩu phổ biến và dễ đoán.
Biện pháp khóa tài khoản sau một số lần đăng nhập không thành công liên tiếp (account lockout) dễ thực hiện hơn so với việc cấm đăng nhập tạm thời (throttling). Tuy nhiên, cách làm đó có thể gây phiền toái cho người dùng và bị lợi dụng để tấn công từ chối dịch vụ - nhất là với những hệ thống trực tuyến quy mô lớn. Nếu quyết định sử dụng biện pháp khóa tài khoản, số lần đăng nhập không thành công liên tiếp trước khi bị khóa tài khoản nên được đặt là 10.
Xét từ một phương diện khác, các quy định về độ phức tạp của mật khẩu có thể giúp người dùng tránh được những mật khẩu yếu nhất, nhưng không ngăn được họ sử dụng những mật khẩu yếu (sử dụng thông tin cá nhân, các ký tự lặp hay các chuỗi ký tự thông dụng để tạo thành mật khẩu).
Theo ATTT