2010/09/13

An ninh điện tử | Bảo Vệ Mật Khẩu

Tóm tắt

I.    Đừng dựa vào chức năng mật khẩu của Windows để bảo vệ thông tin của bạn.  Mật khẩu như vậy rất dễ bị phá.
II.    Nên tạo mật khẩu với ít nhất là 10 chữ.  Bạn cũng có thể dùng một câu viết ngắn làm mật khẩu.

Nên ghi lại mật khẩu và cất giữ nơi an toàn hơn là có một mật khẩu ngắn và dễ đoán.
 
III.    Nên dùng số, chữ thường, chữ hoa và ký hiệu trong mật khẩu.
IV.    Đừng bao giờ dùng lại mật khẩu cũ.
V.    Đừng dùng mật khẩu có liên quan đến đời sống hoặc sở thích riêng tư của bạn.
VI.    Đừng cho bất cứ ai biết những mật khẩu quan trọng.
VII.    Nên đổi mật khẩu mỗi 3-6 tháng.
VIII.    Nên nhớ rằng có rất nhiều phần mềm miễn phí trên mạng dùng để khám phá ra mật khẩu, mật mã của mạng không dây, hoặc bất cứ mật khẩu điện toán nào của bạn.

Mật khẩu tốt là một phần thiết yếu trong việc sử dụng máy điện toán và việc liên lạc điện toán được an toàn.  Mật khẩu được dùng để xác nhận việc được phép gia nhập và sử dụng một chức năng, chẳng hạn như vào một trương mục thư điện tử (email), đăng nhập vào một mạng lưới, hoặc làm việc ngân hàng trực tuyến.  Mật khẩu cũng giống như là chìa khóa cửa.  Bạn có thể dùng nhiều chìa khóa khác nhau cho nhà, cho văn phòng, cho chiếc xe và cho tủ sắt của bạn.  Mỗi ổ khóa đều khác nhau, và bạn có một bộ nhiều chìa khóa khác nhau để mở khóa.  Như vậy việc đột nhập sẽ khó hơn.  Cho dù tên trộm tìm được đúng một chìa khóa, hắn cũng không thể mở hết tất cả mọi cánh cửa.  Ổ khóa càng ngày càng tinh vi và đắt tiền.  Ổ khóa được làm bằng nhiều thành phần khác nhau với mục đích duy nhất là ngăn ngừa đột nhập.  Nguyên tắc trên cũng được áp dụng cho mật khẩu của bạn.  Mật khẩu là ổ khóa cho ngân hàng thông tin của bạn.  Với sự ra đời của máy điện toán, mật khẩu dùng để bảo vệ thông tin mà thông thường có giá trị lớn hơn nhiều so với những vật được cất giữ trong ngăn tủ hoặc tủ sắt của bạn.  Vì thế, nói theo nghĩa kỹ thuật điện toán, mật khẩu của bạn nên tốt ngang hàng với cái tủ sắt đắt tiền nhất, nhằm mục đích bảo vệ thông tin.

Trong thế giới an ninh điện toán, mật khẩu tốt là yếu tố cần thiết và quan trọng nhất của bất cứ hệ thống nào.  Lịch sử đã cho thấy rằng phá mật khẩu là phương pháp thông dụng nhất của bọn tin tặc nhằm tấn công hệ thông tin của bạn.

Phá Mật Khẩu

Làm sao để phá được mật khẩu?  Có nhiều cách để thực hiện điều này.  Một là lén nhìn khi một người nào đó đang đánh mật khẩu.  Một cách khác là cài một phần mềm chuyên theo dõi (spyware) để ghi lại tất cả các chữ được đánh vào máy điện toán và gửi đến cho tin tặc.  Cả hai cách đều có thể ngăn ngừa được nếu bạn cảnh giác.  Bạn nhớ phải để ý đến chung quanh bạn và luôn cho chạy phần mềm được cập nhật thường xuyên dùng để chống spyware và chống virus điện toán.

Phác Thảo Mật Khẩu

Phác thảo mật khẩu là phương thức đoán mật khẩu bằng cách sưu tầm dữ kiện và thông tin cá nhân của người chủ mật khẩu.   Thông thường, mật khẩu phản ảnh lại một điều gì dễ nhớ, chẳng hạn như năm sinh, tên của một thành viên gia đình hoặc tên một người bạn, nơi sinh, đội bóng thích nhất, v.v.  Kẻ phác thảo sẽ lưu ý đến những thông tin này và những dữ kiện tương tự khác.  Nếu họ có cách tiếp cận văn phòng làm việc của bạn, họ có thể sẽ để ý đến sách trên kệ của bạn.  Cách đặt  mật khẩu của bạn có thể tha thứ được (ít nhất là cho tới khi bạn đọc xong chương này!) vì khả năng có thể nhớ được nhiều mật khẩu khác nhau mà vừa khó nhớ và vừa không có liên hệ gì với bạn rất là giới hạn.  Tuy nhiên, đoán mật khẩu bằng cách sưu tầm thông tin cá nhân về người chủ mật khẩu vẫn là cách thông dụng nhất để phá hoại một hệ thống, và vẫn tiếp tục là cách thành công nhất cho tin tặc có chủ đích.

Nhiều hệ thống mật khẩu trên mạng cho bạn cơ hội phục hồi mật khẩu mà bạn đã mất, miễn là bạn trả lời một 'câu hỏi bí mật'.  Vì một lý do nào đó, những câu hỏi bí mật này (được dựng lên khi bạn thành lập trương mục) thường có dính dáng với tên động vật đưọc ưa thích, tên trường học đầu tiên, hoặc họ mẹ của bạn.  Điều này làm cho kẻ phác thảo dễ dàng đoán được mật khẩu.  Người này không cần phải suy nghĩ nát óc để đoán mật khẩu, mà chỉ cần trả lời đúng câu hỏi bí mật là sẽ nhận được mật khẩu từ email.  Nếu bạn được yêu cầu phải dựng lên một cơ chế phục hồi mật khẩu bằng cách trả lời một câu hỏi đơn giản về đời tư của bạn, thì bạn không nên dùng cơ chế đó.  Nếu bắt buộc phải làm để hoàn tất thủ tục đăng ký, bạn cứ ghi đại điều gì đó thật khó hiểu.  Đừng dựa vào phương pháp phục hồi có dùng đến câu hỏi bí mật để nhớ lại mật khẩu mà bạn đã quên mất.


Khai Thác các Liên Hệ trong Xã Hội (Social engineering)

Nhiều người bị lừa phải tiết lộ mật khẩu qua các câu hỏi và màn đóng kịch khéo léo.  Tin tặc có thể giả dạng là nhà cung cấp dịch vụ truy cập mạng (ISP) gọi cho bạn, báo rằng dịch vụ đang nâng cấp máy chủ, và rằng để bảo đảm email của bạn không bị mất trong quá trình nâng cấp, dịch vụ cần biết mật khẩu của bạn.  Tin tặc cũng có thể giả dạng là đồng nghiệp từ một chi nhánh khác của tổ chức phi chính phủ của bạn và yêu cầu có được mật khẩu để tiếp cận trương mục email nhiều người dùng chung, với lý do là nhân vật biết được mật khẩu hiện đang bệnh và người đồng nghiệp này cần phải gửi đi một lá email khẩn cấp.  Phương pháp này gọi là khai thác các liên hệ trong xã hội.  Đã có nhiều trường hợp mà nhân viên một cơ quan tiết lộ thông tin có khả năng phá hoại chỉ vì họ bị lừa.  Đây vẫn là một cách hữu hiệu cho tin tặc để tiếp cận một hệ thống thông tin. Không bao giờ tiết lộ thông tin liên quan đến máy điện toán (đặc biệt là mật khẩu và mật mã để tiếp cận) qua điện thoại cho một người nào đó mà danh tánh không kiểm chứng được.

Thử tất các dạng mật khẩu (Brute Force)

Thử tất cả các dạng mật khẩu là cách đoán mật khẩu bằng cách phối hợp tất cả các ký tự.  Nó có thể thực hiện bằng cách thử từng từ một trong một cuốn tự điển điện tử.  Đối với con người thì công việc này mất rất nhiều thời giờ, nhưng đối với máy điện toán thì chỉ mất vài giây đồng hồ.  Nếu mật khẩu của bạn là một từ đánh vần chính xác trong tự điển, thì chỉ trong vòng vài phút mật khẩu có thể bị phá bằng cách tấn công bằng cách thử tất cả các dạng mật khẩu.  Phải chăng bạn dùng câu mở đầu của một trong 1000 bài hát hoặc bài thơ nổi tiếng để làm mật khẩu?  Thế giới điện toán lúc nào cũng phát triển và bành trướng vì cả thế giới văn chương và tư tưởng cũng được chuyển vào.  Hiện tại có những bộ sưu tập văn chương bằng điện toán, có thể được dùng để phá mật khẩu của bạn.  Bạn nên suy nghĩ kỹ trước khi dùng một mật khẩu với ngôn ngữ tự nhiên, chẳng hạn như một câu nói dễ hiểu hoặc nổi tiếng, hoặc tập hợp nhiều từ, hoặc một câu viết hoàn chỉnh.

Có nhiều hệ thống mật khẩu được bảo vệ chống lối tấn công bằng cách thử tất cả các dạng mật khẩu.  Thí dụ như máy ngân hàng hoặc điện thoại di động.  Mặc dù mật khẩu của bạn thường chỉ là một tập hợp có bốn số, hệ thống sẽ ngưng hoạt động (bằng cách tịch thu thẻ ngân hàng hoặc khoá điện thoại) sau ba lần đánh sai mật khẩu.

Tạo Mật Khẩu

Thuật Ngữ Giúp Trí Nhớ

Có nhiều phương pháp tạo mật khẩu khó phá nhưng lại dễ nhớ.  Cách phổ biến là mnemonic (một phương pháp hoặc hệ thống để cải thiện trí nhớ, chẳng hạn như dùng vần thơ hoặc viết tắt. Chúng ta hãy lấy một câu thông dụng:

•    To be or not to be? That is the question        (Hamlet, Shakespeare)

Ta có thể chuyển câu này thành 2Bon2B?TitQ

Trong thí dụ này, ta đã thay mỗi từ bằng một con số phát âm gần giống hoặc viết tắt, trong đó danh từ và động từ được viết hoa và còn lại là viết chữ thường.  Hoặc lấy thí dụ:

•    I had a dream, where all men were born equal    (Martin Luther King)

1haDwaMwB=

Bề ngoài thì mật khẩu này có vẻ viết lăng nhăng, nhưng đối với bạn thì không khó lắm, vì bạn đã biết cách dàn dựng.  Có những cách khác như thay con số cho những chữ cái nhìn giống số, viết tắt những từ nhìn giống số, và dùng emoticons.

I, i, l, t  = 1    o,O = 0    s, S = 5,2     four, for, fore = 4    two, to, too = 2   

•    Are you happy today? = rU:-)2d?

Trên đây là những thí dụ căn bản, và bạn luôn có thể tự chế ra phương pháp viết bằng mã số và từ.  Bạn nên làm vậy.  Lưu ý: xin đừng dùng những thí dụ trên làm mật khẩu!

Sử Dụng Phần Mềm

Bước kế tiếp để làm tăng mức độ phức tạp của mật khẩu, là dùng một chương trình tạo ra mật mã.

Chương trình này sẽ tạo ra một mật khẩu một cách ngẫu nhiên và lưu lại an toàn.  Nhờ vào chương trình tạo ra mật mã, bạn có thể sử dụng mật mã vô cùng phức tạp mà lại không cần phải ghi nhớ!  Đây là giải pháp lý tưởng.  Chương trình này thường rất nhỏ và có thể chứa trong đĩa mềm hoặc thẻ nhớ USB.



Bạn có thể phân loại mật khẩu của bạn rồi sao mật khẩu lại từ chương trình vào màn hình bằng cách dùng clipboard.  Mật khẩu được mã hoá và lưu lại trong chương trình.  Do đó, mật khẩu duy nhất mà bạn cần nhớ là mật khẩu để truy cập chương trình.

Phải mất một thời gian bạn mới quen được cách tạo ra và lưu lại tất cả mật khẩu trong một chương trình như vậy, nhưng mà lợi ích an ninh có giá trị rất lớn trong khi bạn chỉ mất chút công tạo ra và lưu lại mật khẩu như vậy.

Mật khẩu là cách bảo đảm an ninh cho thông tin đầu tiên và quan trọng nhất của bạn.  Mật khẩu giống như là cửa vào nhà nơi bạn ở.  Dùng mật khẩu yếu hoặc không dùng mật khẩu gì cả, thì cũng giống như mở toang cửa nhà suốt đêm.  Có thể sẽ không ai đến viếng bạn, nhưng cũng có thể sẽ có người đến ăn trộm hết tài sản của bạn.  Xin đặc biệt lưu ý đến cách bạn tạo ra mật khẩu và nơi bạn cất giữ mật khẩu.


Bạn có thể phân loại mật khẩu của bạn rồi sao mật khẩu lại từ chương trình vào màn hình bằng cách dùng clipboard.  Mật khẩu được mã hoá và lưu lại trong chương trình.  Do đó, mật khẩu duy nhất mà bạn cần nhớ là mật khẩu để truy cập chương trình.

Phải mất một thời gian bạn mới quen được cách tạo ra và lưu lại tất cả mật khẩu trong một chương trình như vậy, nhưng mà lợi ích an ninh có giá trị rất lớn trong khi bạn chỉ mất chút công tạo ra và lưu lại mật khẩu như vậy.

Mật khẩu là cách bảo đảm an ninh cho thông tin đầu tiên và quan trọng nhất của bạn.  Mật khẩu giống như là cửa vào nhà nơi bạn ở.  Dùng mật khẩu yếu hoặc không dùng mật khẩu gì cả, thì cũng giống như mở toang cửa nhà suốt đêm.  Có thể sẽ không ai đến viếng bạn, nhưng cũng có thể sẽ có người đến ăn trộm hết tài sản của bạn.  Xin đặc biệt lưu ý đến cách bạn tạo ra mật khẩu và nơi bạn cất giữ mật khẩu.

No comments:

Post a Comment