Các vấn đề về việc buộc hết hạn mật khẩu thông thường, UK National Cyber Security Centre

Bởi

Tuyệt vời! Hãy cùng đi sâu vào bài đăng trên blog của Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) về các vấn đề liên quan đến việc buộc người dùng thay đổi mật khẩu thường xuyên và giải thích nó một cách dễ hiểu.

“Các vấn đề về việc buộc hết hạn mật khẩu thông thường” (Problems with Forcing Regular Password Expiry) – Tóm tắt và Giải thích

Bài đăng trên blog này của NCSC trình bày một quan điểm quan trọng: việc buộc người dùng thay đổi mật khẩu định kỳ (ví dụ: mỗi 30, 60 hoặc 90 ngày) thường gây hại nhiều hơn lợi. Thay vì tăng cường bảo mật, nó có thể dẫn đến những hậu quả ngược và làm suy yếu an ninh tổng thể.

Đây là những điểm chính và giải thích của chúng:

  • Mật khẩu yếu hơn:

    • Vấn đề: Khi người dùng bị buộc phải thay đổi mật khẩu thường xuyên, họ thường tìm cách dễ nhất để thực hiện điều đó. Điều này thường có nghĩa là sử dụng các biến thể nhỏ của mật khẩu cũ, chẳng hạn như thêm một số hoặc thay đổi một chữ cái. Ví dụ: nếu mật khẩu cũ là “Password123!”, mật khẩu mới có thể là “Password124!” hoặc “Password123@”.
    • Giải thích: Những thay đổi nhỏ này rất dễ đoán và bẻ khóa, đặc biệt là với các công cụ tự động. Tin tặc biết rằng mọi người có xu hướng chọn các tùy chọn dễ nhớ và dễ thực hiện, vì vậy họ có thể tập trung các nỗ lực tấn công của mình vào các biến thể phổ biến.
    • Ví dụ: Nếu một công ty yêu cầu nhân viên thay đổi mật khẩu mỗi tháng, hầu hết mọi người sẽ chỉ tăng một con số ở cuối mật khẩu hiện tại của họ. Một kẻ tấn công có thể dễ dàng thử các biến thể này.

  • Sử dụng lại mật khẩu:

    • Vấn đề: Để tránh phải nghĩ ra mật khẩu mới và phức tạp mỗi lần, người dùng có thể có xu hướng sử dụng lại cùng một mật khẩu (hoặc các biến thể nhỏ) trên nhiều trang web và dịch vụ khác nhau.
    • Giải thích: Điều này cực kỳ nguy hiểm. Nếu một trang web bị xâm phạm và mật khẩu của người dùng bị lộ, kẻ tấn công có thể sử dụng mật khẩu đó để truy cập các tài khoản khác của người dùng trên các trang web khác.
    • Ví dụ: Nếu bạn sử dụng cùng một mật khẩu cho email, tài khoản ngân hàng trực tuyến và tài khoản mạng xã hội của mình, và một trong những trang web đó bị tấn công, tất cả các tài khoản của bạn đều có nguy cơ.

  • Ghi lại mật khẩu:

    • Vấn đề: Để theo dõi tất cả các mật khẩu khác nhau mà họ phải nhớ, người dùng có thể viết chúng ra (trên giấy, trong một tệp văn bản không an toàn trên máy tính, v.v.).
    • Giải thích: Việc ghi lại mật khẩu khiến chúng trở nên dễ bị đánh cắp hơn nhiều. Bất kỳ ai có quyền truy cập vào nơi mật khẩu được ghi lại đều có thể truy cập vào tất cả các tài khoản của người dùng.
    • Ví dụ: Một tờ giấy dán trên màn hình máy tính có chứa mật khẩu là một mục tiêu dễ dàng cho bất kỳ ai có quyền truy cập vật lý vào máy tính đó.

  • Mệt mỏi về mật khẩu:

    • Vấn đề: Việc liên tục phải thay đổi mật khẩu có thể khiến người dùng cảm thấy mệt mỏi và bực bội. Điều này có thể dẫn đến việc họ bỏ qua các biện pháp bảo mật khác hoặc tìm cách phá vỡ hệ thống.
    • Giải thích: Khi người dùng cảm thấy quá khó khăn hoặc phiền phức để tuân thủ các chính sách bảo mật, họ có nhiều khả năng tìm ra các giải pháp thay thế không an toàn.
    • Ví dụ: Một nhân viên có thể chọn sử dụng mật khẩu yếu vì họ quá mệt mỏi với việc phải nghĩ ra những mật khẩu mạnh và khác nhau mỗi lần.

Vậy, NCSC đề xuất gì?

Thay vì tập trung vào việc hết hạn mật khẩu định kỳ, NCSC khuyến nghị một cách tiếp cận dựa trên rủi ro và tập trung vào các biện pháp bảo mật hiệu quả hơn:

  • Mật khẩu mạnh: Khuyến khích (hoặc thậm chí yêu cầu) người dùng sử dụng mật khẩu dài, phức tạp và duy nhất.
  • Xác thực đa yếu tố (MFA): Bật MFA bất cứ khi nào có thể. MFA thêm một lớp bảo mật bổ sung bằng cách yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực (ví dụ: mật khẩu và mã được gửi đến điện thoại của họ) trước khi họ có thể truy cập tài khoản.
  • Giám sát các dấu hiệu bị xâm phạm: Theo dõi các dấu hiệu cho thấy tài khoản có thể đã bị xâm phạm (ví dụ: đăng nhập bất thường, hoạt động đáng ngờ).
  • Giáo dục người dùng: Giáo dục người dùng về các mối đe dọa bảo mật và cách bảo vệ bản thân trực tuyến.
  • Chỉ hết hạn mật khẩu khi có dấu hiệu bị xâm phạm: Chỉ yêu cầu người dùng thay đổi mật khẩu nếu có lý do để tin rằng mật khẩu của họ đã bị xâm phạm (ví dụ: nếu mật khẩu của họ xuất hiện trong một vụ rò rỉ dữ liệu).

Tóm lại:

Bài đăng trên blog của NCSC lập luận rằng việc buộc hết hạn mật khẩu thường xuyên là một biện pháp bảo mật kém hiệu quả và có thể gây phản tác dụng. Thay vào đó, các tổ chức nên tập trung vào việc thực hiện các biện pháp bảo mật mạnh mẽ hơn, chẳng hạn như sử dụng mật khẩu mạnh, xác thực đa yếu tố và giám sát các dấu hiệu bị xâm phạm. Mục tiêu là làm cho việc bảo mật trở nên dễ dàng và hiệu quả cho người dùng, thay vì gây thêm gánh nặng cho họ.

Các vấn đề về việc buộc hết hạn mật khẩu thông thường

AI đã cung cấp tin tức.

Câu hỏi sau đã được sử dụng để tạo câu trả lời từ Google Gemini:

Vào lúc 2025-03-13 11:50, ‘Các vấn đề về việc buộc hết hạn mật khẩu thông thường’ đã được công bố theo UK National Cyber Security Centre. Vui lòng viết một bài chi tiết với thông tin liên quan theo cách dễ hiểu.


136

Post Views: 1

Viết một bình luận