Nghiên cứu được thực hiện bởi một chuyên gia xác thực Thụy Điển có xu hướng chỉ ra rằng việc tuân thủ mật khẩu với các khuyến nghị của các cơ quan quản lý mạng vẫn chưa đủ để thoát khỏi sự thỏa hiệp.
Nhà cung cấp giải pháp quản lý mật khẩu và xác thực Specops Software của Thụy Điển vừa công bố một nghiên cứu. Điều này liên quan đến việc phân tích các mật khẩu đã bị xâm phạm và tuy nhiên, chúng tương ứng với các tiêu chuẩn quy định của Cơ quan Quốc gia về An ninh Hệ thống Thông tin (ANSSI) và các đối tác Châu Âu. Gần 53% trong số họ đã tuân thủ các khuyến nghị.
Các khuyến nghị về tuân thủ không phải lúc nào cũng đủ
” Sự phức tạp và khuyến nghị từ các tổ chức chính thức có thể giúp tăng cường mật khẩu của bạn “, Ghi nhận chuyên gia mạng của Specops Software, Darren James. Tuy nhiên, anh ta làm dịu khẳng định lý thuyết này bằng cách nói rằng “ nó sẽ không bảo vệ mạng của bạn nếu nó nằm trong danh sách mật khẩu bị xâm phạm của tin tặc. »
Để tránh nguy cơ xâm nhập và hack mật khẩu, ANSSI đưa ra một số khuyến nghị cụ thể. Do đó, chúng tôi khuyên bạn nên sử dụng một mật khẩu:
- trong đó bao gồm ít nhất 1 chữ hoa hoặc chữ thường hoặc số hoặc ký hiệu;
- Không chứa bất kỳ ký tự liên tiếp nào (chẳng hạn như “123” hoặc “abc”);
- Không có các từ lặp lại (như “aaaa”);
- Không bao gồm các mô hình từ khóa (“azerty” nổi tiếng và các mô hình khác);
- Trong đó đề cập đến độ dài tối thiểu ở 912 và 15 ký tự cho ba cấp độ.
Một khuyến nghị khác là so sánh mật khẩu của bạn, tại thời điểm bạn đang tạo, với danh sách các mật khẩu phổ biến hoặc được biết là đã bị xâm phạm.
Tin tặc nắm vững mã mật khẩu giữa tuân thủ và dễ dàng
Trong số 800 triệu mật khẩu bị xâm phạm được phân tích bởi Specops, 52,95% đáp ứng chính xác các khuyến nghị khác nhau mà chúng tôi vừa liệt kê. Tuy nhiên, nhiều người trong số họ kết thúc với danh sách mật khẩu bị xâm phạm của tin tặc. Theo thời gian, tin tặc đã thực sự xây dựng một danh sách nhiều hơn 2 hàng tỷ mật khẩu bị xâm nhập tôn trọng các khuyến nghị của các cơ quan quản lý mạng khác nhau trên thế giới, nhưng không phải là mật khẩu nguyên bản nhất và được tìm thấy trong danh sách các mật khẩu phổ biến nhất. Hãy lấy một vài ví dụ.
Điều tồi tệ nhất trong số các hình minh họa vẫn là mật khẩu “password1”, theo tất cả các khuyến nghị hoặc gần như: một số ngoài các chữ cái, không có ký tự liên tiếp, độ dài tối thiểu. Nhưng hãy viết “mật khẩu” theo sau là ” 1 cho một mật khẩu không an toàn hoặc nguyên bản. Ví dụ này là cố tình thô thiển.
Nhưng hãy mở rộng nó cho các mật khẩu tuân theo gần như tất cả, nếu không phải là tất cả, các khuyến nghị của cơ quan chức năng:
- yuantuo2012
- 1q2w3e4r5t
- khởi đầu
- 111222tianya
- malcolm01
- magvai87magvai87
- 21pink657
Tất cả các mật khẩu này, nếu chúng có vẻ không có nguồn gốc đối với bạn, tuy nhiên, chúng vẫn tuân thủ hầu hết các khuyến nghị. Phải thừa nhận rằng những người trong cuộc đã có được phản xạ đúng đắn, sử dụng trình quản lý mật khẩu, cụm từ mật khẩu hoặc mật khẩu chỉ phụ thuộc vào tình cờ, chứ không phụ thuộc vào những gì hacker biết hoặc có thể đoán được. Tuy nhiên, một bộ phận lớn công chúng vẫn cần được thuyết phục về lợi ích của việc biến những gì vẫn còn là phương tiện xác thực được sử dụng rộng rãi nhất trở nên phức tạp hơn.
Giống như mọi năm, Ngày mật khẩu nhằm mục đích nâng cao nhận thức của người dùng Internet về tầm quan trọng của việc chọn đúng mật khẩu và bảo vệ tài khoản của họ. Kể từ khi sự kiện được Intel tạo ra vào năm 2013, các thông lệ trong lĩnh vực này đã thay đổi: dân chủ hóa các nhà quản lý tận tâm, xác thực đa yếu tố … Tuy nhiên, những thách thức vẫn còn đó. Tổng quan ngắn gọn về các vấn đề liên quan đến xác thực vào năm 2022 và các giải pháp có sẵn.
Đọc thêm
Nguồn: Thông cáo báo chí Specops
