Loại bỏ mật khẩu mặc định để hạn chế cuộc tấn công mạng?
Theo thông tin từ CISA, các thiết bị công nghệ vận hành bằng mật khẩu mặc định để truy cập vào các hệ thống cơ sở hạ tầng quan trọng ở Hoa Kỳ đã bị các đối tượng tin tặc khai thác. Do mật khẩu mặc định đề cập đến tên đăng nhập và mật khẩu được ghi công khai trên các thiết bị, hệ thống… vì thế các tác nhân đe dọa có thể dễ dàng sử dụng những phần mềm chuyên dụng để ghi lại mật khẩu mặc định, sau đó giành quyền quản trị hoặc tiến hành khai thác tùy thuộc vào loại hệ thống.
Thay thế mật khẩu mặc định bằng những phương pháp xác thực mạnh khác
“Mật khẩu mặc định đã được biết đến và công bố rộng rãi trên các diễn đàn mở, nơi các tác nhân đe dọa có thể khai thác thông tin tình báo để xâm nhập các hệ thống của Hoa Kỳ,” cơ quan này cho biết thêm.
Nhìn chung, việc loại bỏ mật khẩu đồng nghĩa với việc tìm kiếm những phương thức bảo mật thay thế. CISA khuyến nghị các nhà sản xuất áp dụng nguyên tắc thiết kế an toàn và cung cấp mật khẩu đặt trước hoặc vô hiệu hóa chúng, thay vào đó, thúc đẩy việc sử dụng phương thức xác thực đa yếu tố để tăng cường an toàn.
Theo khảo sát từ Kaspersky, 35% sự cố an ninh mạng liên quan đến việc sử dụng mật khẩu yếu và không thay đổi mật khẩu thường xuyên. Điều này làm nổi bật vấn đề nghiêm trọng của việc phụ thuộc vào mật khẩu truyền thống.
Trong bối cảnh này, Google đã chính thức giới thiệu Passkey theo tiêu chuẩn FIDO 2, một giải pháp đáng chú ý cho việc đăng nhập mà không cần mật khẩu truyền thống. Passkey cho phép người dùng sử dụng mã PIN, quét vân tay hoặc khuôn mặt để đăng nhập một cách an toàn và thuận tiện trên trình duyệt Chrome và Android.
Apple cũng đã triển khai tùy chọn mã khóa từ phiên bản iOS 16, cho phép người dùng sử dụng công nghệ này trên một số ứng dụng như Apple Wallet. Trước khi ra Passkey, Google đã áp dụng mã khóa trên Chrome và thiết bị Android từ tháng 10/2022.
Tại Việt Nam, theo công bố Công ty Công nghệ An ninh mạng quốc Gia Việt Nam (NCS) trong năm qua cũng ghi nhận nhiều vụ việc tấn công mã hóa dữ liệu ransomware gây hậu quả nghiêm trọng cũng liên quan đến việc sử dụng mật khẩu yếu, không đủ an toàn. Không chỉ mã hóa dữ liệu nhằm đòi nạn nhân trả tiền chuộc, tin tặc có thể rò rỉ, bán dữ liệu cho bên thứ 3 để tối đa số tiền thu được. Đã có tới 83.000 máy tính, máy chủ ghi nhận bị tấn công bởi mã độc mã hóa dữ liệu, tăng 8,4% so với năm 2022. Đặc biệt, Quý 4 năm 2023 số cuộc tấn công mã hóa dữ liệu tăng mạnh, vượt 23% so với trung bình 3 Quý đầu năm.
Một số cơ sở trọng yếu cũng ghi nhận bị tấn công mã hóa dữ liệu vào thời gian này. Số lượng biến thể mã độc mã hóa dữ liệu xuất hiện trong năm 2023 là 37.500 mã, tăng 5,7% so với năm 2022. Sự ra đời của Passkey đánh dấu một bước tiến quan trọng trong việc thay thế mật khẩu truyền thống. Điều này giúp bảo vệ người dùng khỏi những rủi ro mà mật khẩu thông thường có thể mang lại.
CISA và các tổ chức an ninh mạng đang đưa ra những gợi ý sáng tạo để giảm bớt nguy cơ từ mật khẩu truyền thống và chuyển đổi sang các phương thức bảo mật hiện đại, như Passkey, để bảo vệ tốt hơn an toàn thông tin và hệ thống mạng quan trọng.
Duy Trinh (t/h)