Bẻ khóa mật khẩu bằng Brute Force tốn nhiều thời gian hơn, nhưng đừng vội mừng!

Mặc dù mất nhiều thời gian hơn để crack password so với trước đây bằng Brute Force, các chuyên gia an ninh mạng cảnh báo rằng đây không hẳn là tin vui.

Mức độ an toàn của mật khẩu phụ thuộc trực tiếp vào độ dài và thành phần của nó, bao gồm cả chữ số, chữ cái và ký tự đặc biệt. Mật khẩu càng ngắn và đơn giản, càng dễ bị bẻ khóa trong thời gian ngắn. Ngược lại, mật khẩu dài và phức tạp, kết hợp nhiều yếu tố khác nhau, có thể mất hàng triệu năm để giải mã.

Năm ngoái, một nghiên cứu của Hive Systems đã khiến nhiều người lo ngại khi cho thấy mật khẩu 11 ký tự có thể bị bẻ khóa chỉ trong chớp mắt. Tuy nhiên, tin vui là nghiên cứu mới nhất được công bố năm nay đã chứng minh hiệu quả vượt trội của các thuật toán băm mật khẩu mới theo tiêu chuẩn ngành, điển hình như bcrypt, trong việc bảo vệ mật khẩu được lưu trữ trong cơ sở dữ liệu. Nhờ áp dụng thuật toán bcrypt, cùng mật khẩu 11 ký tự đó giờ đây cần tới 10 giờ để bẻ khóa, tăng độ an toàn lên đáng kể so với trước đây.

Trước đây, nhiều công ty sử dụng mã hóa MD5 để bảo vệ mật khẩu người dùng. Tuy nhiên, phương pháp này đã lỗi thời và không còn đảm bảo an toàn. Do đó, các công ty hiện nay chuyển sang sử dụng bcrypt, một thuật toán mã hóa mạnh mẽ và an toàn hơn nhiều. Theo lời giải thích của Giám đốc điều hành và đồng sáng lập của Hive, Alex Nette, việc áp dụng bcrypt là bước tiến quan trọng trong việc bảo vệ dữ liệu người dùng.

May mắn thay, các trang web và công ty đang dần áp dụng các thuật toán mã hóa mật khẩu mạnh mẽ hơn, khiến việc bẻ khóa mật khẩu trở nên khó khăn hơn. Tuy nhiên, chuyên gia này cũng cảnh báo rằng với sự phát triển không ngừng của công nghệ máy tính, thời gian cần thiết để bẻ khóa mật khẩu sẽ một lần nữa được rút ngắn, tương tự như những gì đã xảy ra trong quá khứ.

Những đánh đổi về mã hóa

Mặc dù việc băm mật khẩu với thuật toán mã hóa mạnh là một biện pháp bảo mật tốt, nó cũng đi kèm với một số nhược điểm nhất định. Nette, một chuyên gia bảo mật, chia sẻ: “Mã hóa khiến mọi thứ trở nên chậm hơn. Bcrypt là một thuật toán băm mật khẩu an toàn, tuy nhiên nếu sử dụng quá nhiều vòng lặp băm, nó có thể ảnh hưởng đến tốc độ đăng nhập trang web hoặc làm cho trang web tải chậm hơn.”

“Theo chuyên gia, việc áp dụng mã hóa tối ưu có thể khiến trang web trở nên khó sử dụng cho người dùng truy cập internet. Do đó, thường phải có sự cân bằng giữa tính bảo mật và trải nghiệm người dùng. Tuy nhiên, ‘chính sự thỏa hiệp này lại có thể tạo cơ hội cho tin tặc tấn công’.”

Theo Jason Soroko, Phó Chủ tịch Sản phẩm cấp cao của Sectigo, nhà cung cấp chứng chỉ kỹ thuật số toàn cầu, Bcrypt mang đến khả năng bảo mật vượt trội so với MD5 nhờ vào hàm băm có độ dài 56 byte so với chỉ 16 byte của MD5. Nhờ vậy, Bcrypt có thể chống lại các cuộc tấn công brute force hiệu quả hơn nhiều.

Mặc dù đã xuất hiện nhiều thuật toán mã hóa mới hơn, MD5 vẫn giữ vị trí nhất định, đặc biệt là trong việc quản lý cơ sở dữ liệu mật khẩu quy mô lớn. Lý do nằm ở kích thước nhỏ gọn và hiệu quả xử lý của nó, theo chia sẻ của ông với Techlade.

Tuy nhiên, việc sử dụng MD5 cũng tiềm ẩn những rủi ro về bảo mật do đã có những lỗ hổng được phát hiện. Do đó, việc cân nhắc kỹ lưỡng trước khi áp dụng MD5 cho các ứng dụng đòi hỏi tính bảo mật cao là vô cùng quan trọng.

Theo MJ Kaufmann, tác giả, giảng viên tại O’Reilly Media và điều hành nền tảng học tập cho chuyên gia công nghệ ở Boston, việc sử dụng thuật toán mã hóa mạnh mẽ hơn đã góp phần gia tăng độ khó cho việc bẻ khóa mật khẩu. Tuy nhiên, ông cũng chỉ ra rằng lợi ích này chỉ dành cho các tổ chức đã cập nhật mã nguồn để áp dụng các thuật toán tiên tiến này.

Do tốn nhiều thời gian và có thể đòi hỏi cập nhật hệ thống đáng kể để tương thích, việc chuyển đổi sang thuật toán mới diễn ra chậm rãi. Nhiều tổ chức có thể sẽ tiếp tục sử dụng các thuật toán cũ trong tương lai gần.

Tình huống xấu nhất cho tin tặc

Theo Kaufmann, trong thời gian gần đây, đã có những tiến bộ đáng kể trong việc bảo vệ dữ liệu. “Các tổ chức cuối cùng đã nhận thức được tầm quan trọng của việc bảo vệ dữ liệu, một phần là do các quy định như GDPR, vốn trao quyền cho người tiêu dùng thông qua các hình phạt nghiêm khắc đối với các công ty vi phạm”, bà giải thích.

Vì vậy, nhiều tổ chức đang tăng cường các biện pháp bảo vệ dữ liệu toàn diện để chuẩn bị cho những quy định có thể xảy ra trong tương lai.

Mặc dù tin tặc có thể mất nhiều thời gian hơn để bẻ khóa mật khẩu, nhưng việc này không còn quan trọng đối với chúng như trước đây. Theo chuyên gia an ninh mạng Kaufmann, “Bẻ khóa mật khẩu không còn là ưu tiên hàng đầu của tin tặc. Chúng thường tìm kiếm những cách thức tấn công dễ dàng hơn, ví dụ như đánh lừa người dùng tiết lộ mật khẩu hoặc lợi dụng mật khẩu bị đánh cắp từ các vụ tấn công khác.”

Mặc dù password bị crack vẫn là mối đe dọa đáng kể, tin tặc ngày càng ưa chuộng các phương thức tấn công tinh vi hơn như lừa đảo trực tuyến (phishing) do sự gia tăng của các tiêu chuẩn mã hóa mật khẩu mạnh mẽ. Theo Adam Neel, kỹ sư dò tìm mối đe dọa tại Critical Start – công ty dịch vụ an ninh mạng quốc gia, các vụ tấn công lừa đảo đang trở nên hấp dẫn hơn do khả năng đánh lừa người dùng tiết lộ thông tin nhạy cảm, bao gồm cả mật khẩu.

Theo chuyên gia chia sẻ với Techlade, tin tặc thường ưu tiên tấn công theo con đường dễ dàng nhất thay vì mất thời gian hàng tháng, thậm chí hàng năm để bẻ khóa mật khẩu thông thường. Nhờ có sự hỗ trợ của AI, kỹ thuật social engineering (kỹ thuật đánh lừa lòng tin) đã trở nên dễ dàng tiếp cận hơn với tin tặc. Nhờ vậy, chúng có thể dễ dàng tạo ra các email và tin nhắn giả mạo tinh vi để đánh lừa người dùng, dụ dỗ họ tiết lộ thông tin nhạy cảm hoặc cài đặt phần mềm độc hại.

Theo Stephen Gates, chuyên gia an ninh mạng tại Horizon3 AI, công ty phát triển giải pháp kiểm thử thâm nhập tự động có trụ sở tại San Francisco, hiện nay tin tặc không cần phải xâm nhập bất hợp pháp vào hệ thống mà chỉ cần sử dụng các tài khoản hợp lệ để thực hiện hành vi tấn công.

Theo chia sẻ của ông với Techlade, việc đánh cắp thông tin đăng nhập qua các lừa đảo mạng (phishing), rò rỉ dữ liệu từ bên thứ ba (bao gồm cả thông tin đăng nhập) và tái sử dụng mật khẩu là vấn đề bảo mật nghiêm trọng nhất mà các tổ chức đang phải đối mặt, tạo cơ hội cho tin tặc xâm nhập vào hệ thống mạng của họ.

Bên cạnh đó, thói quen sử dụng mật khẩu yếu hoặc tái sử dụng cùng một mật khẩu cho nhiều tài khoản của người dùng quản trị đang tạo ra lỗ hổng mà tin tặc đã và đang lợi dụng.

Ngoài ra, ông còn nhấn mạnh rằng một số tài khoản quản trị hoặc CNTT không tuân thủ nghiêm ngặt các quy định về đặt lại mật khẩu và độ dài mật khẩu tối thiểu. Việc quản lý thông tin đăng nhập thiếu chặt chẽ này có thể xuất phát từ việc thiếu hiểu biết về cách thức tin tặc thường lợi dụng những thông tin đăng nhập đơn giản để xâm nhập vào hệ thống và thực hiện các hành vi tấn công nguy hiểm hơn.

Mật khẩu vẫn tồn tại

Việc loại bỏ mật khẩu hoàn toàn tuy được xem là giải pháp tối ưu cho vấn đề bẻ khóa, nhưng lại tiềm ẩn nhiều rủi ro và khó có thể áp dụng trong thực tế. Theo chia sẻ của Darren Guccione, CEO của Keeper Security – một công ty chuyên cung cấp dịch vụ quản lý và lưu trữ mật khẩu trực tuyến tại Chicago: “Mật khẩu đóng vai trò thiết yếu trong hoạt động trên mọi mạng lưới, thiết bị và tài khoản trong cuộc sống hiện đại của chúng ta.”

Mặc dù tiềm năng to lớn, passkey (chìa khóa truy cập) vẫn chưa thể thay thế hoàn toàn mật khẩu trong tương lai gần. Lý do là vì hiện nay, chỉ có một phần nhỏ trang web hỗ trợ passkey, chiếm tỷ lệ không đáng kể so với hàng tỷ trang web đang hoạt động.

Sự áp dụng hạn chế này xuất phát từ nhiều yếu tố:

• Hỗ trợ nền tảng: Các nền tảng cơ bản như trình duyệt web và hệ điều hành cần tích hợp đầy đủ tính năng hỗ trợ passkey.
• Điều chỉnh trang web: Các trang web cần được cập nhật để tương thích với passkey, đòi hỏi sự thay đổi về mặt kỹ thuật.
• Cấu hình người dùng: Việc sử dụng passkey có thể yêu cầu người dùng thực hiện các bước cài đặt và cấu hình ban đầu.

Do đó, trong giai đoạn đầu, passkey sẽ được triển khai song song với mật khẩu, thay vì thay thế hoàn toàn. Việc áp dụng rộng rãi passkey sẽ phụ thuộc vào nỗ lực chung của các bên liên quan, bao gồm nhà phát triển nền tảng, chủ sở hữu trang web và người dùng.

“Mặc dù xu hướng chung hướng đến một tương lai không sử dụng mật khẩu hoặc kết hợp mật khẩu với các phương thức xác thực khác, tuy nhiên, điều này không đồng nghĩa với việc áp dụng cho tất cả mọi trường hợp”, chuyên gia chia sẻ. “Doanh nghiệp cần đánh giá kỹ lưỡng các yếu tố như yêu cầu bảo mật, quy định và nhu cầu của người dùng để lựa chọn và triển khai giải pháp thay thế mật khẩu phù hợp và hiệu quả.”