Mật khẩu – lỗ hổng an ninh mạng

Cách đầu tiên các hacker nghĩ đến khi tiến hành xâm nhập vào các hệ thống thông tin, tài khoản cá nhân … không phải là những kỹ thuật cao siêu, mà chỉ đơn giản bắt đầu từ việc thử bằng những mật khẩu thường gặp.

Và đáng buồn thay những mật khẩu kiểu "123456", "abc123", "password", "password1"… vẫn đứng đầu những mật khẩu thường được dùng trên toàn cầu. Vì vậy, mật khẩu hiện vẫn là lỗ hổng an ninh mạng lớn nhất. Theo một số thống kê, lổ hổng từ mật khẩu dễ nhận biết chiếm đến 30% trên tổng số các cuộc tấn công mạng.

Trong các nỗ lực giải quyết vấn đề này, các hệ thống thông tin đã phải yêu cầu người dùng chọn mật khẩu có độ khó cao như tích hợp giữa số và chữ, giữa chữ hoa và chữ thường, dùng ký tự đặc biệt..., đồng thời áp dụng biện pháp xác nhận hai lớp.

Nhưng, khả năng ghi nhớ của con người là hữu hạn và phụ thuộc vào tố chất từng người, nên vẫn rất khó khăn cho việc buộc người dùng đặt và nhớ những mật khẩu có độ phức tạp cao; hoặc nhiều mật khẩu cho nhiều tài khoản khác nhau.

Kỹ thuật Secret sharing

Các chuyên gia an ninh mạng vẫn đang tiếp tục tìm giải pháp để giải quyết bài toán mật khẩu, và một trong những phương án đang được ủng hộ là việc dùng kỹ thuật Chia sẻ thông tin bí mật (Secret sharing).

Kỹ thuật Secret sharing là gì? Bạn đọc hãy nhớ lại hình ảnh "Chiếc cặp hạt nhân" của lãnh đạo các cường quốc hạt nhân được mô tả trong phim ảnh.

Khi cần phải phóng vũ khí hạt nhân, chỉ huy đơn vị đó phải có chìa khóa để kích hoạt vũ khí, nhưng vũ khí chỉ có thể phóng đi khi có chìa khóa thứ hai từ cấp lãnh đạo cao nhất. Nghĩa là thông số kích hoạt phải có từ nhiều nguồn độc lập thay vì chỉ đến từ 1 nguồn đơn lẻ.

Kỹ thuật Secret sharing cũng vậy. Thuật toán này được thiết lập vào năm 1979 bởi hai chuyên gia mật mã cao cấp là Adi Shamir và George Blakely.

Nguyên tắc chia sẽ bí mật của Adi Shamir có thể hiểu một cách đơn giản theo hiện tượng: để xác định 1 đường thẳng phải có được 2 điểm, 1 đường parabol cần 3 điểm… Như vậy một bí mật (một khóa) sẽ được chia thành nhiều phần và để lấy được bí mật đó ra, cần phải tập hợp các phần được chia lại.

Với phương thức trên, hacker sẽ đối diện với rất nhiều khó khăn để xâm nhập, bởi lẽ họ sẽ không đủ thông tin để giải quyết. Nói một cách đơn giản, nếu có phương trình x+y=100 nhưng không có thêm bất kỳ điều kiện bổ sung nào, thì việc tìm ra nghiệm x,y của phương trình trên là không thể do không đủ thông tin.

Bảo mật không mật khẩu

Việc chuyển dịch dần sang các giải pháp bảo mật không mật khẩu đã được các hãng lớn ủng hộ. Đơn cử như ứng dụng Authenticator của Microsoft, ứng dụng này sử dụng cho các tài khoản thuộc hệ thống Microsoft mà không cần phải nhớ những mật khẩu quá dài.

Bên cạnh đó, những giải pháp dùng kỹ thuật Secret sharing như đã nêu bên trên cũng được nghiên cứu ứng dụng, bạn đọc có thể vào đây để tìm hiểu giải pháp không mật khẩu bằng cách sử dụng ứng dụng xác thực trên điện thoại di động.

Sẽ còn rất sớm để nói các giải pháp bảo mật không mật khẩu sẽ thay thế hoàn toàn cho mật khẩu trong tương lai gần, nhưng các nghiên cứu ứng dụng vẫn đang được tiến hành khẩn trương bởi rất nhiều các chuyên gia, công ty an ninh mạng trên thế giới. Bản thân người viết cũng rất mong sẽ sớm có một ngày không cần phải nhớ quá nhiều mật khẩu của thế giới mạng.