Chuyên gia an ninh mạng Weng Haozheng nhận lời phỏng vấn Born để chia sẻ “tin tặc” sẽ đánh cắp mật khẩu mạng như thế nào!

Chuyên gia an ninh mạng翁浩正 đang tham gia phỏng vấn với 曾博恩 để phân tích sâu các vấn đề an ninh mạng hiện nay.翁浩正 cho biết khi trí tuệ nhân tạo ngày càng phổ biến, tin tặc đã có thể sử dụng các công cụ tự động hóa để tìm ra logic và mạch suy nghĩ của con người nhằm xâm nhập tài khoản, điều này khiến các quan niệm phòng thủ an ninh mạng truyền thống phải đối mặt với thách thức nghiêm trọng. Ông nhấn mạnh rằng độ phức tạp của mật khẩu không còn quan trọng nữa; trọng điểm là phải “đặc biệt”, và ông cho rằng cho đến nay biện pháp phòng thủ hữu ích hơn là sử dụng công cụ quản lý mật khẩu bằng “nhận dạng sinh học” hoặc “mã hóa”.

Bóng đèn thông minh cũng sẽ trở thành vũ khí của các quốc gia tấn công?

Trong môi trường phổ cập Internet, như các thiết bị gia dụng như bóng đèn thông minh, cũng có thể trở thành “bước nhảy” để tin tặc phát động các cuộc tấn công mạng quy mô lớn. Nếu người dùng không đổi mật khẩu mặc định hoặc dùng các mật khẩu yếu như “12345678”, tin tặc có thể dễ dàng giành quyền kiểm soát thông qua các công cụ quét tự động.

Một khi quyền kiểm soát bị chiếm đoạt, tin tặc không chỉ nhắm vào chính thiết bị đó, mà còn lấy nó làm căn cứ để ẩn danh tính thật, từ đó phát động tấn công vào các mục tiêu quan trọng như cơ quan quốc phòng hoặc cơ quan chính phủ. Việc này sẽ khiến các lực lượng thực thi pháp luật khi truy vết dấu vết kỹ thuật số trực tiếp nhắm vào địa chỉ IP của người sở hữu thiết bị IoT đó, khiến người dân bình thường vô tình trở thành dê tế thần cho hành vi của tin tặc. Do đa số người dùng thiếu cảnh giác về mức độ an toàn của các thiết bị gia dụng này, các thiết bị thông minh trong nhà đã trở thành một trong những đường tấn công có tính ẩn giấu cực cao trong tội phạm mạng hiện nay.

Mật khẩu càng dài thì hệ thống càng an toàn và tiên tiến!

翁浩正 đưa ra quan điểm phê bình đối với các hệ thống an ninh mạng truyền thống, đặc biệt là các quy định như “định kỳ thay đổi mật khẩu” hoặc “bắt buộc bao gồm ký tự đặc biệt”. Ông nhấn mạnh rằng “độ dài” và “tính không thể đoán trước” của mật khẩu hiệu quả hơn nhiều đối với việc phòng thủ các cuộc tấn công tin tặc trong thời đại hiện nay. Độ dài mật khẩu được khuyến nghị hiện nay nên nằm trong khoảng từ 14 đến 20 ký tự, hoặc dùng cách ghép câu dài; nếu là các trang web từ thời kỳ mạng cũ, các kỹ sư chỉ đặt mật khẩu mặc định trong phạm vi mã 8 ký tự. Khi người dùng áp dụng các mẫu dễ đoán, ví dụ như thêm một dấu chấm than ở cuối mật khẩu gốc, thì trong các kỹ thuật bẻ khóa hiện đại gần như không có năng lực phòng thủ; nguyên nhân chính là tin tặc có thể hiểu logic của người dùng bằng những cách khác. Chẳng hạn, chỉ cần lấy 1234567 và thêm một ký hiệu đặc biệt là dễ dàng tính ra.

Công cụ quản lý mật khẩu, xác thực đa danh tính cân bằng tiện lợi và an toàn

Đối với việc bảo vệ tài khoản cá nhân, chuyên gia khuyến nghị sử dụng công cụ quản lý mật khẩu (Password Manager) và xác thực đa yếu tố (Multi-Factor Authentication, MFA). Công cụ quản lý mật khẩu có thể tạo ra hàng nghìn bộ mật khẩu độc lập và ngẫu nhiên cho các tài khoản khác nhau, tránh hiệu ứng dây chuyền khi một tài khoản đơn lẻ bị xâm nhập. Mặc dù các tin tặc cấp cao có thể cố gắng tìm cách vượt qua xác thực đa yếu tố, nhưng đối với việc chặn các cuộc tấn công lừa đảo tự động do SIM Swapping “đổi SIM” hoặc do AI điều khiển, xác thực đa danh tính vẫn là phương pháp hiệu quả nhất hiện nay để cân bằng tiện lợi và an toàn.

Sự mệt mỏi về tinh thần cũng gây ra lỗ hổng

Trong khi công nghệ an ninh mạng không ngừng tiến hóa, thì sự sơ suất do mệt mỏi tinh thần vẫn là lỗ hổng lớn nhất do con người tạo ra. Trong những năm gần đây, kiểu tấn công Push Fatigue Attack “tấn công mệt mỏi do nhắc nhở/push” thường gặp, tức là kẻ tấn công liên tục gửi hàng loạt yêu cầu xác thực đăng nhập, nhằm khiến nạn nhân trong trạng thái không kiên nhẫn hoặc mất tập trung, theo phản xạ bấm “Đồng ý” hoặc “Cho phép”. Kiểu tấn công nhắm vào đặc điểm hành vi của con người này cho thấy chỉ có phòng thủ kỹ thuật là chưa đủ.

Khi quản lý rủi ro số, người dùng cần có nhận thức tỉnh táo. Với các tài khoản quan trọng hơn (như ngân hàng trực tuyến hoặc email), phải áp dụng cài đặt bảo mật ở cấp cao nhất, chứ không phải đặt tất cả dịch vụ ở cùng một mức độ bảo vệ. Chuyên gia nhắc rằng luôn tồn tại sự cân bằng giữa an toàn và tiện lợi; mối đe dọa lớn nhất thường xuất phát từ sự bỏ qua cấu hình của thiết bị hoặc sự phụ thuộc quá mức vào quy trình thao tác. Đây cũng là điểm yếu mang tính nhân tính mà các công cụ tự động hóa dễ bị vượt qua nhất.

Có thể chọn công cụ quản lý mật khẩu như thế nào

Hiện nay trên thị trường có nhiều giải pháp quản lý mật khẩu khác nhau, bao gồm ứng dụng độc lập (như 1Password) và chức năng lưu trữ tích hợp trong trình duyệt (như các công cụ tích hợp của Google Chrome hoặc Firefox). Mặc dù các công cụ quản lý trong trình duyệt mang lại tính tiện lợi cao, nhưng nếu quyền kiểm soát vật lý máy tính bị người khác chiếm được, sẽ tồn tại rủi ro mật khẩu bị rò rỉ. Công cụ quản lý mật khẩu chuyên nghiệp chỉ cần người dùng ghi nhớ một bộ Master Password “mật khẩu chính” mạnh mẽ; còn quy trình mã hóa phức tạp còn lại do phần mềm xử lý.

Ngoài việc lưu trữ mật khẩu, các công cụ này còn có lợi thế rõ rệt trong việc phòng thủ chống lừa đảo trên mạng (Phishing). Khi người dùng nhập nhầm trang web lừa đảo hoặc trang phishing, công cụ quản lý mật khẩu sẽ từ chối tự động điền thông tin chứng thực do URL (địa chỉ web) không khớp, nhờ đó có thể ngăn hiệu quả việc người dùng do không thể nhận diện bằng mắt thường URL giả mạo mà bị rò rỉ thông tin cá nhân. Chuyên gia nhấn mạnh rằng dù chọn loại phần mềm quản lý uy tín nào, thì mức độ an toàn của nó cũng cao hơn rất nhiều so với thói quen cũ là lặp lại cùng một bộ mật khẩu đơn giản trên nhiều trang web.

Bài viết này Chuyên gia an ninh mạng翁浩正 đã tiếp nhận phỏng vấn của博恩 và chia sẻ “tin tặc” sẽ đánh cắp mật khẩu mạng như thế nào! Lần đầu tiên xuất hiện trên 鏈新聞 ABMedia.