Có thể nói hầu như trên mặt báo hàng ngày đều xuất hiện một vụ truy cập dữ liệu trái phép. Trung bình một người dành hơn 10 tiếng lên mạng mỗi ngày để giao dịch ngân hàng hay trò chuyện với bạn bè. Tuy nhiên, phần lớn các trang web hoặc tài nguyên trực tuyến mà chúng ta sử dụng hàng ngày từ Facebook đến Gmail đều chỉ được bảo mật bằng mật khẩu đơn giản.
Hầu hết các lỗ thủng bảo mật xảy ra do một số nhược điểm của con người. Có thể kể đến mật khẩu quá dễ đoán. Các nghiên cứu cho thấy một con số 10.000 mật khẩu phổ biến nhất ví dụ như 123456 hoặc qwerty, có thể truy cập đến 98 phần trăm tất cả các tài khoản.
Các yếu tố thất bại khác có thể xuất phát từ việc một số người bỏ quên trình duyệt của mình trên máy tính công cộng, viết mật khẩu ra giấy hoặc lưu trong một tệp tin trên máy tính hoặc đơn giản là bị lừa cung cấp dữ liệu đăng nhập.
Mặc dù chúng ta biết nên đặt mật khẩu như thế nào cho an toàn nhưng thường bỏ qua và thay vào đó sử dụng mật khẩu dễ nhớ vì sợ quên nhiều hơn là sợ bị hack.
Xâm nhập trái phép dữ liệu làm nóng mặt báo
Kể từ khi mật khẩu được sử dụng lần đầu tiên vào năm 1961 bởi Viện Công nghệ Massachusetts, đến nay các hệ thống xác thực đã đạt được nhiều tiến bộ đáng kể. Ngày nay máy tính hiện đại sử dụng một hàm băm gọi là “salting”. Tuy nhiên bởi vì có nhiều mật khẩu quá đơn giản và nhiều hệ thống cho phép người dùng đoán nhiều lần nên các hệ thống dựa trên mật khẩu vẫn rất dễ bị hack.
Trong năm 2011, hacker đã đánh cắp 77 triệu mật khẩu Sony PlayStation Network. Trong năm 2012, 400.000 địa chỉ email Yahoo! đã bị tấn công. ICloud của Apple cũng đứng trước nguy cơ bị hack mật khẩu dẫn đến vụ lộ hình ảnh tai tiếng của ngôi sao vào năm 2014. Trong cùng năm đó, năm triệu mật khẩu Gmail đã bị tấn công và công bố trực tuyến. Đây chỉ là một số ví dụ tiêu biểu trong danh sách dài các cuộc xâm nhập dữ liệu lớn nhất thế giới, bạn có thể xem diễn họa của chúng tại đây.
Trình quản lý mật khẩu cũng thất bại
Chính bối cảnh này đã quảng cáo cho các trình quản lý mật khẩu như LastPass hoặc 1Password, giúp người dùng không cần phải ghi nhớ mật khẩu của mình. Các trình quản lý này còn có thể tạo mật khẩu mạnh ngẫu nhiên cho mỗi tài khoản trực tuyến.
Tuy nhiên, tận dụng bên thứ ba dựa trên trang Web để giữ gìn mật khẩu vẫn gặp phải vấn đề bị tấn công, như trường hợp của LastPass vào năm 2015. Nền tảng này mắc lỗ hổng dữ liệu và đã để lộ địa chỉ email, mật khẩu mã hóa và các gợi ý gợi nhớ mật khẩu của người dùng.
Như chúng tôi đã đề cập trong bài viết trước, “LastPass chắc chắn đã thực hiện nhiều biện pháp phòng ngừa an ninh và một số trong đó đã có hiệu quả. Ví dụ: LastPass không bao giờ truy cập vào mật khẩu chủ duy nhất của khách hàng dưới dạng văn bản thuần túy. Thế nhưng họ đã lưu trữ các thông tin khác về người dùng dưới dạng văn bản thuần. Chính các thông tin dễ bị xâm nhập đó được sử dụng để đoán mật khẩu chủ không mạnh của người dùng”.
Tên người dùng và mật khẩu lỗi thời
Thế giới cryptocurrency đã thích ứng khá nhanh đối với các đăng nhập Web không cần mật khẩu. Mọi thứ bắt đầu khi Satoshi Labs cung cấp Trezor Connect đến người dùng, cho phép đăng nhập vào các trang web tham gia chỉ đơn giản bằng cách cắm ví cứng vào.
Mới đây, cộng đồng cryptocurrency cũng đã biểu hiện sự phấn khích dành cho phần mềm Đăng nhập Tin cậy Nhanh đầu tiên trên thế giới (SQRL), nó sử dụng mã QR và mật mã khóa công khai đằng sau Bitcoin nhằm đăng nhập không cần mật khẩu.
Hai hướng phát triển này chứng tỏ rằng tên người dùng và mật khẩu giờ đây đã không còn cần thiết trong các mối quan hệ trực tuyến an toàn giữa khách hàng và máy chủ.
“Anh hùng” giải cứu Blockchain
Một vấn đề lớn hơn chính là cấu trúc tập trung của cơ sở dữ liệu lưu trữ đăng nhập và mật khẩu trên một máy chủ. Có nghĩa là nếu máy chủ bị tấn công thì hacker có thể truy cập đến tất cả các dữ liệu cùng một lúc. Thật không may, ngay cả phương thức Xác thực Hai Yếu tố (2FA) cũng có minh chứng về khả năng bị xâm nhập thông qua phương pháp đột nhập phi kỹ thuật.
REMME là một công ty mới đang nỗ lực đẩy lùi mật khẩu để từ đó loại bỏ yếu tố con người khỏi quy trình xác thực, do đó ngăn chặn các cuộc tấn công như trên. REMME khẳng định rằng cách giải quyết vấn đề của máy chủ trung tâm có thể bị tấn công khiến các cuộc tấn công nguy hiểm như đánh cắp thông tin, xâm nhập máy chủ và mật khẩu và tái sử dụng mật khẩu trở nên vô dụng.
REMME cung cấp cho mỗi thiết bị một chứng nhận SSL cụ thể thay vì mật khẩu. Dữ liệu chứng nhận được quản lý trên Blockchain do đó không thể tồn tại chứng chỉ giả mạo. Với phương pháp này, công ty đã loại bỏ máy chủ xác thực và cơ sở dữ liệu mật khẩu. Kết quả là hacker không có mục tiêu máy chủ trung tâm tiềm năng, nghĩa là không có điểm yếu. REMME khẳng định “sự bảo vệ 100 phần trăm trước các cuộc tấn công thường thấy”.
Theo công ty, cài đặt nhanh gọn giúp “khách hàng tiềm năng tiết kiệm chi phí tích hợp”. Công ty tiếp tục cung cấp phương thức 2FA để đạt mức bảo mật cao hơn với các ứng dụng mà người dùng đã cài đặt và tin tưởng cũng như các ứng dụng di động.
Mục tiêu của hệ thống này là xây dựng cơ chế quản lý Cơ sở hạ tầng Khóa công khai (PKI) bằng Blockchain trên cơ sở tiêu chuẩn x.509. Bộ giải pháp này có thể giúp giải quyết vấn đề thất bại bảo mật ở nhiều nơi, REMME từ đó cũng đang tập trung vào Internet Vạn vật, cơ sở hạ tầng tài chính, các công ty MedTech và Blockchain.
Liệu các quá trình đổi mới như thế này có xuất hiện hay không? Sau tất cả, quan trọng nhất vẫn là số lượng cuộc xâm nhập dữ liệu mà người tiêu dùng sẵn sàng chấp nhận.
