Password Attack
Bài đăng này đã không được cập nhật trong 3 năm
1. What is a password attack?
Cơ chế được sử dụng rộng rãi nhất để xác thực người dùng là mật khẩu. Do đó, password attack là một cuộc tấn công phổ biến và hiệu quả.
Phần lớn các vụ đánh cắp thông tin liên quan đến quyền truy cập tài khoản. Ngay cả thông tin xác thực của người dùng bình thường rơi vào tay kẻ xấu cũng có thể biến thành vũ khí tàn phá toàn bộ hệ thống.
Mật khẩu có thể khó nhớ, đặc biệt nếu bạn tuân theo các quy tắc để tạo một mật khẩu mạnh. Khi nhập mật khẩu cũng khá tốn thời gian, đặc biệt là trên các thiết bị di động với bàn phím nhỏ. Khi cố gắng để sử dụng các mật khẩu khác nhau cho mỗi tài khoản cũng gây bất tiện và mất thời gian. Tuy nhiên, nếu hacker sở hữu mật khẩu của bạn, thời gian bạn mất sẽ nhiều hơn so với việc nhập mật mật khẩu mạnh.
2. Password attack methods
Hacker sở hữu một số phương thức tấn công mật khẩu để phá vỡ xác thực người dùng. Đừng để bản thân bị choáng ngợp, bạn cần hiểu các phương pháp này.
Các phương tiện truyền thông bàn tán về vi phạm bảo mật với hàng triệu thông tin người dùng và mật khẩu được rao bán, do vậy bạn nên hiểu rõ hơn về cách các cuộc tấn công như vậy xảy ra để bảo vệ chính mình.
Dưới đây là các hình thức phổ biến nhất.
Dictionary
Sử dụng dictionary attack là hình thức tấn công bằng cách thử qua nhiều mật khẩu tiềm năng để tìm ra mật khẩu đúng. Danh sách các mật khẩu tiềm năng được lấy trong từ điển và có thể liên quan đến tên người dùng, sinh nhật, sở thích... hay các đơn giản là các từ phổ biến như "password"...
Tất nhiên, điều này không được làm thủ công. Một chương trình máy tính có thể chạy qua hàng triệu từ trong vài giờ.
Kết hợp ngẫu nhiên các từ trong từ điển với nhau sẽ không cứu bạn khỏi cuộc tấn công này nhưng có thể làm thời gian để bẻ khóa mật khẩu lâu hơn.
Từ điển thường là kỹ thuật đầu tiên hacker sử dụng khi cố gắng bẻ khóa.
Hybrid
Bằng cách kết hợp các từ trong từ điển với các số và ký tự (ví dụ: p@$$w0rd123) có thể thoát khỏi dictionary attack nhưng lại rơi vào một cuộc tấn công khác.
Hybrid attack sử dụng kết hợp các từ trong từ điển với các số đứng trước và theo sau chúng, thay thế các chữ cái bằng các số và ký tự đặc biệt.
Brute Force
Brute force là một trong những hình thức phổ biến nhất của password attack và dễ dàng nhất để thực hiện. Brute force thường là biện pháp cuối cùng của hacker nếu các kỹ thuật trước đó thất bại đơn giản vì đây là công cụ tốn nhiều thời gian nhất.
Brute force, hacker sử dụng chương trình máy tính để đăng nhập vào tài khoản của người dùng với tất cả các kết hợp mật khẩu có thể. Các cuộc tấn công thường sẽ bắt đầu bằng với các từ đơn giản, sau đó là các hỗn hợp số, chữ cái và các ký tự bàn phím khác. Có các tập lệnh và ứng dụng được viết riêng cho mục đích này.
Brute force không phải là một quá trình nhanh chóng. Càng nhiều ký tự trong mật khẩu, thời gian bẻ khóa càng lâu.
Một website sử dụng mật khẩu đơn giản với giới hạn 5 ký tự. Sử dụng Crunch để tạo danh sách mật khẩu chỉ với chữ cái, có 12.356.630 giá trị được tạo ra và mất 70 MB để lưu trữ. Nếu thêm các ký tự đặc biệt và chữ số vào hỗn hợp và nó đã tăng kích thước của danh sách từ lên 62 GB.
Với mật khẩu từ 8 đến 12 ký tự, danh sách này có 99.246.106.575.066.880 giá trị, gấp khoảng 8 tỷ lần số so với danh sách trước; mất 1.169.818 TB để lưu trữ. Thêm các chữ số và ký tự đặc biệt vào hỗn hợp, kích thước danh sách tăng khoảng 10 lần.
Traffic Interception
Trong cuộc tấn công này, các công cụ monitor network traffic được sử dụng để chặn mật khẩu khi chúng được truyền qua mạng ở dạng văn bản. Ngay cả mật khẩu được mã hóa cũng có thể được giải mã, tùy thuộc vào độ mạnh của phương thức mã hóa được sử dụng.
Man In the Middle
Trong cuộc tấn công này, hacker chủ động chèn chính nó vào giữa tương tác, thường là bằng cách mạo danh một website hoặc ứng dụng. Điều này cho phép họ nắm bắt thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác.
Các mạng WiFi mở thường không được mã hóa. Với sự trợ giúp của phần mềm miễn phí và có sẵn rộng rãi, hacker có thể dễ dàng theo dõi lưu lượng truy cập Internet của bạn khi bạn lướt web trên WiFi công cộng.
Hacker sẽ chặn lưu lượng giữa thiết bị của bạn và máy chủ. Mỗi trang bạn truy cập, tin nhắn bạn gửi và mật khẩu bạn nhập sẽ chuyển thẳng đến hacker thay vì nhà cung cấp WiFi hợp pháp. Không chỉ mật khẩu mà cả chi tiết thẻ tín dụng và thông tin nhạy cảm khác cũng có thể bị đánh cắp theo cách này.
Mình đã có bài viết trước đó khá chi tiết về hình thức tấn công này, bạn có thể đọc tại đây.
Social Engineering
Social engineering attack đề cập đến một loạt các phương pháp để có được thông tin từ người dùng. Các chiến thuật được sử dụng là:
- Phishing - Emails, văn bản... được gửi để đánh lừa người dùng cung cấp thông tin đăng nhập của họ, nhấp vào liên kết cài đặt phần mềm độc hại hoặc truy cập website giả mạo.
- Spear phishing -Tương tự như phishing nhưng với các email/văn bản được thiết kế tốt hơn, được tùy chỉnh dựa trên thông tin đã được thu thập về người dùng.
- Baiting - Hacker để lại USB hoặc các thiết bị khác bị nhiễm virut hoặc các phần mềm đôc hại ở các địa điểm công cộng với hy vọng chúng sẽ được người dùng tái sử dụng.
- Quid quo pro - Hacker mạo danh ai đó, như nhân viên trợ giúp và tương tác với người dùng sau đó yêu cầu lấy thông tin từ họ.
Social engineering khai thác dựa vào sự cả tin của con người.
Rainbow Table
Hầu hết các hệ thống hiện đại lưu trữ mật khẩu trong một hash. Hash sử dụng công thức toán học để tạo ra một chuỗi ngẫu nhiên, khác hoàn toàn với chuỗi đầu vào. Nếu một hacker nào đó truy cập vào database lưu trữ mật khẩu, thì họ sẽ có thể lấy được mật khẩu được mã hóa dưới dạng hash, hacker không thể đọc được mật khẩu, họ cũng sẽ không thể lạm dụng chúng.
Có vẻ hay và an toàn đúng không? Không phải vậy hash có điểm yếu. Một chiến lược đơn giản để tấn công là hash tất cả các từ trong từ điển và tham chiếu chéo chúng với các mật khẩu được mã hóa. Nếu có một từ khớp, khả năng rất cao đó chính là mật khẩu. Đây chính là hình thức rainbow table attack.
Credential Stuffing
Các password attack khác đều đề cập đến việc hacker chưa sở hữu mật khẩu của người dùng. Tuy nhiên, với credential stuffing thì khác.
Trong một credential stuffing attack, hacker sử dụng tên và mật khẩu bị đánh cắp của một tài khoản trước đó rồi thử trên các tài khoản khác của người dùng.
Credential stuffing nhằm vào xu hướng sử dụng chung mật khẩu cho nhiều tài khoản của người dùng, nếu thành công thì thường đem lại hiệu quả rất lớn. Đây là lý do tại sao việc sử dụng các mật khẩu khác nhau cho mỗi tài khoản và dịch vụ là rất quan trọng. Trong trường hợp một trong số chúng bị xâm phạm và bị rò rỉ, rủi ro đối với bất kỳ tài khoản nào khác sẽ được giảm thiểu.
Credential stuffing attack có cách gọi khác là credential reuse attack.
Password Spraying
Khá giống với hình thức brute force nhưng không được xem là brute force, password spraying thử hàng ngàn có thể là hàng triệu tài khoản cùng một lúc với một vài mật khẩu thường được sử dụng. Trong số đó nếu có một người dùng có mật khẩu yếu, toàn bộ hệ thống có thể gặp rủi ro.
Brute force tập trung vào một vài tài khoản. Ngược lại, password spraying sẽ mở rộng các mục tiêu theo cấp số nhân. Do đó, nó giúp hacker tránh phương thức bảo mật khóa tài khoản khi đăng nhập sai nhiều lần.
Password spraying đặc biệt nguy hiểm đối với các cổng xác thực đăng nhập một lần.
Offline Detection
Việc thu thập thông tin người dùng từ máy tính bị vứt bỏ, thùng rác...; nghe lén khi người dùng chia sẻ mật khẩu của họ với người khác bằng lời nói; đọc ghi chú kẹp trên màn hình máy tính; lướt qua khi người dùng nhập mật khẩu... có thể giúp hacker có được mật khẩu và thông tin đăng nhập người dùng
Malware
Malware khiến người dùng tải xuống hoặc vô tình bị lây nhiễm phần mềm độc hại từ các chương trình có vẻ hợp pháp hóa ra là một cái bẫy. Các phần mềm độc hại này thường được ẩn trong các ứng dụng giả mạo: trò chơi di động, ứng dụng thể dục... Chúng thường hoạt động khá tốt, không có dấu hiệu nhận biết rõ ràng khiến người dùng không nghi ngờ.
Key logger
Hacker cài đặt phần mềm theo dõi tổ hợp phím của người dùng, cho phép hacker thu thập không chỉ tên người dùng và mật khẩu cho tài khoản mà còn có website hoặc ứng dụng mà người dùng đã đăng nhập. Kiểu tấn công này xảy ra sau khi cuộc malware attack được thực hiện.
Key logger attack cài đặt một chương trình trên thiết bị của người dùng để theo dõi tất cả các lần nhấn phím của người dùng. Vì vậy, khi người dùng nhập tên người dùng và mật khẩu của họ, hacker thu thập chúng và sử dụng.
Phương thức này thường triển khai trong một cuộc tấn công hàng loạt nhắm vào toàn bộ tổ chức, nhiều mật khẩu và thông tin đăng nhập của người dùng có thể được thu thập để sử dụng sau.
3. How can you protect yourself?
Mật khẩu mạnh là sự bảo vệ đầu tiên chống lại các password attack. Kết hợp các ký tự viết hoa và viết thường, số và ký tự đặc biệt; tránh sử dụng các từ và cụm từ phổ biến; tránh các từ dành riêng cho website (như tên của website); kiểm tra mật khẩu với từ điển các mật khẩu kém; chúng nên được thay đổi thường xuyên và khác nhau cho mỗi tài khoản.
Giáo dục cũng rất quan trọng. Một trong những biện pháp phòng vệ tốt nhất là dạy cho người dùng cách nhận biết và ngăn chặn các kỹ thuật mà hacker sử dụng.
Tuy nhiên mật khẩu mạnh mẽ và giáo dục thực sự chưa đủ. Sức mạnh tính toán cho phép hacker chạy các chương trình tinh vi để có thể thử số lượng lớn thông tin đăng nhập, nên áp dụng thêm các công cụ như: single sign-on (SSO), multi-factor authentication (MFA).
Dưới đây là các quy tắc cơ bản để giữ an toàn.
Sử dụng ứng dụng tạo mật khẩu ngẫu nhiên
Dictionary attack là một kỹ thuật password attack phổ biến và hiệu quả. Do con người không dễ dàng ghi nhớ các chuỗi ký tự ngẫu nhiên.
Khi bạn tạo một loạt các mật khẩu mặc dù có đảm bảo về độ dài, kết hợp các ký tự khác nhau nhưng chúng lại thường được tạo theo một quy luật nhất định, điều này thật nguy hiểm nếu hacker tìm ra nó.
Thay vì làm thủ công bạn có thể nhờ công nghệ, chúng sẽ thay bạn làm tất cả. Có rất nhiều ứng dụng tạo mật khẩu ngẫu nhiên miễn phí, chỉ cần chọn độ dài của mật khẩu hay bất kỳ yêu cầu đặc biệt nào đó, một mật khẩu mạnh mẽ sẽ được tạo ra.
Hạn chế sử dụng lại mật khẩu
Thông tin đăng nhập của người dùng là mục tiêu hàng đầu của hacker. Vì họ biết rất rõ rằng người dùng có thể tái chế mật khẩu và tệ hơn là chỉ sử dụng một mật khẩu cho tất cả các tài khoản.
Hãy làm theo lời khuyên phía trên trước và bây giờ bạn đã có một ứng dụng tạo mật khẩu ngẫu nhiên, lúc này sẽ không có lý do gì để bạn dùng một mật khẩu duy nhất. Ứng dụng tạo mật khẩu ngẫu nhiên sẽ giúp bạn tạo thật nhiều mật khẩu mạnh mẽ và duy nhất.
Dùng ứng dụng quản lý mật khẩu
Một người trung bình dùng 20 đến 40 mật khẩu. Rất khó khăn để có thể nhớ hàng chục mật khẩu khác nhau, nếu chúng rất dài và vô nghĩa thì việc này lại càng khó. Bạn cần một ứng dụng quản lý mật khẩu.
Ứng dụng quản lý mật khẩu là một chương trình lưu giữ tất cả thông tin đăng nhập của bạn. Bạn chỉ cần nhớ là master key để mở khóa các mật khẩu của bạn.
Bật xác thực hai yếu tố
Mật khẩu dễ bị tổn thương đối với các phương thức password attack và có thể trở thành nạn nhân của một cuộc tấn công.
Cách tốt nhất để giữ an toàn là thêm một lớp bảo mật bổ sung - xác thực đa yếu tố (MFA). Xác thực đa yếu tố là sự kết hợp của mật khẩu và điện thoại hoặc email của bạn.
Đặt tin nhắn SMS làm bước xác thực thứ hai được sử dụng phổ biến nhất.
Xác thực đa yếu tố làm giảm hiệu quả của các phương thức password attack. Nó không hoàn toàn ngăn chặn được tất cả các cuộc tấn công, nhưng nó ngăn chặn được các cuộc tấn công hàng loạt.
Ngay cả khi mật khẩu của một cá nhân bị đánh cắp, hacker sẽ phải đối mặt với một thách thức khó khăn hơn nhiều trong việc vượt qua lớp xác thực thứ 2 để sở hữu quyền truy cập của người dùng. Đồng thời lúc này người dùng cũng nhận được cảnh báo tài khoản có dấu hiệu bị xâm phạm.
Sử dụng VPN khi kết nối với WiFi công cộng
Hạn chế sử dụng WiFi công cộng. Tuy nhiên, nếu dùng thì bạn nên tải VPN về thiết bị của bạn và dùng chúng khi truy cập Internet. VPN sẽ mã hóa lưu lượng truy cập Internet của bạn để các bên thứ ba không thể theo dõi các hoạt động trực tuyến của bạn, mật khẩu và dữ liệu cá nhân của bạn sẽ vẫn an toàn.
Tham khảo
All rights reserved
