26/09/2022

Các trang web bảo vệ mật khẩu của bạn như thế nào?

Các trang web bảo vệ mật khẩu của bạn như thế nào?

Những ngày này, việc nghe nói về một vụ vi phạm dữ liệu là điều bình thường. Vi phạm có thể xảy ra với một dịch vụ phổ biến như Gmail hoặc một phần mềm mà hầu hết chúng ta đã quên, như MySpace.

Một trong những điều tồi tệ nhất mà hacker có thể tìm ra là mật khẩu của bạn. Điều này đặc biệt đúng nếu bạn đi ngược lại lời khuyên tiêu chuẩn và sử dụng cùng một thông tin đăng nhập trên nhiều nền tảng. Nhưng bảo vệ mật khẩu không chỉ là trách nhiệm của bạn.

Vì vậy, làm thế nào để các trang web lưu trữ mật khẩu của bạn? Làm thế nào để họ giữ thông tin đăng nhập của bạn an toàn? Và phương pháp an toàn nhất mà các trang web có thể sử dụng để theo dõi mật khẩu của bạn là gì?

Trường hợp xấu nhất: Mật khẩu được lưu trữ dưới dạng văn bản thuần túy

Hãy xem xét tình huống này: Một trang web lớn đã bị tấn công. Tội phạm mạng đã phá vỡ bất kỳ biện pháp bảo mật cơ bản nào mà trang web thực hiện và có thể lợi dụng một lỗ hổng trong kiến ​​trúc của trang web. Bạn là khách hàng. Trang web đó đã lưu trữ thông tin chi tiết của bạn. Trang này đảm bảo rằng mật khẩu của bạn được bảo mật. Nhưng điều gì sẽ xảy ra nếu nền tảng web đó lưu trữ mật khẩu của bạn dưới dạng văn bản thuần túy.

Mật khẩu ở dạng văn bản thuần túy giống như một miếng mồi béo bở. Họ không sử dụng các thuật toán để không thể đọc được. Tin tặc có thể đọc mật khẩu đơn giản như cách bạn đang đọc bài viết này.

Không quan trọng mật khẩu của bạn phức tạp như thế nào: Cơ sở dữ liệu văn bản thuần túy là danh sách tất cả mật khẩu của người dùng, được viết rõ ràng, bao gồm bất kỳ số và ký tự bổ sung nào bạn sử dụng.

Và ngay cả khi tin tặc không bẻ khóa trang web, bạn có thực sự muốn một quản trị viên trang web nào đó có thể xem chi tiết đăng nhập bí mật của bạn không?

Bạn có thể nghĩ rằng đây là một vấn đề rất hy hữu, nhưng ước tính có khoảng 30% các trang web thương mại điện tử sử dụng phương pháp này để “bảo mật” dữ liệu khách hàng!

See also  Hướng dẫn thay đổi độ sáng màn hình trên Windows 11

Một cách dễ dàng để tìm hiểu xem một trang web có lưu trữ mật khẩu ở dạng văn bản thuần túy hay không là ngay sau khi bạn đăng ký, bạn sẽ nhận được email từ trang web liệt kê chi tiết đăng nhập của bạn. Trong trường hợp đó, bạn có thể muốn thay đổi bất kỳ trang web nào khác sử dụng cùng mật khẩu và liên hệ với công ty để cảnh báo rằng bảo mật của họ quá kém. Tất nhiên là không thể chắc chắn 100%, nhưng đây là một dấu hiệu khá rõ ràng và trang web thực sự không nên gửi những thứ như vậy trong email.

Mã hóa: Nghe có vẻ tốt, nhưng không hoàn hảo

Nhiều trang web chuyển sang mã hóa để bảo vệ mật khẩu của người dùng. Quá trình mã hóa xáo trộn thông tin của bạn, khiến nó không thể đọc được cho đến khi hai khóa – một do bạn nắm giữ (đó là chi tiết đăng nhập của bạn) và khóa còn lại từ công ty được đề cập – xuất hiện cùng nhau.

Bạn cũng đã sử dụng mã hóa ở nhiều nơi khác. Face ID trên iPhone là một dạng mã hóa. Mật mã cũng vậy. Internet chạy trên mã hóa: HTTPS bạn có thể thấy trong URL có nghĩa là trang web bạn đang truy cập sử dụng giao thức SSL hoặc TLS để xác minh kết nối và tổng hợp dữ liệu. Nhưng trên thực tế, mã hóa không hoàn hảo.

Mã hóa có thể khiến bạn cảm thấy an toàn. Nhưng nếu một trang web đang bảo vệ mật khẩu của bạn bằng mật khẩu của chính họ, thì một tin tặc có thể đánh cắp mật khẩu của trang đó, sau đó tìm mật khẩu của bạn và giải mã nó. Sẽ không mất nhiều thời gian để tin tặc tìm ra mật khẩu của bạn; đó là lý do tại sao các cơ sở dữ liệu lớn luôn là mục tiêu lớn.

Nếu khóa (mật khẩu) của trang web được lưu trữ trên cùng một máy chủ với mật khẩu của bạn, thì mật khẩu của bạn cũng có thể ở dạng văn bản thuần túy.

Hash: Đơn giản đến ngạc nhiên (nhưng không phải lúc nào cũng hiệu quả)

Băm mật khẩu nghe giống như biệt ngữ, nhưng nó chỉ đơn giản là một dạng mã hóa an toàn hơn.

See also  Cách đo nồng độ oxy trong máu (SpO2) trên đồng hồ thông minh

Thay vì lưu mật khẩu dưới dạng văn bản thuần túy, trang web chạy mật khẩu thông qua một hàm băm, như MD5, Thuật toán băm an toàn (SHA) -1 hoặc SHA-256, biến mật khẩu thành một bộ chữ số hoàn toàn khác. Đây có thể là số, chữ cái hoặc bất kỳ ký tự nào khác.

Mật khẩu của bạn có thể là IH3artMU0. Nó có thể biến thành 7dVq $ @ ihT và nếu một hacker đột nhập vào cơ sở dữ liệu, đó là tất cả những gì anh ta có thể thấy. Tin tặc không thể giải mã lại mật khẩu ban đầu.

Thật không may, mọi thứ không an toàn như bạn nghĩ. Điều này tốt hơn so với văn bản thuần túy nhưng vẫn không phải là vấn đề đối với tội phạm mạng.

Điều quan trọng là một mật khẩu cụ thể tạo ra một hàm băm cụ thể. Có một lý do chính đáng cho điều đó: Mỗi khi bạn đăng nhập bằng mật khẩu IH3artMU0, nó sẽ tự động chuyển mã băm đó và trang web cho phép bạn truy cập nếu hàm băm đó và hàm nằm trong cơ sở dữ liệu của trang web trùng khớp.

Đáp lại, tin tặc đã phát triển bảng cầu vồng, tương tự như bảng gian lận. Chúng là danh sách các hàm băm, đã được những người khác sử dụng làm mật khẩu, mà một hệ thống tinh vi có thể nhanh chóng chạy qua, giống như một cuộc tấn công Brute Force.

Nếu bạn đã chọn một mật khẩu thực sự xấu, mật khẩu đó sẽ cao trên bảng cầu vồng và có thể dễ dàng bị bẻ khóa. Mật khẩu phức tạp sẽ mất nhiều thời gian hơn.

Tốt nhất hôm nay: Ướp muối và băm chậm

Ướp muối là một trong những kỹ thuật mạnh mẽ hơn được thực hiện bởi các trang web an toàn nhấtƯớp muối là một trong những kỹ thuật mạnh mẽ hơn được thực hiện bởi các trang web an toàn nhất

Không có gì là bất khả xâm phạm: Tin tặc luôn tích cực làm việc để bẻ khóa bất kỳ hệ thống bảo mật mới nào. Hiện nay, có nhiều kỹ thuật mạnh mẽ hơn được thực hiện bởi các trang web an toàn nhất. Đó là những hàm băm thông minh.

Salted hash dựa trên nonce mật mã, một tập dữ liệu ngẫu nhiên được tạo cho từng mật khẩu riêng lẻ, thường rất dài và phức tạp.

Các chữ số phụ này được thêm vào đầu hoặc cuối mật khẩu (hoặc kết hợp email-mật khẩu) trước khi nó chuyển qua hàm băm, để chống lại các nỗ lực được thực hiện với bảng cầu vồng.

See also  Hướng dẫn thiết lập ứng dụng mặc định để mở file trên Windows 11

Nói chung, không có vấn đề gì nếu các muối được lưu trữ trên các máy chủ giống như hàm băm. Việc bẻ khóa một bộ mật khẩu có thể mất rất nhiều thời gian đối với tin tặc, thậm chí còn khó hơn nếu mật khẩu của bạn phức tạp.

Đó là lý do tại sao bạn nên luôn sử dụng mật khẩu mạnh, cho dù bạn có tự tin vào tính bảo mật của trang web hay không.

Các trang web cũng sử dụng băm chậm như một biện pháp bổ sung. Các hàm băm nổi tiếng nhất (MD5, SHA-1 và SHA-256) đã xuất hiện được một thời gian và được sử dụng rộng rãi vì chúng tương đối dễ thực hiện.

Trong khi vẫn sử dụng muối, các hàm băm chậm thậm chí còn tốt hơn trong việc chống lại mọi cuộc tấn công dựa trên tốc độ. Bằng cách hạn chế tin tặc thực hiện ít lần thử hơn đáng kể mỗi giây, chúng sẽ mất nhiều thời gian hơn để bẻ khóa, do đó làm cho các lần thử ít có giá trị hơn và cũng làm cho tỷ lệ thành công thấp hơn.

Tội phạm mạng phải xem xét liệu nó có đáng tấn công các hệ thống băm chậm tốn thời gian hay không so với “các bản sửa lỗi nhanh”. Ví dụ, các tổ chức y tế thường có mức độ bảo mật thấp hơn, vì vậy dữ liệu thu được ở đó vẫn có thể được bán với số tiền đáng ngạc nhiên.

Nếu một hệ thống đang bị “căng thẳng”, nó có thể chậm hơn nữa. Coda Hale, một cựu nhà phát triển phần mềm của Microsoft, so sánh MD5 với hàm băm chậm đáng chú ý nhất, bcrypt (các hàm khác bao gồm PBKDF-2 và scrypt):

“Thay vì bẻ khóa mật khẩu sau mỗi 40 giây (như với MD5), tôi sẽ bẻ khóa chúng sau mỗi 12 năm hoặc lâu hơn (khi hệ thống sử dụng bcrypt). Mật khẩu của bạn có thể không cần loại bảo mật đó và bạn có thể cần một thuật toán so sánh nhanh hơn, nhưng bcrypt cho phép bạn chọn sự cân bằng giữa tốc độ và bảo mật “.

Và bởi vì một băm chậm vẫn có thể được thực hiện trong vòng chưa đầy một giây, người dùng sẽ không bị ảnh hưởng.