Không lâu sau khi giáo sư Lorrie Cranor của Đại học Carnegie Mellon trở thành trưởng nhóm công nghệ của Ủy Ban Thương mại Liên bang (FTC Federal Trade Commission) vào tháng Một vừa qua, bà đã bị ngạc nhiên khi đọc được một tweet lời khuyên về bảo mật từ văn phòng cơ quan của mình.
Lời khuyên đó cho biết “Khuyến khích những người thân của mình đổi mật khẩu thường xuyên, hãy làm nó dài, mạnh và độc đáo.” Một lời khuyên thường thấy về mật khẩu, nhưng bà Cranor lại đang thách thức tính chính xác của nó.
Nguyên nhân đằng sau lời khuyên này là do trong hệ thống mạng của một tổ chức có thể có những kẻ tấn công ở bên trong, vốn vẫn chưa bị phát hiện.
Việc đổi mật khẩu thường xuyên có thể sẽ ngăn chặn được những kẻ đó. Nhưng với một Giáo sư đại học, người tập trung vào bảo mật, bà Cranor nhận ra rằng lời khuyên đó là có vấn đề vì một vài nguyên nhân sau đây.
Đầu tiên, một loạt các nghiên cứu cho thấy rằng việc đổi mật khẩu thường xuyên sẽ làm việc an ninh trở nên tồi tệ hơn.
Nếu việc lặp lại lời khuyên đó dựa nhiều vào sự mê tín hơn các dữ liệu chính xác là chưa đủ tồi tệ, thì theo tweet nói trên, mọi việc sẽ còn khó chịu hơn nữa khi tất cả sáu mật khẩu của chính phủ mà bà sử dụng sẽ phải thay đổi sau mỗi 60 ngày.
“Tôi thấy cái tweet đó và nói, “Tại sao FTC phải đi xung quanh chúng ta và nói với mọi người rằng hãy thay đổi mật khẩu của họ?””
Bà cho biết trong một bài phát biểu tại hội nghị an ninh Bsides ở Las Vegas. “Tôi vào trang mạng xã hội của mọi người và hỏi họ điều đó. Họ nói, “Đó hẳn là lời khuyên tốt vì tại FTC chúng tôi thay đổi mật khẩu mỗi lần sau 60 ngày.””
Cranor cuối cùng đã tiếp cận được với Giám đốc thông tin và Giám đốc an ninh thông tin cho FTC và bảo với họ về điều mà ngày càng nhiều các chuyên gia an ninh tin tưởng.
Đó là thường xuyên thay đổi mật khẩu sẽ có rất ít tác dụng trong việc cải thiện an ninh và rất có thể sẽ làm cho an ninh trở nên kém hơn, do nó khuyến khích mọi người sử dụng các mật khẩu dễ bị đoán ra.
Vị CIO (giám đốc thông tin) sau đó đã yêu cầu được xem nghiên cứu ủng hộ quan điểm đó, và bà Cranor đã rất vui mừng khi đưa ra.
Hầu hết dữ liệu xuất phát điểm cho ý kiến này đến từ một tài liệu được công bố vào năm 2010 bởi các nhà nghiên cứu từ Đại học Bắc Carolina tại Chapel Hill.
Các nhà nghiên cứu đã thu được các đoạn hash mã hóa từ 10.000 tài khoản đã hết hạn, trước đây từng thuộc về các nhân viên của trường đại học, các giảng viên hoặc sinh viên, những người được yêu cầu phải đổi mật khẩu thường xuyên sau mỗi 3 tháng.
Dữ liệu mà các nhà nghiên cứu có được không chỉ là mật khẩu mới nhất được sử dụng, mà còn các mật khẩu đã từng được sử dụng theo thời gian.
Bằng việc nghiên cứu dữ liệu này, các nhà nghiên cứu xác định các kỹ thuật phổ biến mà người nắm giữ tài khoản thường sử dụng mỗi khi họ được yêu cầu đổi mật khẩu.
Một mật khẩu ví dụ như “tarheels#1” (không bao gồm dấu ngoặc kép) thông thường sẽ trở thành “tArheels#1” sau lần đổi đầu tiên, “taRheels#1” sau lần đổi thứ hai và cứ tiếp tục như vậy.
Hoặc nó cũng có thể được đổi thành “tarheels#11” ở lần đổi đầu tiên và “tarheels#111” ở lần đổi thứ hai. Một kỹ thuật phổ biến khác là đánh thứ tự theo chữ số để biến nó thành “tarheels#2”, “tarheels#3” và cứ tiếp tục như vậy.
“Các nhà nghiên cứu của trường UNC cho rằng nếu mọi người phải đổi mật khẩu sau mỗi 90 ngày, họ có xu hướng sử dụng một mô hình và họ sẽ làm việc mà chúng ta gọi là sự biến đổi.”
Cranor giải thích. “Họ sử dụng mật khẩu cũ của mình, thay đổi một vài chi tiết nhỏ nào đó, và họ sẽ có một mật khẩu mới.”
Các nhà nghiên cứu sử dụng những sự biến đổi họ chưa khám phá ra để phát triển một thuật toán, có thể giả định các thay đổi với độ chính xác cao. Sau đó họ mô phỏng việc bẻ khóa trong thế giới thực để xem chúng hiệu quả như thế nào.
Trong các cuộc tấn công trực tuyến, khi kẻ tấn công cố gắng đoán càng nhiều càng tốt trước khi hệ thống mạng bị tấn công chặn chúng lại, thuật toán bẻ khóa được 17% các tài khoản trong vòng chưa đến 5 lần thử.
Còn với các cuộc tấn công offline, việc bẻ khóa được thực hiện trên các bảng băm phục hồi được và sử dụng các máy tính siêu nhanh, 41% các mật khẩu được thay đổi bị bẻ khóa trong vòng 3 giây.
Một nghiên cứu độc lập từ Đại học Carleton cung cấp một phép biểu diễn bằng toán học cho thấy mật khẩu thay đổi thường xuyên chỉ gây cản trở cho những kẻ tấn công ở mức tối thiểu và có lẽ không đủ để bù đắp sự bất tiện mà người dùng cuối phải gánh chịu.
Trong vài năm qua, các tổ chức bao gồm Viện quốc gia về Tiêu chuẩn và Công nghệ ở Mỹ và Cơ quan chính phủ Anh CESG cũng kết luận rằng việc bắt buộc thay đổi mật khẩu thường không hiệu quả hoặc phản tác dụng.
Và bây giờ, nhờ bà Cranor, FTC đã bắt đầu nghĩ về điều này. Nhưng cũng đừng tin rằng mọi người sẽ từ bỏ việc thay đổi mật khẩu thường xuyên.
“Tôi vui mừng thông báo rằng với hai trong số sáu mật khẩu chính phủ của tôi, giờ tôi không phải thay đổi chúng nữa.” Cranor nói. “Chúng tôi vẫn đang làm việc với phần còn lại.”
Tham khảo Arstechnica