Cách đặt mật khẩu có độ an toàn cao (*)
Người quản trị hệ thống và việc bảo vệ mật khẩu. Đến lúc này, những gì đã trình bày có thể khiến người đọc cho rằng các chương trình bẻ mật khẩu chỉ có thể được sử dụng bởi hacker hay vào các mục đích phạm pháp.
Thật ra không phải như vậy: Các phần chúng có thể được dùng để bảo đảm rằng người dùng đã đặt các mật khẩu tốt. Người quản trị hệ thống có thể sử dụng các chương trình bẻ mật khẩu để kiểm tra độ an toàn của mật khẩu người dùng, sau đó có thể thông báo cho những người dùng đã đặt mật khẩu không an toàn. Một số chương trình bẻ mật khẩu còn có thể gửi e-mail khuyên người dùng thay đổi mật khẩu ngay lập tức nếu nó bị bẻ quá dễ hay quá nhanh. Nên lưu ý rằng không chỉ có người dùng mới mắc lỗi trong việc phá vỡ tính bảo mật của mật khẩu. Người quản trị hệ thống có thể có những tiêu chuẩn khác về mật khẩu cho chính họ so với các người dùng khác. Do phải nhớ nhiều mật khẩu, người quản trị thường chọn mật khẩu dễ nhớ, đơn giản cho nhiều ứng dụng. Điều này rõ ràng tạo nên một chuỗi các điểm yếu nghiêm trọng về bảo mật. Hơn nữa, người quản trị có khả năng bỏ qua các công cụ nâng cao tính an toàn của mật khẩu, nếu họ chọn vì mục đích tiện lợi. Sau hết, người quản trị có thể thường chọn cách nhanh nhất khi cài đặt các phần mềm hay thiết bị và để ngỏ các ứng dụng này với các mật khẩu mặc định. Đây là một lỗi thường xảy ra đến nỗi trên Internet có các “kho” lưu trữ tất cả mật khẩu mặc định, với mục đích ban đầu là để giúp đỡ các nhà quản trị, nhưng có vẻ để giúp các hacker nhiều hơn.
Nâng cao tính an toàn của mật khẩu
Thế nào là các mật khẩu không an toàn? Một cách cụ thể, chúng là những gì có thể tìm thấy trong từ điển: là các từ đơn giản, theo quy tắc và chỉ gồm các mẫu tự. Ví dụ, dùng tên để đặt mật khẩu là không nên.
Một chỗ yếu khác là sử dụng các thông tin liên quan đến cá nhân để đặt mật khẩu như ngày sinh, ngày kỷ niệm, tên người thân... để mật khẩu dễ nhớ hơn. Hacker thường có thể lần ra được các thông tin cá nhân bằng cách sử dụng “mánh khóe” (social engineering) và dùng thông tin đó để bẻ mật khẩu. Đặt mật khẩu bằng các từ tối nghĩa có thể ngăn chặn được nguy cơ này.
Việc đặt mật khẩu không có các từ vẫn dùng hàng ngày và bằng các ký tự khác nhau là rất quan trọng, nhưng vẫn phải đảm bảo tính dễ nhớ. Người dùng nên kết hợp các mẫu tự (cả thường và hoa) với chữ số và ký hiệu khi đặt mật khẩu. Có thể làm được điều này bằng cách trộn lẫn nhiều nhóm ký tự vào nhau gồm: mẫu tự hoa như (như A, B, C,... Z); mẫu tự thường (như a, b, c,... z); chữ số (như 0, 1, 2, 3,... 9); ký tự đặc biệt (như $, #,? , &); các ký tự điều khiển (như µ, £...).
Mật khẩu an toàn có thể tạo bằng cách thay thế các mẫu tự đơn giản bằng các ký tự khác để chúng vẫn có thể dễ nhớ nhưng không có trong từ điển. Ví dụ, “Password” có thể thay thành “Pa55w0rd”. Tuy nhiên, cách này đã lỗi thời, các từ điển đã được tạo để đối phó với kỹ thuật này. Do đó, nếu muốn an toàn người dùng buộc phải sử dụng các tổ hợp của hai hoặc hơn các từ không liên quan tạo thành bởi các ký tự từ một trong năm nhóm kể trên.
Tạo mật khẩu ngẫu nhiên
Tin cậy hơn có thể dùng chương trình tạo mật khẩu ngẫu nhiên để tạo cho người dùng một mật khẩu làm sẵn. Tuy nhiên, do tính ngẫu nhiên các mật khẩu này rất khó nhớ. Và trong nhiều trường hợp, việc đầu tiên mà người dùng làm là ghi mật khẩu vào một mẩu ghi chú và dán trước màn hình. Đó chính là vấn đề vì những người không được phép có thể nhìn thấy mật khẩu. Một lần nữa, giải pháp là cần phải tạo một mật khẩu dễ nhớ nhưng không quá đơn giản để bị bẻ bằng “từ điển”. Điều này hơi khó, đòi hỏi cả óc tưởng tượng lẫn trí nhớ, nhưng đây là bước quan trọng sống còn đối với bảo mật máy tính.
Thường xuyên thay đổi mật khẩu
Bên cạnh việc tạo các mật khẩu khó bẻ, việc thường xuyên thay đổi mật khẩu cũng có tầm quan trọng không kém. Điều này rất cần thiết trong trường hợp ai đó đã hoặc đang tìm cách bẻ mật khẩu của bạn. Trách nhiệm thuộc về người quản trị phải nhắc nhở người dùng thực hiện một cách thường xuyên. Một lựa chọn khác là sử dụng các tính năng hết hạn mật khẩu của hệ điều hành để yêu cầu người dùng phải đổi mật khẩu mới sau một thời gian sử dụng (thường là 30 ngày). Tuy nhiên, người dùng thường phàn nàn các mật khẩu phức tạp khó nhớ và không tuân theo các hướng dẫn. Trong trường hợp đó, người quản trị có thể cho phép mật khẩu phức tạp được sử dụng thời gian lâu hơn trước khi phải thay đổi.
Mật khẩu và chính sách an ninh
Mật khẩu kém không được phát hiện có thể dẫn đến dữ liệu của mọi người bị xâm phạm. Chính sách an ninh của tổ chức bắt buộc phải đề cập đến mọi khía cạnh để đảm bảo an toàn mật khẩu. Trong đó, không chỉ nhấn mạnh đến tầm quan trọng tuyệt đối của các mật khẩu chắc chắn, an toàn và trách nhiệm của từng người dùng trong việc bảo vệ mật khẩu của mình, mà còn phải vạch ra các bước người quản trị hệ thống cần tuân thủ để bảo đảm tính bảo mật của hệ thống khi sử dụng cách bảo vệ bằng mật khẩu.
(*) Xem Báo NLĐ từ số ra ngày 15-1-2002