Áp dụng hướng dẫn của NIST để cải thiện bảo mật mật khẩu

19 Tháng Tư, 2024 Tech Solutions Security

Khi nói đến việc tạo và bảo mật mật khẩu, nhiều người có xu hướng thực hiện các hành vi xấu, chẳng hạn như mật khẩu dựa trên ngày sinh của họ hoặc sử dụng cùng một mật khẩu cho các tài khoản khác nhau. Những cách thực hành này có thể làm tổn hại đến tính toàn vẹn của mật khẩu của bạn và nói rộng ra là tính bảo mật của hệ thống và dữ liệu mà những mật khẩu đó nhằm bảo vệ. May mắn thay, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã xuất bản một loạt hướng dẫn mà bạn có thể kết hợp vào cách thực hành mật khẩu của mình, đảm bảo an ninh và yên tâm hơn.

NIST là gì?

NIST là cơ quan chính phủ Hoa Kỳ phát triển các số liệu, phép đo và quy định (chẳng hạn như Tiêu chuẩn xử lý thông tin liên bang) để tăng cường độ tin cậy và bảo mật của các công nghệ mới, bao gồm cả công nghệ thông tin. Do đó, các cơ quan liên bang có nhiệm vụ tuân theo các tiêu chuẩn của NIST khi xử lý dữ liệu nhạy cảm.

Mặc dù các tổ chức tư nhân không bắt buộc phải đáp ứng các tiêu chuẩn này nhưng các khuyến nghị của NIST vẫn là một phiếu đánh giá có giá trị để đánh giá tính bảo mật của hệ thống của chính họ. Hơn nữa, vì các nguyên tắc của NIST được quốc tế công nhận nên bạn có thể nuôi dưỡng niềm tin vào tổ chức của mình bằng cách áp dụng chúng.

Khuyến nghị của NIST

Bản cập nhật quan trọng cuối cùng về nguyên tắc mật khẩu của NIST đã được xuất bản vào năm 2020 như một phần của Ấn phẩm đặc biệt của NIST 800-63B, với rất ít thay đổi đáng chú ý kể từ đó. Mặc dù bản thân tài liệu này khá dày đặc về ngôn ngữ và cách diễn đạt, nhưng các đề xuất về mật khẩu của nó có thể được chia thành các phần sau:

Ưu tiên độ dài hơn độ phức tạp

Các nguyên tắc hiện tại của NIST ưu tiên độ dài mật khẩu hơn các tổ hợp ký tự phức tạp như đã được đề xuất trong các ấn phẩm trước đây của NIST. Giờ đây, các tiêu chuẩn của họ yêu cầu mật khẩu do người dùng tạo phải dài ít nhất tám ký tự, trong khi mật khẩu do chương trình tạo (chẳng hạn như với trình tạo mật khẩu và ứng dụng lưu trữ) có thể dài tối thiểu sáu ký tự. Độ dài tối đa trong cả hai trường hợp là 64 ký tự.

Tất cả các ký tự có thể in được đều được phép, bao gồm cả khoảng trắng, cho phép sử dụng các cụm từ duy nhất. Hơn nữa, NIST đặc biệt khuyên bạn không nên sử dụng các số tuần tự (chẳng hạn như “1234”) hoặc các ký tự lặp lại (chẳng hạn như “aaaa”) vì những ký tự này được sử dụng nhiều và dễ dự đoán.

Tránh những mật khẩu thường dùng

Để ngăn chặn các cuộc tấn công mạng, các công ty nên tích cực ngăn chặn những mật khẩu được sử dụng phổ biến, bị xâm phạm hoặc lặp lại. Ngay cả những mật khẩu mạnh, tự tạo cũng có thể gặp rủi ro nếu không được kiểm tra các vi phạm đã biết. Hơn nữa, việc sử dụng lại thông tin xác thực trên các tài khoản cho phép kẻ tấn công khai thác một vi phạm duy nhất để truy cập rộng hơn.

Hãy cân nhắc việc tích hợp phần mềm và công cụ thông báo cho người dùng khi họ tạo mật khẩu yếu hoặc khi mật khẩu yếu được tạo cho họ. Ngoài ra, các công ty nên cảnh báo nhân viên nếu mật khẩu họ chọn xuất hiện trong một vụ rò rỉ dữ liệu và khuyến khích họ tạo mật khẩu mới.

Bỏ gợi ý mật khẩu

Để tăng cường bảo mật, chính sách mật khẩu của tổ chức của bạn phải loại bỏ gợi ý mật khẩu và các câu hỏi xác thực dựa trên kiến thức (KBA), chẳng hạn như “bộ phim yêu thích” hoặc “tên thú cưng”. Trong cả hai trường hợp, thông tin đó có thể dễ dàng có được thông qua các chiến thuật lừa đảo qua mạng hoặc giám sát đơn giản tài khoản mạng xã hội của nhân viên. Thay vào đó, bạn nên tận dụng các quy trình đặt lại và khôi phục mật khẩu sử dụng xác thực đa yếu tố (MFA).

Triển khai MFA

Như đã đề cập ở trên, bạn có thể tăng cường tình trạng bảo mật trực tuyến của mình bằng MFA. Giải pháp bảo mật này bổ sung lớp bảo vệ quan trọng thứ hai, giảm thiểu truy cập trái phép ngay cả khi mật khẩu của bạn bị xâm phạm. Bằng cách yêu cầu yếu tố xác minh bổ sung, chẳng hạn như mã tạm thời được gửi đến thiết bị di động của bạn hoặc xác minh sinh trắc học, MFA khiến tội phạm mạng khó xâm nhập vào tài khoản của bạn hơn theo cấp số nhân.

Thay đổi mật khẩu hàng năm

Trái ngược với quan điểm của họ trước khi xuất bản năm 2020, NIST hiện chỉ khuyến nghị đặt lại hàng năm để duy trì tính bảo mật thay vì thay đổi mật khẩu thường xuyên hơn. Mặc dù việc thực hiện nhiều lần mỗi năm có vẻ trực quan nhưng nó có thể phản tác dụng vì tin tặc thường có thể dự đoán các biến thể nhỏ được sử dụng trong các lần cập nhật mật khẩu thường xuyên. Thay vào đó, NIST khuyên bạn nên tập trung vào việc tạo mật khẩu mạnh, duy nhất và chỉ ưu tiên thay đổi ngay lập tức nếu nghi ngờ có vi phạm.

Đặt giới hạn cho số lần thử mật khẩu

Để ngăn chặn các cuộc tấn công vũ phu, NIST khuyến nghị hạn chế các lần thử đăng nhập. Các cuộc tấn công bạo lực liên quan đến việc tin tặc đoán các kết hợp mật khẩu một cách có hệ thống, do đó, bằng cách hạn chế các lần thử, bạn sẽ khiến chúng khó bẻ khóa mật khẩu của bạn và giành được quyền truy cập trái phép hơn đáng kể.

Hãy trao đổi với một trong các chuyên gia của chúng tôi để tìm hiểu thêm về bảo mật mật khẩu và các cách khác mà bạn có thể bảo vệ các hệ thống quan trọng của mình.