Vì sao CISA kêu gọi loại bỏ mật khẩu?

CISA (Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ) vừa kêu gọi các nhà sản xuất loại bỏ mật khẩu mặc định trên các hệ thống tiếp xúc với Internet để hạn chế các cuộc tấn công của hacker.

Trong một cảnh báo được công bố vào tuần trước, CISA cho biết Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) đã khai thác các thiết bị công nghệ vận hành bằng mật khẩu mặc định để truy cập vào các hệ thống cơ sở hạ tầng quan trọng ở Hoa Kỳ.

Mật khẩu mặc định đề cập đến tên đăng nhập, mật khẩu được ghi công khai trên các thiết bị, hệ thống… Các tác nhân đe dọa có thể sử dụng những phần mềm chuyên dụng để ghi lại mật khẩu mặc định, sau đó giành quyền quản trị hoặc tiến hành khai thác tùy thuộc vào loại hệ thống.

Đầu tháng này, CISA tiết lộ rằng những kẻ tấn công mạng có liên kết với IRGC đang tích cực nhắm mục tiêu và xâm phạm bộ điều khiển Unitronics Vision do Israel sản xuất thông qua việc sử dụng mật khẩu mặc định ("1111").

"Mật khẩu mặc định đã được biết đến và công bố rộng rãi trên các diễn đàn mở, nơi các tác nhân đe dọa có thể khai thác thông tin tình báo để xâm nhập các hệ thống của Hoa Kỳ," cơ quan này cho biết thêm.

Các nhà sản xuất được khuyến khích tuân theo nguyên tắc thiết kế an toàn và cung cấp mật khẩu thiết lập duy nhất cho sản phẩm, hoặc vô hiệu hóa mật khẩu đó sau một khoảng thời gian đặt trước và yêu cầu người dùng kích hoạt phương thức xác thực đa yếu tố chống lừa đảo (MFA).

Các cuộc tấn công liên quan đến việc khai thác các lỗ hổng bảo mật đã biết (ví dụ: CVE-2018-13379) để lấy thông tin nhạy cảm và triển khai các biện pháp phá hoại phần mềm độc hại.

Theo Kaspersky, 35% sự cố an ninh mạng liên quan đến việc sử dụng mật khẩu yếu và không thay đổi mật khẩu thường xuyên.

Trong hai năm qua, có tới 33% sự cố an ninh mạng tại các doanh nghiệp ở Châu Á - Thái Bình Dương (APAC) xảy ra do nhân viên cố tình vi phạm các quy tắc bảo mật.

Việc nhân viên vi phạm các quy tắc bảo mật của công ty cũng nguy hiểm như các cuộc tấn công của hacker.

Kaspersky đã thực hiện khảo sát với 234 nhân sự từ các tổ chức ở APAC. Kết quả khảo sát cho thấy hành động cố ý vi phạm các quy tắc an ninh mạng của các chuyên gia bảo mật CNTT cấp cao đã gây ra 16% sự cố an ninh mạng, cao hơn 4% so với mức trung bình toàn cầu.

Nhiều công ty đang ngừng sử dụng mật khẩu

Vào tháng 3-2021, Microsoft đã thông báo rằng một số khách hàng có thể sử dụng dịch vụ mà không cần mật khẩu. Quá trình chuyển đổi từ mật khẩu sang các phương pháp xác thực khác hiện đã được các công ty lớn triển khai, đơn cử như Okta, Duo, Google, Apple...

Vừa qua, Google cũng đã chính thức hỗ trợ Passkey, cho phép người dùng đăng nhập không cần mật khẩu trên trình duyệt Chrome và cả Android.

Passkey được giới thiệu lần đầu tiên vào tháng 5-2022 bởi Liên minh FIDO, được Apple và Microsoft hậu thuẫn nhằm mục đích thay thế mật khẩu tiêu chuẩn bằng các khóa kỹ thuật số duy nhất, lưu trữ cục bộ trên thiết bị.

Theo Google, Passkey là sự thay thế an toàn cho mật khẩu và các yếu tố xác thực khác. Chúng không thể được sử dụng lại, không bị rò rỉ khi máy chủ bị tấn công và bảo vệ người dùng khỏi các cuộc tấn công lừa đảo.

Khi đăng nhập vào một trang web hoặc ứng dụng bất kỳ, thay vì nhập mật khẩu, bạn sẽ nhận được lời nhắc nhập mã gồm 6 chữ số từ ứng dụng xác thực, nhấp vào thông báo, vân tay, khuôn mặt…

Vì sao CISA kêu gọi loại bỏ mật khẩu? - 1

Làm thế nào để hạn chế bị tấn công?

- Thay đổi tất cả mật khẩu mặc định cho ứng dụng, hệ điều hành, router, tường lửa, điểm truy cập không dây và các hệ thống khác

- Ngừng sử dụng lại hoặc chia sẻ thông tin xác thực quản trị giữa các tài khoản người dùng/quản trị

- Thực hiện kiểm soát phân tách mạng

- Đánh giá việc sử dụng phần cứng và phần mềm không được hỗ trợ và ngừng sử dụng nếu có thể

- Mã hóa thông tin nhận dạng cá nhân (PII) và dữ liệu nhạy cảm khác