Bạn có thể đã nghe câu nói này hàng trăm lần: “Hãy sử dụng mật khẩu mạnh.” Và bạn nên làm vậy. Tuy nhiên, nếu có một điều tôi học được từ việc nghiên cứu kiểm thử xâm nhập và hacking đạo đức, đó là: mật khẩu mạnh chỉ là một lớp bảo vệ. Tự thân nó không thể ngăn chặn hầu hết các mối đe dọa thực sự ngoài kia. Trong bối cảnh công nghệ phát triển không ngừng, việc chỉ dựa vào một mật khẩu phức tạp có thể tạo ra cảm giác an toàn giả, trong khi hàng loạt các phương thức tấn công tinh vi đang chờ đợi để khai thác điểm yếu của người dùng. Để thực sự an toàn trên không gian mạng, chúng ta cần một chiến lược bảo mật toàn diện hơn, vượt ra ngoài khuôn khổ của một mật khẩu đơn thuần.
Vì sao mật khẩu mạnh chưa phải là giải pháp toàn diện cho bảo mật trực tuyến?
Những kẻ tấn công không phải lúc nào cũng cố gắng “đoán” mật khẩu hoặc tấn công brute-force để đăng nhập vào tài khoản của bạn. Họ thường xuyên bỏ qua hoàn toàn màn hình đăng nhập hoặc lừa bạn tự nguyện trao quyền truy cập. Với kinh nghiệm thực tế trong lĩnh vực an ninh mạng, tôi đã chứng kiến nhiều kịch bản mà ở đó, một mật khẩu hoàn hảo cũng trở nên vô nghĩa. Dưới đây là chín mối đe dọa thực tế mà ngay cả mật khẩu mạnh nhất cũng không thể cứu bạn, cùng với các biện pháp phòng ngừa để bạn luôn đi trước một bước.
Các mối đe dọa bảo mật mà mật khẩu mạnh không thể chống đỡ
Tấn công lừa đảo (Phishing Attacks)
Các cuộc tấn công lừa đảo (phishing) vượt qua cả những mật khẩu mạnh nhất bằng cách nhắm vào yếu tố con người trong bảo mật. Thay vì cố gắng bẻ khóa tài khoản đăng nhập, kẻ tấn công tạo ra các trang web giả mạo trông gần giống hệt các trang hợp pháp, chẳng hạn như một trang đăng nhập ngân hàng giả mạo hoặc một lời nhắc Microsoft 365 giả. Những trang web này thường được gửi qua email hoặc tin nhắn khẩn cấp, đánh lừa bạn hành động nhanh chóng mà không kịp suy nghĩ.
Ngay khi bạn nhập mật khẩu của mình, nó sẽ được gửi ngay lập tức đến kẻ tấn công, kẻ này sau đó sẽ đăng nhập vào tài khoản của bạn mà không cần phải đoán hay sử dụng bất kỳ kỹ thuật khai thác nào. Ngay cả những người dùng có kinh nghiệm cũng có thể mắc bẫy khi mệt mỏi, mất tập trung hoặc vội vàng. Đây là lý do tại sao việc dành thời gian kiểm tra, xác minh URL và sử dụng xác thực hai yếu tố (2FA) hoặc đa yếu tố (MFA) bất cứ khi nào có thể là vô cùng quan trọng. Lớp bảo vệ thứ hai này có thể ngăn mật khẩu bị đánh cắp được sử dụng.
Nút bảo mật trên máy tính với biểu tượng khiên, tượng trưng cho an ninh mạng
Keylogger và Phần mềm độc hại (Malware)
Ngay cả một mật khẩu hoàn hảo cũng sẽ không bảo vệ bạn nếu hệ thống của bạn bị xâm phạm. Trong các môi trường phòng thí nghiệm, tôi đã sử dụng các payload keylogger để âm thầm ghi lại mọi thao tác gõ phím trên một máy tính. Điều đó bao gồm mật khẩu, tin nhắn, URL – mọi thứ. Các công cụ này chạy âm thầm trong nền, thường được đi kèm với các tệp độc hại hoặc được tiêm vào thông qua các plugin lỗi thời.
Một khi được cài đặt, keylogger sẽ ghi lại khoảnh khắc bạn nhập thông tin đăng nhập của mình và gửi chúng cho kẻ tấn công. Hầu hết người dùng không bao giờ nhận ra điều này đang xảy ra. Đó là lý do tại sao việc giữ cho hệ điều hành và phần mềm của bạn được cập nhật, tránh tải xuống không đáng tin cậy và chạy các chương trình bảo vệ điểm cuối (endpoint protection) là các bước phòng thủ cần thiết để duy trì quyền kiểm soát hệ thống của bạn.
Cướp phiên (Session Hijacking)
Ngay cả khi mật khẩu của bạn được bảo vệ chặt chẽ, kẻ tấn công có thể không cần đến nó nếu họ có thể cướp phiên (session hijacking) của bạn. Tôi đã thử nghiệm các kịch bản mà tôi có thể đánh cắp cookie phiên hoặc mã thông báo xác thực (authentication tokens) và sử dụng chúng để mạo danh một người dùng đã đăng nhập. Điều này có nghĩa là kẻ tấn công có thể truy cập mọi thứ bạn đang làm, chẳng hạn như email, ngân hàng và bộ nhớ đám mây, mà không cần chạm vào màn hình đăng nhập.
Các biểu tượng trình duyệt web phổ biến như Chrome, Firefox, Safari và Edge, minh họa các nền tảng dễ bị cướp phiên
Cuộc tấn công này đặc biệt rủi ro nếu bạn sử dụng máy tính công cộng hoặc thiết bị dùng chung và quên đăng xuất. Nó cũng là một mối lo ngại đối với các ứng dụng web được bảo mật kém, không mã hóa mã thông báo phiên hoặc đặt thời gian hết hạn. Một thói quen tốt là đăng xuất sau khi xử lý các tác vụ nhạy cảm, tránh lưu phiên trên các thiết bị công cộng và sử dụng các trình duyệt chặn nội dung không an toàn.
Tấn công xen giữa (Man-In-The-Middle – MitM)
Mặc dù HTTPS đã khiến các cuộc tấn công Man-In-The-Middle (MitM) cổ điển khó thực hiện hơn, chúng vẫn xảy ra trong thực tế, đặc biệt là trên các mạng Wi-Fi không được bảo vệ hoặc trong các môi trường có cấu hình định tuyến sai. Kẻ tấn công có thể định vị mình giữa thiết bị của bạn và internet, chặn hoặc thao túng lưu lượng truy cập khi nó truyền đi.
Một kẻ tấn công MitM có thể tiêm script vào các trang bạn đang truy cập, chuyển hướng bạn đến các trang web độc hại hoặc can thiệp vào các tệp tải xuống. Các điểm phát sóng công cộng là những điểm tấn công phổ biến, đặc biệt khi mạng mở hoặc không xác minh người dùng đã kết nối. Một VPN (Mạng riêng ảo) giúp mã hóa lưu lượng truy cập của bạn trước khi nó rời khỏi thiết bị, và các cảnh báo bảo mật của trình duyệt không bao giờ nên bị bỏ qua. Chúng tồn tại vì một lý do chính đáng.
Ứng dụng Proton VPN đang chạy trên điện thoại di động, giải pháp bảo vệ khỏi tấn công xen giữa qua mạng Wi-Fi công cộng
Nhồi nhét thông tin đăng nhập (Credential Stuffing)
Nhồi nhét thông tin đăng nhập (credential stuffing) rất đơn giản nhưng hiệu quả; kẻ tấn công yêu thích nó vì khả năng mở rộng. Nếu mật khẩu của bạn bị rò rỉ trong một vụ vi phạm dữ liệu trước đây, kẻ tấn công có thể sử dụng các công cụ tự động để thử mật khẩu đó trên các nền tảng khác. Những công cụ này có thể thử hàng nghìn lần đăng nhập mỗi giây, và nếu bạn tái sử dụng mật khẩu trên nhiều tài khoản, việc bị tấn công chỉ là vấn đề thời gian.
Cuộc tấn công này không quan tâm mật khẩu của bạn mạnh đến đâu – nếu nó được tái sử dụng, nó sẽ dễ bị tổn thương. Cách tốt nhất để ngăn chặn nó là sử dụng mật khẩu duy nhất cho mỗi trang web. Một trình quản lý mật khẩu (password manager) giúp việc này trở nên khả thi. Kết hợp điều đó với xác thực hai yếu tố, và đột nhiên những thông tin đăng nhập bị tái sử dụng đó trở nên vô giá trị đối với kẻ tấn công.
Hình minh họa một chiếc khiên với ổ khóa và mật khẩu, biểu trưng cho việc bảo vệ tài khoản khỏi tấn công nhồi nhét thông tin đăng nhập
Lưu trữ mật khẩu không an toàn
Hầu hết các trang web hiện đại đều hash mật khẩu của bạn thay vì lưu trữ chúng dưới dạng văn bản thuần túy, điều này cải thiện đáng kể bảo mật. Hashing là một quá trình một chiều, xáo trộn mật khẩu của bạn thành một chuỗi ký tự có độ dài cố định, khiến việc đảo ngược trở nên khó khăn. Để làm cho các hash khó bẻ khóa hơn nữa, các trang web thêm một cái gọi là salt – một phần dữ liệu ngẫu nhiên được kết hợp với mật khẩu của bạn trước khi hashing. Không có salt, kẻ tấn công có thể sử dụng cơ sở dữ liệu được tính toán trước để tăng tốc các nỗ lực bẻ khóa.
Mặc dù hầu hết các trang web uy tín đã chuyển sang các phương pháp bảo mật tốt hơn, một số hệ thống cũ vẫn sử dụng các hàm hash không an toàn như MD5 hoặc SHA-1, khiến ngay cả mật khẩu mạnh cũng dễ bị tổn thương trong một vụ rò rỉ. Những trang khác có thể quên salting các hash, khiến chúng dễ đảo ngược hơn.
Khi một vụ rò rỉ xảy ra, cách một trang web lưu trữ mật khẩu của bạn sẽ quyết định mức độ khó khăn để kẻ tấn công khôi phục nó. Nếu các hash mạnh và được salting đúng cách, việc bẻ khóa chúng sẽ khó khăn hơn rất nhiều. Nhưng nếu việc lưu trữ yếu kém, mật khẩu của bạn có thể bị lộ nhanh chóng, bất kể độ phức tạp của nó. Đó là lý do tại sao việc sử dụng mật khẩu khác nhau cho mỗi trang web là thông minh. Nó sẽ không cho phép kẻ tấn công truy cập bất cứ thứ gì khác nếu một tài khoản bị xâm phạm. Xác thực hai yếu tố cũng bổ sung một rào cản rất cần thiết, ngay cả khi mật khẩu bị bẻ khóa.
Hệ thống dễ bị tấn công Brute-Force (Brute-Force-Friendly Systems)
Một số hệ thống tạo điều kiện quá dễ dàng cho kẻ tấn công. Tôi đã kiểm tra các biểu mẫu đăng nhập cho phép số lần thử không giới hạn mà không có bất kỳ phản hồi nào, giới hạn tốc độ (rate limiting), khóa tài khoản (account lockout) và không có gì để làm chậm quá trình. Trong thiết lập đó, ngay cả một mật khẩu mạnh cũng trở nên dễ bị tổn thương, đặc biệt nếu kẻ tấn công sử dụng các công cụ như Hydra hoặc Burp Suite Intruder để tự động hóa quá trình đoán.
Điều bảo vệ chống lại điều này không chỉ là mật khẩu của bạn – đó là hệ thống đằng sau nó. Các dịch vụ nên điều tiết các nỗ lực thất bại, gửi cảnh báo cho các lần đăng nhập đáng ngờ và hỗ trợ xác thực hai yếu tố để ngăn chặn truy cập trái phép ngay cả khi mật khẩu cuối cùng bị đoán được.
Lạm dụng tính năng đặt lại mật khẩu (Password Reset Abuse)
Kẻ tấn công không phải lúc nào cũng cố gắng bẻ khóa mật khẩu của bạn; họ chỉ cần đặt lại nó. Nếu ai đó kiểm soát kênh khôi phục của bạn, như email hoặc số điện thoại của bạn, họ có thể chiếm quyền điều khiển tài khoản của bạn mà không cần chạm vào màn hình đăng nhập. Các vụ SIM swapping và lừa đảo email (email phishing) khiến việc này trở nên dễ dàng hơn.
Công cụ tháo SIM cạnh điện thoại thông minh với thẻ SIM hiển thị, minh họa nguy cơ SIM swapping trong lạm dụng đặt lại mật khẩu
Các liên kết đặt lại, khi được gửi qua các kênh không được mã hóa hoặc kết hợp với các câu hỏi bảo mật yếu, sẽ tạo ra một cửa hậu vào tài khoản của bạn. Một số trang web vẫn không thông báo cho bạn khi yêu cầu đặt lại được gửi, điều này khiến việc phát hiện kịp thời trở nên khó khăn hơn. Hãy bảo vệ email khôi phục của bạn bằng xác thực đa yếu tố mạnh, và luôn sử dụng câu trả lời giả cho các câu hỏi bảo mật – những câu trả lời thật thường quá dễ đoán hoặc tìm thấy trực tuyến.
Tấn công phi kỹ thuật (Social Engineering)
Đây là mối đe dọa bất ngờ nhất. Tấn công phi kỹ thuật (social engineering) vượt qua tất cả các biện pháp phòng thủ kỹ thuật bằng cách nhắm trực tiếp vào con người. Kẻ tấn công có thể mạo danh một đồng nghiệp, một nhà cung cấp hoặc bộ phận hỗ trợ kỹ thuật – bất kỳ ai trông có vẻ hợp pháp – để lấy quyền truy cập vào tài khoản của bạn. Đôi khi họ không nhắm vào bạn mà là nhắm vào người có quyền truy cập đến bạn.
Đây là một trong những hình thức tấn công hiệu quả nhất vì nó không dựa vào các lỗ hổng hay công cụ kỹ thuật. Nó dựa vào lòng tin. Bạn có thể bảo vệ mình bằng cách luôn hoài nghi, kiểm tra kỹ danh tính trước khi chia sẻ thông tin và tránh thôi thúc hành động nhanh chóng theo những yêu cầu mang tính cảm xúc hoặc khẩn cấp. Bạn càng nhận thức rõ hơn về cách thức thao túng hoạt động, bạn càng khó bị lừa.
Tăng cường bảo mật: Chiến lược đa lớp cho người dùng hiện đại
Có một mật khẩu mạnh vẫn rất quan trọng, nhưng nó không bao giờ là đủ. Với tư cách là người đã nghiên cứu cách thức hoạt động của những kẻ tấn công, tôi đã học được rằng họ hiếm khi chỉ dựa vào tấn công brute-force. Họ tìm thấy những lỗ hổng kỹ thuật hoặc lỗ hổng con người cho phép họ vượt qua hoàn toàn mật khẩu của bạn. Đó là lý do tại sao bảo mật đa lớp lại quan trọng. Mật khẩu mạnh giúp ích, nhưng chúng phải được hỗ trợ bởi các thói quen tốt, hệ thống được cập nhật và sự hiểu biết vững chắc về cách kẻ tấn công suy nghĩ.
Bạn càng biết nhiều về các rủi ro thực tế, cơ hội để bạn dẫn đầu càng lớn. Hãy bắt đầu từ hôm nay bằng cách rà soát lại tất cả các tài khoản quan trọng và áp dụng các biện pháp bảo mật nâng cao được đề xuất.
Để cập nhật thêm các thông tin và thủ thuật bảo mật công nghệ mới nhất, hãy thường xuyên ghé thăm tincongnghemoi.com. Bạn có ý kiến hay kinh nghiệm nào muốn chia sẻ về vấn đề này không? Hãy để lại bình luận phía dưới nhé!
