This post is also available in:
English
Trong bối cảnh quản lý mật khẩu đang thay đổi nhanh chóng, những hướng dẫn mới đây từ Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đang thách thức các chuẩn mực lỗi thời, chẳng hạn như việc thay đổi mật khẩu thường xuyên và các yêu cầu phức tạp từng được coi là thiết yếu cho việc bảo mật.
Dù những cập nhật này đã đánh dấu một bước tiến lớn, SSH Communications Security tin rằng đã đến lúc cần một bước đi táo bạo hơn: vượt qua hoàn toàn khái niệm mật khẩu.
Thay đổi góc nhìn về bảo mật mật khẩu
Các hướng dẫn cập nhật của NIST thể hiện một cách tiếp cận mới đối với bảo mật mật khẩu. Chẳng hạn, họ hiện khuyến nghị mật khẩu dài tối thiểu 8 ký tự (hỗ trợ lên đến 64 ký tự) và đề xuất không thay đổi định kỳ trừ khi có bằng chứng về sự xâm phạm. Họ cũng không khuyến khích sử dụng câu hỏi và gợi ý bảo mật, mà thay vào đó là các phương pháp xác thực mạnh hơn, và ủng hộ việc sử dụng trình quản lý mật khẩu để xử lý mật khẩu phức tạp hiệu quả hơn.
Mặc dù những thay đổi này cải thiện bối cảnh bảo mật, chúng tôi tin rằng có một hướng đi tốt hơn— theo cách không dựa vào mật khẩu.
Các khuyến nghị chính trong Hướng dẫn của NIST
Hướng dẫn của NIST bao gồm các khuyến nghị sau:
- Độ dài mật khẩu tối thiểu là 8 ký tự, với ưu tiên là 15 ký tự trở lên.
- Cho phép mật khẩu có độ dài lên đến 64 ký tự.
- Chấp nhận phạm vi rộng các ký tự, bao gồm tất cả các ký tự ASCII, khoảng trắng và thậm chí các ký tự Unicode.
- Tránh các quy tắc về thành phần, như việc pha trộn các loại ký tự, vì điều này tạo thêm phức tạp mà không thực sự tăng cường bảo mật.
- Loại bỏ yêu cầu thay đổi mật khẩu định kỳ, trừ khi nghi ngờ có sự xâm phạm.
- Cấm sử dụng gợi ý có thể truy cập bởi người dùng chưa xác thực.
- Tránh các câu hỏi dựa trên kiến thức cá nhân, chẳng hạn như “Tên thời con gái của mẹ bạn là gì?”
- Đảm bảo xác minh toàn bộ mật khẩu mà không cắt bớt ký tự.
Những thay đổi này đại diện cho một sự chuyển biến tích cực, tránh xa các mật khẩu phức tạp; tuy nhiên, ngay cả những mật khẩu được quản lý tốt nhất vẫn có thể gặp rủi ro.
Tại sao mật khẩu không còn đủ bảo mật
Dù các hướng dẫn của NIST khuyến khích sử dụng trình quản lý mật khẩu và xác thực đa yếu tố (MFA), chúng tôi tin rằng tương lai nằm ở việc loại bỏ mật khẩu hoàn toàn. Mật khẩu, dù được quản lý cẩn thận, vẫn dễ bị tổn thương trước các mối đe dọa như lừa đảo giả mạo, tái sử dụng thông tin đăng nhập, và các vụ vi phạm rò rỉ dữ liệu.
Thực tế, theo IBM, thông tin đăng nhập bị xâm phạm là điểm tấn công ban đầu trong 16% các vụ vi phạm, trong khi Verizon báo cáo rằng gần 38% các vụ vi phạm liên quan đến việc xâm phạm thông tin đăng nhập.
Tại SSH, chúng tôi đang thúc đẩy giới hạn bằng cách kết hợp xác thực sinh trắc học tiên tiến với các kiểm soát ủy quyền mạnh mẽ để truy cập an toàn vào các tài nguyên quan trọng. Cách tiếp cận này tạo ra một mô hình không mật khẩu từ đầu đến cuối cho quản lý truy cập đặc quyền, từ xác minh danh tính người dùng đến phân quyền và quyền hạn trong mỗi phiên làm việc.
Với phương pháp này, người dùng không bao giờ thấy hoặc xử lý thông tin đăng nhập, loại bỏ nhu cầu quản lý chúng. Điều này tạo ra một lớp phòng thủ đa tầng an toàn hơn, có thể mở rộng và thân thiện với người dùng hơn so với các phương pháp dựa trên mật khẩu truyền thống.
Vượt Xa NIST: Hướng Đến Bảo Mật Không Mật Khẩu
Các hướng dẫn của NIST đặt nền móng cho một khung bảo mật an toàn hơn, nhưng tại SSH, chúng tôi đang tiến xa hơn quản lý mật khẩu truyền thống để triển khai các giải pháp không mật khẩu hoàn toàn. Cam kết của chúng tôi là cung cấp bảo mật không chỉ đáp ứng mà còn tái định nghĩa các tiêu chuẩn quy định.
Về DT Asia
DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.
Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.
Cách chúng tôi có thể giúp bạn
Nếu bạn muốn biết thêm về NIST guideline, bạn đang ở đúng nơi, chúng tôi sẵn sàng giúp đỡ! DT Asia là nhà phân phối của SSH, đặc biệt tại Việt Nam và châu Á, các kỹ thuật viên của chúng tôi có kinh nghiệm sâu rộng về sản phẩm và các công nghệ liên quan mà bạn luôn có thể tin tưởng. Chúng tôi cung cấp các giải pháp trọn gói cho sản phẩm này, bao gồm tư vấn, triển khai và dịch vụ bảo trì.
Bấm vào đây để biết thêm thông tin chi tiết: https://dtasiagroup.com/ssh/
