Mỗi giây có gần 1.000 cuộc tấn công đánh cắp mật khẩu trên thế giới
Mật khẩu đóng một vai trò không thể thiếu trong việc bảo mật thông tin liên lạc, các dữ liệu của các tổ chức, DN nhưng đây lại là một giải pháp không hoàn hảo và chứa đựng nhiều rủi ro cho người dùng như: số lượng mật khẩu ngày càng nhiều, phức tạp, kết hợp với nhiều nền tảng khác nhau từ công việc đến các tài khoản cá nhân; thủ đoạn đánh cắp của các tin tặc ngày càng đa dạng, tinh vi, đặc biệt các hình thức tấn công social engineering (tấn công phi kỹ thuật); việc phụ thuộc vào các thiết bị smart phone để xác thực qua SMS, qua các ứng dụng Authenticator tiềm ẩn rất nhiều rủi ro: thiết bị di động bị hỏng, bị mất sóng, chứa các phần mềm độc hại hay bị đánh cắp, tấn công hoặc giả mạo. Và rất nhiều nguy cơ vẫn đang tiềm ẩn trong hoạt động bảo mật của DN...
Theo số liệu thống kê mới nhất từ Báo cáo Phòng thủ Kỹ thuật số 2022 của Microsoft, mỗi giây trôi qua có tới 1000 cuộc tấn công đánh cắp mật khẩu tài khoản. Số lượng các cuộc tấn công đánh cắp mật khẩu đã tăng lên ước tính khoảng 921 cuộc tấn công mỗi giây, tăng 74% chỉ trong một năm đối với phương pháp xâm nhập chính.
Các cuộc tấn công đánh cắp mật khẩu bao gồm các cuộc tấn công brute force cố gắng bẻ khóa các mật khẩu đơn giản hoặc phổ biến. Những kẻ tấn công cố gắng sử dụng tên người dùng và mật khẩu bị rò rỉ để truy cập vào các tài khoản khác do nạn nhân sở hữu và các cuộc tấn công lừa đảo được thiết kế để lừa nạn nhân chuyển giao thông tin đăng nhập của họ.
Mặc dù, các hình thức xác thực đã cố gắng thay thế việc sử dụng mật khẩu yếu bằng các phương pháp xác thực qua SMS, Smart OTP, email... nhưng vẫn tiềm ẩn nhiều rủi ro và có thể bị tấn công bằng những phương thức hiện đại. Dù cho các DN đã chi tiêu rất nhiều cho việc đảm bảo an toàn thông tin, các cuộc xâm nhập thành công vẫn ngày một tăng cao. An toàn và bảo mật thông tin trở thành vấn đề luôn được các cá nhân và DN quan tâm hàng đầu bởi nó đóng vai trò liên quan tới sự sống còn của các tổ chức, DN.
Thấu hiểu được điều đó, mới đây Hội Tin học TP. Hồ Chí Minh (HCA) đã phối hợp cùng công ty HPT tổ chức thành công chương trình hội thảo "Tấn công có chủ đích (APT): Cách thức tấn công xác thực kiểu mới và giải pháp phòng chống", nhằm giới thiệu một tiếp cận mới, có thể vô hiệu những cuộc tấn công xác thực hiện đại, tránh nguy cơ bị đánh cắp tài khoản định danh và tối ưu chi phí.
Ông Christopher Harrell là diễn giả hàng đầu thế giới về an ninh bảo mật, với hơn 20 năm kinh nghiệm trong lĩnh vực an ninh mạng, từng là giám đốc kỹ thuật bảo mật tại Yahoo và quản lý bảo mật thông tin tại Apple. Hiện nay, với vai trò là Giám đốc công nghệ (CTO) của Yubico, ông Christopher Harrell giám sát chiến lược công nghệ của công ty - giúp người dùng mạng bảo vệ danh tính cá nhân và các DN bảo vệ tài sản trực tuyến.
YubiKey: Giải pháp xác thực chống lừa đảo hiện đại
Tại hội thảo, diễn giả Christopher Harrell đã chỉ ra, mô tả chi tiết cách thức mà các hình thức tấn công mới hiện nay phá vỡ các lớp bảo mật hiện có để có thể đánh cắp tài khoản, gây thiệt hại về tài chính, uy tín của DN như thế nào. Những nguy hiểm từ hành vi đánh cắp tài khoản vẫn đang rình rập, ngày càng tinh vi?
YubiKey là một khóa bảo mật được cung cấp bởi công ty Yubico - nhà cung cấp thiết bị xác thực phần cứng đến từ Thụy Điển với hơn một thập kỷ phát triển các dòng sản phẩm này, được 9/10 công ty công nghệ hàng đầu thế giới tin dùng. Yubikey được sử dụng để xác thực 2 yếu tố (2FA), đa yếu tố và passwordless – xác thực không cần mật khẩu với thao tác chạm để đăng nhập liền mạch và bảo vệ quyền truy cập vào nhiều thiết bị, mạng và dịch vụ trực tuyến, nhờ vậy giúp người dùng đăng nhập tài khoản một cách thuận tiện mà vẫn đảm bảo tính bảo mật.
YubiKey hoạt động trên mọi nền tảng điện toán, với mọi giải pháp quản lý truy cập và hơn 700 ứng dụng. Sản phẩm có mẫu mã đa dạng, phù hợp với từng thiết bị, nhu cầu, hình thức xác thực, tình hình khác nhau của DN.
Những ưu thế nổi bật tạo nên khác biệt của Yubikey đó là "một cho tất cả", tức là DN sử dụng nhiều nền tảng, mỗi nền tảng lại có một hình thức xác thực khác nhau và hàng ngàn các tài khoản khác: mạng xã hội, ngân hàng... Tất cả sẽ trở nên đơn giản hơn với 1 khóa xác thực YubiKey. Mặt khác, khi thiết bị smartphone khi bị mất, các thông tin quan trọng sẽ có thể bị “bẻ khóa” nhưng với YubiKey thì không: Các thông tin sẽ được đảm bảo, không bị rò rỉ hay bị trích xuất vì YubiKey không lưu trữ dữ liệu đăng nhập trên khóa.
Thậm chí, một tài khoản có thể có nhiều hơn 1 khóa bảo mật, các chìa khóa dự phòng sẽ là biện pháp hiệu quả để đảm bảo an toàn sử dụng khi bị rơi mất hoặc đánh cắp mà không mất nhiều thời gian khôi phục phức tạp. Việc xác thực với YubiKey được thực hiện mọi lúc mọi nơi, mọi nền tảng, mọi thiết bị: không cần sạc pin, không sợ bị mất sóng, không phụ thuộc vào smartphone, không phụ thuộc nhà mạng, chống va đập, chống nước
Yubikey không bị điều khiển từ xa mà thông qua kết nối gần và trực tiếp xác thực với trình duyệt hỗ trợ mà không thông qua trung gian, tránh các trường hợp các trang web giải mạo, các email lừa đảo, các link truy cập ảo...
Sau khi chia sẻ những kiến thức, kinh nghiệm của mình trong việc thực hiện bảo mật dữ liệu, ông Christopher Harrell nhấn mạnh chúng ta phải luôn chủ động trong mọi tình huống, cần liên tục cập nhật sự biến đổi trong thế giới bảo mật để kịp thời đưa ra những thay đổi phù hợp, cùng với đó là đẩy mạnh thực hiện các chính sách bảo mật mạnh mẽ để ngăn chặn dữ liệu bị đánh cấp khỏi tổ chức, DN của mình./.
