Khi các đội ngũ an ninh thảo luận về rủi ro liên quan đến thông tin đăng nhập, trọng tâm thường rơi vào các mối đe dọa như phishing, malware hoặc ransomware. Các phương pháp tấn công này tiếp tục phát triển và đáng được quan tâm. Tuy nhiên, một trong những rủi ro dai dẳng và bị đánh giá thấp nhất đối với an ninh tổ chức lại đơn giản hơn nhiều.
Việc tái sử dụng mật khẩu gần giống nhau tiếp tục lọt qua các biện pháp kiểm soát an ninh, thường không bị chú ý, ngay cả trong các môi trường có chính sách mật khẩu đã được thiết lập.
Tại sao việc tái sử dụng mật khẩu vẫn tồn tại dù có chính sách mạnh mẽ
Hầu hết các tổ chức đều hiểu rằng việc sử dụng cùng một mật khẩu trên nhiều hệ thống sẽ tạo ra rủi ro. Các chính sách bảo mật, khung pháp lý và đào tạo nâng cao nhận thức người dùng luôn khuyến khích không làm điều này, và nhiều nhân viên đã nỗ lực thực sự để tuân thủ. Bề ngoài, điều này cho thấy việc tái sử dụng mật khẩu nên là một vấn đề đang giảm dần.
Trong thực tế, những kẻ tấn công tiếp tục có được quyền truy cập thông qua các thông tin đăng nhập mà về mặt kỹ thuật vẫn đáp ứng yêu cầu chính sách. Lý do không phải lúc nào cũng là việc tái sử dụng mật khẩu một cách trắng trợn, mà là một cách giải quyết tinh vi hơn được gọi là tái sử dụng mật khẩu gần giống nhau.
Tái sử dụng mật khẩu gần giống nhau là gì?
Tái sử dụng mật khẩu gần giống nhau xảy ra khi người dùng thực hiện những thay đổi nhỏ, dễ đoán đối với mật khẩu hiện có thay vì tạo một mật khẩu hoàn toàn mới.
Mặc dù những thay đổi này đáp ứng các quy tắc mật khẩu chính thức, chúng lại ít làm giảm mức độ phơi nhiễm trong thế giới thực. Dưới đây là một số ví dụ điển hình:
- Thêm hoặc thay đổi một số
- Summer2023! → Summer2024!
- Nối thêm một ký tự
- P@ssword → P@ssword1
- Thay đổi ký hiệu hoặc chữ hoa/thường
- Welcome! → Welcome?
- AdminPass → adminpass
Một kịch bản phổ biến khác xảy ra khi các tổ chức cấp mật khẩu khởi tạo tiêu chuẩn cho nhân viên mới, và thay vì thay thế hoàn toàn, người dùng thực hiện các thay đổi tăng dần theo thời gian để duy trì sự tuân thủ. Trong cả hai trường hợp, các thay đổi mật khẩu có vẻ hợp lệ, nhưng cấu trúc cơ bản vẫn còn nguyên vẹn.
Khi trải nghiệm người dùng kém dẫn đến các cách giải quyết rủi ro
Những biến thể nhỏ này dễ nhớ, đó chính là lý do tại sao chúng rất phổ biến. Một nhân viên trung bình được kỳ vọng sẽ quản lý hàng chục thông tin đăng nhập trên các hệ thống công việc và cá nhân, thường có các yêu cầu khác nhau và đôi khi mâu thuẫn. Khi các tổ chức ngày càng phụ thuộc vào các ứng dụng software-as-a-service (SaaS), gánh nặng này tiếp tục tăng lên.
Nghiên cứu của Specops phát hiện rằng một tổ chức 250 người có thể cùng nhau quản lý ước tính 47.750 mật khẩu, làm mở rộng đáng kể bề mặt tấn công. Trong những điều kiện này, việc tái sử dụng mật khẩu gần giống nhau trở thành một cách giải quyết thực tế hơn là một hành động bất cẩn.
Từ góc độ người dùng, một mật khẩu được điều chỉnh cảm thấy đủ khác biệt để đáp ứng kỳ vọng tuân thủ trong khi vẫn dễ nhớ. Những thay đổi nhỏ này thỏa mãn các quy tắc lịch sử mật khẩu và yêu cầu độ phức tạp, và trong tâm trí người dùng, yêu cầu thay đổi mật khẩu đã được thực hiện.
Khả năng đoán trước chính xác là thứ mà kẻ tấn công khai thác
Từ góc độ của kẻ tấn công, tình hình trông rất khác. Những mật khẩu này đại diện cho một mẫu rõ ràng và lặp lại.
Các cuộc tấn công dựa trên thông tin đăng nhập hiện đại được xây dựng dựa trên sự hiểu biết về cách mọi người sửa đổi mật khẩu dưới áp lực, và việc tái sử dụng mật khẩu gần giống nhau được coi là hiển nhiên chứ không phải là một trường hợp ngoại lệ. Đây là lý do tại sao hầu hết các công cụ bẻ khóa mật khẩu và credential stuffing hiện đại được thiết kế để khai thác các biến thể dễ đoán ở quy mô lớn.
Cách kẻ tấn công vũ khí hóa các mẫu mật khẩu
Thay vì đoán mật khẩu một cách ngẫu nhiên, kẻ tấn công thường bắt đầu với thông tin đăng nhập bị lộ trong các vụ rò rỉ dữ liệu trước đây. Các mật khẩu bị rò rỉ này được tổng hợp thành các bộ dữ liệu lớn và được sử dụng làm nền tảng cho các cuộc tấn công tiếp theo.
Các công cụ tự động sau đó áp dụng các phép biến đổi phổ biến như:
- Thêm ký tự
- Thay đổi ký hiệu
- Tăng số
Khi người dùng dựa vào việc tái sử dụng mật khẩu gần giống nhau, các công cụ này có thể di chuyển nhanh chóng và hiệu quả từ tài khoản bị xâm phạm này sang tài khoản khác.
Điều quan trọng là, các mẫu sửa đổi mật khẩu có xu hướng rất nhất quán giữa các nhóm nhân khẩu học người dùng khác nhau. Phân tích mật khẩu của Specops đã nhiều lần chỉ ra rằng mọi người tuân theo các quy tắc tương tự khi điều chỉnh mật khẩu, bất kể vai trò, ngành nghề hay khả năng kỹ thuật.
Sự nhất quán này làm cho việc tái sử dụng mật khẩu, bao gồm cả các biến thể gần giống nhau, trở nên rất dễ đoán và do đó dễ bị kẻ tấn công khai thác hơn. Trong nhiều trường hợp, một mật khẩu đã sửa đổi cũng được tái sử dụng trên nhiều tài khoản, làm tăng thêm rủi ro.
Tại sao các chính sách mật khẩu truyền thống không ngăn chặn được việc tái sử dụng gần giống nhau
Nhiều tổ chức tin rằng họ được bảo vệ vì họ đã thực thi các quy tắc về độ phức tạp của mật khẩu. Những quy tắc này thường bao gồm yêu cầu về độ dài tối thiểu, sự kết hợp của chữ cái viết hoa và viết thường, số, ký hiệu, và các hạn chế về việc tái sử dụng mật khẩu cũ. Một số tổ chức cũng bắt buộc thay đổi mật khẩu thường xuyên để giảm thiểu rủi ro.
Mặc dù các biện pháp này có thể chặn các mật khẩu yếu nhất, nhưng chúng lại không phù hợp để giải quyết vấn đề tái sử dụng mật khẩu gần giống nhau. Một mật khẩu như FinanceTeam!2023 sau đó là FinanceTeam!2024 sẽ vượt qua tất cả các kiểm tra độ phức tạp và lịch sử, nhưng một khi một phiên bản đã được biết, thì phiên bản tiếp theo rất dễ bị kẻ tấn công suy luận. Với một ký hiệu đặt đúng chỗ hoặc một chữ cái viết hoa, người dùng vẫn có thể tuân thủ trong khi vẫn dựa vào cùng một mật khẩu cơ bản.
Một thách thức khác là thiếu sự đồng nhất trong cách các chính sách mật khẩu được thực thi trên môi trường kỹ thuật số rộng lớn hơn của một tổ chức. Nhân viên có thể gặp các yêu cầu khác nhau trên các hệ thống công ty, nền tảng cloud và thiết bị cá nhân vẫn có quyền truy cập vào dữ liệu tổ chức. Những sự không nhất quán này càng khuyến khích các cách giải quyết dễ đoán mà về mặt kỹ thuật tuân thủ chính sách nhưng lại làm suy yếu an ninh tổng thể.
Các bước được khuyến nghị để giảm rủi ro mật khẩu
Giảm rủi ro liên quan đến việc tái sử dụng mật khẩu gần giống nhau đòi inherent phải vượt ra ngoài các quy tắc độ phức tạp cơ bản. An ninh bắt đầu bằng việc hiểu rõ trạng thái thông tin đăng nhập trong môi trường. Các tổ chức cần có khả năng hiển thị để biết liệu mật khẩu có xuất hiện trong các vụ rò rỉ đã biết hay liệu người dùng có đang dựa vào các mẫu tương tự dễ đoán hay không.
Điều này đòi hỏi phải giám sát liên tục dữ liệu rò rỉ kết hợp với phân tích tương tự thông minh, chứ không phải là các kiểm tra tĩnh hoặc một lần. Nó cũng có nghĩa là xem xét và cập nhật các chính sách mật khẩu để chặn rõ ràng các mật khẩu quá giống với các mật khẩu trước đó, ngăn chặn các cách giải quyết phổ biến trước khi chúng trở thành hành vi ăn sâu.
Thu hẹp khoảng cách với các biện pháp kiểm soát mật khẩu thông minh hơn
Các tổ chức bỏ qua khía cạnh cơ bản này của chính sách mật khẩu sẽ tự đặt mình vào tình thế không cần thiết. Specops Password Policy hợp nhất các khả năng này trong một giải pháp duy nhất, cho phép các tổ chức quản lý an ninh mật khẩu một cách có cấu trúc và minh bạch hơn.
Specops Password Policy cho phép quản lý chính sách tập trung, giúp dễ dàng xác định, cập nhật và thực thi các quy tắc mật khẩu trên Active Directory khi các yêu cầu phát triển. Nó cũng cung cấp các báo cáo rõ ràng, dễ hiểu giúp các đội ngũ an ninh đánh giá rủi ro mật khẩu và chứng minh sự tuân thủ. Ngoài ra, công cụ này liên tục quét các mật khẩu Active Directory so với cơ sở dữ liệu gồm hơn 4,5 tỷ mật khẩu bị rò rỉ đã biết.
Bạn quan tâm đến việc hiểu các công cụ nào của Specops phù hợp với môi trường của tổ chức mình? Hãy đặt lịch demo trực tiếp Specops Password Policy ngay hôm nay.
