Mật khẩu mạng bị lộ chỉ vì một bộ phim kinh điển

Chào mừng quay trở lại với chuyên mục PWNED, nơi chúng tôi soi chiếu những lỗ hổng và sơ hở trong bảo mật của các công ty. Nơi đây viết về những ai đã buông lỏng cảnh vệ, thường là vì sự tiện lợi, năng lực kém hoặc đơn giản là sự lười biếng. Câu chuyện buồn hôm nay liên quan đến nhu cầu bảo vệ mạng lưới và những nguy hiểm của một mật khẩu không an toàn.

Câu chuyện của chúng tôi được chia sẻ bởi Roger Grimes, cố vấn CISO (Giám đốc thông tin an toàn) tại công ty bảo mật KnowBe4. Ông kể lại một lần ông cần truy cập vào mạng của khách hàng nhưng lại không có thông tin đăng nhập.

Grimes đang cài đặt phần mềm kế toán cho một khách hàng và kết quả là ông cần phải tắt mạng trong một ngày. Để đảm bảo không làm gián đoạn công việc, ông quyết định đăng nhập vào hệ thống vào ngày thứ Bảy.

Thật không may, ông thiếu mật khẩu quản trị viên cần thiết để gỡ bỏ phần mềm cũ và thêm ứng dụng mới. Vì là cuối tuần, không ai nghe điện thoại công vụ để cung cấp thông tin ông cần, và khả năng cao là ông sẽ phải trì hoãn việc nâng cấp đến cuối tuần sau.

Grimes có thể đã bỏ cuộc ngay tại đó, nhưng ông nảy ra một ý tưởng. Tại sao không thử tìm xem mật khẩu là gì? Tình huống này khiến ông nhớ đến một bộ phim.

"Bạn biết đấy, cảnh mà hacker ngồi trước thiết bị đầu cuối cố gắng đăng nhập, nhưng nạn nhân từ chối đưa ra thông tin đăng nhập. Vì vậy hacker bắt đầu gõ những mật khẩu ngẫu nhiên," ông nói. "Và bạn biết không? Họ đã đoán đúng mật khẩu vào đúng phút chót."

Sau khi thử nhiều mật khẩu, cố vấn này nghĩ về một bộ phim nổi tiếng ông vừa xem: Citizen Kane. Ông quyết định thử "rosebud", và kết quả là thành công.

May mắn thay là người đoán mật khẩu là Grimes, một nhà thầu hợp pháp, thay vì một kẻ xấu nào đó. Chọn mật khẩu từ cốt truyện phim là một ý tưởng tồi và trong trường hợp này, nó còn tệ hơn do thiếu số, chữ in hoa hoặc ký tự đặc biệt trong mật khẩu.

Nếu bạn đang chọn mật khẩu, bạn nên tạo một mật khẩu mạnh là chuỗi các số và chữ cái ngẫu nhiên và sau đó để trình quản lý mật khẩu ghi nhớ nó. Sau đó, đối với chính trình quản lý mật khẩu, hãy cân nhắc một cụm mật khẩu (passphrase) chứa chữ in hoa, ký tự và số như "Shoe-Please6-Wrapped-Carbon-Wear" để bạn có thể cố gắng nhớ nó. Bạn cũng có thể sử dụng cụm mật khẩu cho mật khẩu quản trị của mình — bạn có thể tạo một cái ngẫu nhiên bằng công cụ tạo cụm mật khẩu của Keeper.

Bạn có câu chuyện về ai đó để lại một lỗ hổng lớn trong mạng của họ không? Hãy chia sẻ với chúng tôi. Có thể ẩn danh theo yêu cầu.