Với Blockchain, mật khẩu đã lỗi thời

Updated: 23/01/2018 at 18:00

Có thể nói hầu như trên mặt báo hàng ngày đều xuất hiện một vụ truy cập dữ liệu trái phép. Trung bình một người dành hơn 10 tiếng lên mạng mỗi ngày để giao dịch ngân hàng hay trò chuyện với bạn bè. Tuy nhiên, phần lớn các trang web hoặc tài nguyên trực tuyến mà chúng ta sử dụng hàng ngày từ Facebook đến Gmail đều chỉ được bảo mật bằng mật khẩu đơn giản.

Hầu hết các lỗ thủng bảo mật xảy ra do một số nhược điểm của con người. Có thể kể đến mật khẩu quá dễ đoán. Các nghiên cứu cho thấy một con số 10.000 mật khẩu phổ biến nhất ví dụ như 123456 hoặc qwerty, có thể truy cập đến 98 phần trăm tất cả các tài khoản.

Các yếu tố thất bại khác có thể xuất phát từ việc một số người bỏ quên trình duyệt của mình trên máy tính công cộng, viết mật khẩu ra giấy hoặc lưu trong một tệp tin trên máy tính hoặc đơn giản là bị lừa cung cấp dữ liệu đăng nhập.
Mặc dù chúng ta biết nên đặt mật khẩu như thế nào cho an toàn nhưng thường bỏ qua và thay vào đó sử dụng mật khẩu dễ nhớ vì sợ quên nhiều hơn là sợ bị hack.

Xâm nhập trái phép dữ liệu làm nóng mặt báo

Kể từ khi mật khẩu được sử dụng lần đầu tiên vào năm 1961 bởi Viện Công nghệ Massachusetts, đến nay các hệ thống xác thực đã đạt được nhiều tiến bộ đáng kể. Ngày nay máy tính hiện đại sử dụng một hàm băm gọi là “salting”. Tuy nhiên bởi vì có nhiều mật khẩu quá đơn giản và nhiều hệ thống cho phép người dùng đoán nhiều lần nên các hệ thống dựa trên mật khẩu vẫn rất dễ bị hack.

Trong năm 2011, hacker đã đánh cắp 77 triệu mật khẩu Sony PlayStation Network. Trong năm 2012, 400.000 địa chỉ email Yahoo! đã bị tấn công. ICloud của Apple cũng đứng trước nguy cơ bị hack mật khẩu dẫn đến vụ lộ hình ảnh tai tiếng của ngôi sao vào năm 2014. Trong cùng năm đó, năm triệu mật khẩu Gmail đã bị tấn công và công bố trực tuyến. Đây chỉ là một số ví dụ tiêu biểu trong danh sách dài các cuộc xâm nhập dữ liệu lớn nhất thế giới, bạn có thể xem diễn họa của chúng tại đây.

Trình quản lý mật khẩu cũng thất bại

Chính bối cảnh này đã quảng cáo cho các trình quản lý mật khẩu như LastPass hoặc 1Password, giúp người dùng không cần phải ghi nhớ mật khẩu của mình. Các trình quản lý này còn có thể tạo mật khẩu mạnh ngẫu nhiên cho mỗi tài khoản trực tuyến.

Tuy nhiên, tận dụng bên thứ ba dựa trên trang Web để giữ gìn mật khẩu vẫn gặp phải vấn đề bị tấn công, như trường hợp của LastPass vào năm 2015. Nền tảng này mắc lỗ hổng dữ liệu và đã để lộ địa chỉ email, mật khẩu mã hóa và các gợi ý gợi nhớ mật khẩu của người dùng.

Như chúng tôi đã đề cập trong bài viết trước, “LastPass chắc chắn đã thực hiện nhiều biện pháp phòng ngừa an ninh và một số trong đó đã có hiệu quả. Ví dụ: LastPass không bao giờ truy cập vào mật khẩu chủ duy nhất của khách hàng dưới dạng văn bản thuần túy. Thế nhưng họ đã lưu trữ các thông tin khác về người dùng dưới dạng văn bản thuần. Chính các thông tin dễ bị xâm nhập đó được sử dụng để đoán mật khẩu chủ không mạnh của người dùng”.

Tên người dùng và mật khẩu lỗi thời

Thế giới cryptocurrency đã thích ứng khá nhanh đối với các đăng nhập Web không cần mật khẩu. Mọi thứ bắt đầu khi Satoshi Labs cung cấp Trezor Connect đến người dùng, cho phép đăng nhập vào các trang web tham gia chỉ đơn giản bằng cách cắm ví cứng vào.

Mới đây, cộng đồng cryptocurrency cũng đã biểu hiện sự phấn khích dành cho phần mềm Đăng nhập Tin cậy Nhanh đầu tiên trên thế giới (SQRL), nó sử dụng mã QR và mật mã khóa công khai đằng sau Bitcoin nhằm đăng nhập không cần mật khẩu.

Hai hướng phát triển này chứng tỏ rằng tên người dùng và mật khẩu giờ đây đã không còn cần thiết trong các mối quan hệ trực tuyến an toàn giữa khách hàng và máy chủ.

“Anh hùng” giải cứu Blockchain

Một vấn đề lớn hơn chính là cấu trúc tập trung của cơ sở dữ liệu lưu trữ đăng nhập và mật khẩu trên một máy chủ. Có nghĩa là nếu máy chủ bị tấn công thì hacker có thể truy cập đến tất cả các dữ liệu cùng một lúc. Thật không may, ngay cả phương thức Xác thực Hai Yếu tố (2FA) cũng có minh chứng về khả năng bị xâm nhập thông qua phương pháp đột nhập phi kỹ thuật.

REMME là một công ty mới đang nỗ lực đẩy lùi mật khẩu để từ đó loại bỏ yếu tố con người khỏi quy trình xác thực, do đó ngăn chặn các cuộc tấn công như trên. REMME khẳng định rằng cách giải quyết vấn đề của máy chủ trung tâm có thể bị tấn công khiến các cuộc tấn công nguy hiểm như đánh cắp thông tin, xâm nhập máy chủ và mật khẩu và tái sử dụng mật khẩu trở nên vô dụng.

REMME cung cấp cho mỗi thiết bị một chứng nhận SSL cụ thể thay vì mật khẩu. Dữ liệu chứng nhận được quản lý trên Blockchain do đó không thể tồn tại chứng chỉ giả mạo. Với phương pháp này, công ty đã loại bỏ máy chủ xác thực và cơ sở dữ liệu mật khẩu. Kết quả là hacker không có mục tiêu máy chủ trung tâm tiềm năng, nghĩa là không có điểm yếu. REMME khẳng định “sự bảo vệ 100 phần trăm trước các cuộc tấn công thường thấy”.
Theo công ty, cài đặt nhanh gọn giúp “khách hàng tiềm năng tiết kiệm chi phí tích hợp”. Công ty tiếp tục cung cấp phương thức 2FA để đạt mức bảo mật cao hơn với các ứng dụng mà người dùng đã cài đặt và tin tưởng cũng như các ứng dụng di động.

Mục tiêu của hệ thống này là xây dựng cơ chế quản lý Cơ sở hạ tầng Khóa công khai (PKI) bằng Blockchain trên cơ sở tiêu chuẩn x.509. Bộ giải pháp này có thể giúp giải quyết vấn đề thất bại bảo mật ở nhiều nơi, REMME từ đó cũng đang tập trung vào Internet Vạn vật, cơ sở hạ tầng tài chính, các công ty MedTech và Blockchain.

Liệu các quá trình đổi mới như thế này có xuất hiện hay không? Sau tất cả, quan trọng nhất vẫn là số lượng cuộc xâm nhập dữ liệu mà người tiêu dùng sẵn sàng chấp nhận.

Xem thêm

SN_Nour

Tạp chí Bitcoin

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Tháng 7 đánh dấu một cột mốc lịch sử đối với thị trường crypto. Hoạt động giao dịch đã đạt mức kỷ lục, đẩy tổng vốn hóa thị trường toàn cầu vượt mốc 4 nghìn tỷ đô la lần đầu tiên trong lịch sử. Tuy nhiên, đợt tăng giá hưng... ...

XRP sẽ “tăng mạnh” và bước vào giai đoạn khám phá giá nếu kết thúc tháng với mức đóng cửa kỷ lục trong hôm nay, thứ Năm ngày 31/7, theo một nhà phân tích thị trường. Cụ thể, trong bài phân tích mới nhất trên X, trader Egrag Crypto cho... ...

Bitcoin đã phục hồi nhanh chóng vào thứ 5 khi thị trường chuyển từ lo ngại về động thái của Cục Dự trữ Liên bang Hoa Kỳ (Fed) sang phấn khích trước hoạt động tích trữ chiến lược. Bitcoin: Hoạt động tích lũy chiến lược khi kỳ vọng cắt giảm... ...

Những cú điều chỉnh sâu đôi khi chính là cơ hội vàng. Sau khi giảm mạnh trong tuần qua, cả Solana (SOL) và Polygon (POL) đều đang dao động quanh những vùng hỗ trợ kỹ thuật quan trọng – nơi trước đây từng kích hoạt các đợt phục hồi đáng... ...

Ethereum (ETH) vừa trải qua tháng ấn tượng nhất kể từ năm 2022, ghi nhận mức tăng 56%, đánh dấu bước tiến quan trọng trong đà phục hồi của tiền điện tử lớn thứ hai thế giới. Tính đến thời điểm viết bài, ETH hiện đang giao dịch quanh mức... ...

Thị trường crypto vẫn đang dao động mà chưa xác lập được một xu hướng rõ ràng. Tuy nhiên, theo dữ liệu từ Santiment, một số đồng tiền lại nổi bật khi thu hút sự chú ý mạnh mẽ trên các nền tảng mạng xã hội, đặc biệt là Solana... ...

Sau cú bứt phá 190% trong tháng 5, Pi Network (PI) đã nhanh chóng bước vào giai đoạn điều chỉnh sâu, khi làn sóng chốt lời dồn dập kéo giá từ 1,67 USD về chỉ còn 0,4 USD, tương đương mất hơn 75% giá trị. Dù vậy, 0,4 USD vẫn đang... ...

Solana tiếp tục khẳng định vị thế là một trong những altcoin vốn hóa lớn có sức bật bền bỉ nhất, nhờ hưởng lợi từ đợt phục hồi toàn thị trường trong tháng 7. Theo sát đà tăng của Bitcoin, SOL đã vượt ngưỡng 200 USD và đạt đỉnh chu... ...

PUMP – token tiện ích của nền tảng ra mắt memecoin Pump.fun – hiện đang là cái tên tăng trưởng mạnh nhất hôm nay. Trong vòng 24 giờ qua, giá trị của nó đã tăng thêm 30%. Đợt tăng này diễn ra ngay sau khi nền tảng tái khởi động... ...

Một bước ngoặt đang làm rung chuyển cộng đồng crypto: Base Network của Coinbase đã vượt Solana (SOL) về số lượng token được ra mắt hằng ngày. Thực tế, đây là điều mà không chain nào khác làm được trong suốt 2 năm qua. Sự chuyển mình bắt đầu từ... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode