12
Ashley Madison: Một dịch vụ hẹn hò và mạng xã hội trực tuyến ở
Canada, nhắm đến đối tượng là những người đã lập gia đình hoặc đã có bạn
trai/bạn gái. Tháng 7/2015, một nhóm hacker đánh cắp dữ liệu người dùng
của công ty này và phát tán lên mạng.
Trong thế kỷ 21, chúng ta có thể làm tốt hơn. Thực ra là tốt hơn rất nhiều,
với nhiều cách sắp xếp ký tự chữ và số dài hơn, phức tạp hơn nhiều. Nghe
có vẻ khó, nhưng tôi sẽ hướng dẫn bạn cả cách tự động và thủ công để thực
hiện điều đó .
Cách dễ nhất là đừng tự tạo mật khẩu mà hãy tự động hóa quy trình này.
Hiện đã có một số phần mềm quản lý mật khẩu có thể lưu trữ mật khẩu
trong kho chứa có khóa và cho phép bạn truy cập bằng một cú nhấp chuột
khi cần, đồng thời còn tạo ra được những mật khẩu mới, rất mạnh và độc
đáo.
Tuy nhiên, phương pháp này có hai vấn đề cần lưu ý. Một là, các phần mềm
quản lý mật khẩu sử dụng một mật khẩu chính để truy cập. Nếu có kẻ khiến
máy tính của bạn lây nhiễm một phần mềm độc hại và đánh cắp cơ sở dữ
liệu mật khẩu và mật khẩu chính lưu trong đó bằng chương trình keylog
thì trò chơi kết thúc. Khi đó, kẻ này sẽ có quyền truy cập vào tất cả các mật
khẩu của bạn. Trong các dự án kiểm định an ninh, thi thoảng tôi thay thế
phần mềm quản lý mật khẩu bằng một phiên bản sửa đổi để lấy mật khẩu
chính (trong trường hợp đó là phần mềm mã nguồn mở). Điều này được
thực hiện sau khi tôi giành được quyền truy cập vào mạng lưới của khách
hàng bằng vai trò quản trị. Sau đó, tôi sẽ tấn công tất cả các mật khẩu đặc
quyền. Nói cách khác, tôi sẽ sử dụng các phần mềm quản lý mật khẩu làm
cửa sau để lấy chìa khóa xâm nhập.
13
Keylog: Chỉ việc sử dụng phần mềm để ghi lại mọi thao tác trên bàn phím
của người dùng máy tính, đặc biệt là để tiếp cận trái phép mật khẩu và các
thông tin bí mật khác.
Vấn đề thứ hai khá rõ ràng: Nếu để mất mật khẩu chính, bạn sẽ mất tất cả
các mật khẩu còn lại. Nhưng không sao, bởi bạn luôn có thể cài đặt lại mật
