Bảo mật các tài khoản thế nào trước khả năng hack mật khẩu của AI?

12 giờ trướcBài gốc

Bảo mật 2 lớp cũng không an toàn?

Các chuyên gia an ninh mạng vừa phát hiện ra công cụ lừa đảo "Astaroth" có khả năng vượt qua lớp bảo mật 2FA – một biện pháp xác minh danh tính được áp dụng rộng rãi trên các nền tảng như Google, Microsoft hay Yahoo.

Bảo mật tài khoản trước khả năng đoán biết của AI là thử thách với người dùng.

Hình thức 2FA, vốn được đánh giá là "vũ khí" phòng ngừa tội phạm khi yêu cầu người dùng xác thực qua mật khẩu dùng một lần (OTP) được gửi qua SMS, email hoặc ứng dụng xác thực, giờ đây không còn an toàn khi tin tặc lợi dụng công nghệ để gửi liên kết giả mạo, hướng người dùng đến trang đăng nhập hoàn toàn nhại lại giao diện thật. Các chuyên gia an ninh mạng của công ty SlashNext là những người đầu tiên phát hiện ra công cụ mới này, có khả năng vượt qua xác thực hai yếu tố trên các tài khoản Google, Microsoft và Yahoo.

Theo đó, để vượt qua xác thực 2 yếu tố, tin tặc gửi một liên kết lừa đảo đến người dùng, hướng họ đến một trang đăng nhập giả mạo hoàn toàn bắt chước giao diện thực của nền tảng mục tiêu. Khi người dùng nhập thông tin đăng nhập và mã bí mật của họ, thông tin này sẽ ngay lập tức bị tội phạm mạng nắm bắt và chiếm đoạt tài khoản.

Điều khiến Astaroth đặc biệt nguy hiểm là khả năng chặn mã xác thực 2 yếu tố theo thời gian thực. Theo SlashNext, bộ sản phẩm hoàn chỉnh được bán trên Dark Web (phần ẩn của Internet không được lập chỉ mục bởi các công cụ tìm kiếm thông thường, nơi giao dịch thường diễn ra ẩn danh) với giá 2.000 USD.

Các chuyên gia khuyến cáo, ngoài việc hết sức cảnh giác và không nhấp vào các liên kết từ người gửi không rõ danh tính, người dùng nên chuyển sang các giải pháp bảo mật tiên tiến hơn như passkey, dấu vân tay, nhận dạng khuôn mặt hay mã xác thực lưu trên thiết bị từ các nhà cung cấp lớn như Apple, Google và Microsoft.

Bảo mật 2 lớp còn được viết tắt là 2FA (2-factor authentication) là việc thêm 1 bước xác thực trong quá trình đăng nhập. Ví dụ, trong quá trình thanh toán dựa trên thẻ tín dụng, ngoài việc cung cấp thẻ vật lý, chúng ta cần phải cung cấp thêm ZIP code để xác thực và hoàn thành giao dịch.

Bảo mật 2 lớp giúp bảo vệ tốt thông tin xác thực và tài nguyên của người dùng, với mức độ bảo mật cao hơn so với xác thực 1 yếu tố (thường là xác thực qua mật khẩu). Phương thức bảo mật 2 lớp vừa yêu cầu người dùng cung cấp mật khẩu, vừa yêu cầu người dùng cung cấp các mã xác thực hoặc quét vân tay, nhận dạng khuôn mặt.

Phương pháp bảo mật 2 lớp có thêm 1 lớp bảo mật cho quy trình xác thực, khiến hacker hoặc kẻ xấu khó truy cập vào tài khoản của người dùng hoặc doanh nghiệp. Phương pháp này đã được dùng để kiểm soát quyền truy cập vào các dữ liệu quan trọng hoặc hệ thống doanh nghiệp. Nhiều nhà cung cấp dịch vụ online đã sử dụng 2FA để bảo vệ thông tin đăng nhập của người dùng.

AI tìm ra mọi mật khẩu?

Theo ông Vũ Ngọc Sơn, Trưởng ban Công nghệ và Hợp tác Quốc tế (Hiệp hội An ninh mạng Quốc gia), người dùng Việt thường có nhiều tài khoản, từ tài khoản email, thương mại điện tử, mạng xã hội… Việc sử dụng chung mật khẩu cho các tài khoản cũng phổ biến.

Bên cạnh đó, việc ngày càng có nhiều thông tin cá nhân của người dùng bị lộ lọt như tên, tuổi, ngày tháng năm sinh… là những thông tin rất dễ xuất hiện trong mật khẩu. "Vì vậy, bất kỳ ai nếu tham gia trên Internet thường xuyên đều có nguy cơ bị dò mật khẩu", ông Sơn nhận định.

Về kỹ thuật dò mật khẩu của tội phạm mạng, ông Sơn cho biết trước đây thường được thử bằng cách sử dụng từ điển (tập hợp các mật khẩu thông dụng, phổ biến đã được thu thập như 123456, admin… hoặc ghép ngày tháng năm sinh, tên, tuổi)...

Cùng sự phát triển của AI, bộ từ điển và bộ quy luật được mở rộng nhanh chóng nhờ AI tạo ra. Việc AI có thể dò ra mật khẩu của người dùng không phải là một vấn đề quá ngạc nhiên. Với sự phát triển đột phá lĩnh vực AI, việc phá mật khẩu hiệu quả hơn bởi nó có khả năng học và dự đoán dựa trên dữ liệu khổng lồ về mật khẩu rò rỉ trước đây.

Chẳng hạn, tội phạm mạng sử dụng các nền tảng AI mã nguồn mở được tùy chỉnh có thể sử dụng kết hợp các kỹ thuật như "bruteforce" (tấn công bằng cách thử từng khả năng có thể), "dictionary attacks" (sử dụng danh sách các từ có sẵn) và các kỹ thuật phức tạp hơn như dùng mật khẩu đã rò rỉ ở một nơi để thử đăng nhập ở nơi khác…

"Mật khẩu càng phức tạp, càng dài và sử dụng sự kết hợp của chữ thường, chữ hoa, số và ký tự đặc biệt thì khả năng chống lại các cuộc tấn công của AI càng cao. Tuy nhiên, với sự phát triển không ngừng của công nghệ, ngay cả những mật khẩu mạnh nhất cũng có nguy cơ bị phá vỡ, đặc biệt nếu chúng không được thay đổi thường xuyên", ông Sơn đánh giá.

Ông Vũ Ngọc Sơn cho rằng không chỉ Facebook mà nhiều dịch vụ khác đều có nguy cơ bị dò mật khẩu thông qua sự trợ giúp của AI: "Số lượng người bị dò mật khẩu Facebook đông hơn dịch vụ khác là do dịch vụ này phổ biến, trong khi không nhiều người đặt xác thực hai yếu tố. Các dịch vụ của ngân hàng, chứng khoán luôn yêu cầu xác thực hai lớp, nên số người bị chiếm đoạt tài khoản ít hơn". Ông Vũ Ngọc Sơn cho rằng để an toàn thì việc đầu tiên là cần thay đổi thói quen.

Thay vì đặt các mật khẩu dễ nhớ, cần phải chuyển sang dùng các mật khẩu có tính ngẫu nhiên cao, đủ số lượng ký tự (từ 8 trở lên), có cả ký tự số và ký tự đặc biệt, không sử dụng các thông tin cá nhân hay người thân. Đồng thời luôn áp dụng xác thực hai yếu tố, trong đó mật khẩu là một yếu tố và mã OTP được gửi về điện thoại hoặc email là yếu tố thứ hai.

Các chuyên gia bảo mật cảnh báo, đã đến lúc phải tích cực áp dụng các năng lực bảo vệ tài khoản mạnh hơn mật khẩu, như xác thực mạnh không mật khẩu (passwordless) kết hợp với xác thực sinh trắc học".

Tô Hội

Nguồn SK&ĐS : https://suckhoedoisong.vn/bao-mat-cac-tai-khoan-the-nao-truoc-kha-nang-hack-mat-khau-cua-ai-169250303112245367.htm