HomeBlog3 hình thức Tấn công Password cơ bản
Data Security

3 hình thức Tấn công Password cơ bản

4 phút để đọc
Locker Avatar

Trung Nguyen

04/06/2019
Locker logo social

CEO @CyStack

Reading Time: 4 minutes

Hack Password, hay còn gọi là tấn công mật khẩu, là một hình thức tấn công đã cũ, tuy nhiên vẫn gây không ít phiền toái cho cả người dùng cá nhân và doanh nghiệp. Trong một vài trường hợp, nó có thể gây thiệt hại lớn cho một tổ chức nếu nó nằm trong một cuộc tấn công APT quy mô lớn. Vậy, có những hình thức tấn công mật khẩu nào? Và đâu là cách phòng tránh?

Tấn công password (hack mật khẩu) là vấn đề không mới - nhưng vẫn gây nhức nhối.
Tấn công Password có thể gây thiệt hại lớn cho doanh nghiệp, tổ chức.

Các hình thức tấn công Password

Có 3 dạng tấn công mật khẩu phổ biến:

  • Brute Force Attack (tấn công dò mật khẩu): kẻ tấn công sử dụng một công cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ dễ đến khó) cho tới khi đăng nhập thành công. VD: đặt mật khẩu đơn giản như 123456, password123, daylamatkhau,… rất dễ bị tấn công brute force.
  • Dictionary Attack (tấn công từ điển): là một biến thể của Brute Force Attack, tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa thay vì thử tất cả mọi khả năng. Nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản VD: motconvit, iloveyou,… Đây là lý do khiến Dictionary Attack có tỉ lệ thành công cao hơn.
  • Key Logger Attack (tấn công Key Logger): đúng như cái tên của nó, tin tặc lưu lại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, password hay nhiều nội dung khác. Tấn công Key Logger nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp không giúp ích gì trong trường hợp này. Để tấn công, tin tặc cần phải sử dụng một phần mềm độc hại (malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn nhân nhập vào máy tính và gửi về cho kẻ tấn công. Phần mềm này được gọi là Key Logger.

Trên đây chỉ là các dạng tấn công mật khẩu trực tiếp. Ngoài ra, tin tặc có thể tấn công gián tiếp thông qua việc lừa đảo người dùng tự cung cấp mật khẩu (Tấn công giả mạo Phishing), tiêm nhiễm Malware, tấn công vào cơ sở dữ liệu – kho lưu trữ mật khẩu người dùng của các dịch vụ…

Cách phòng tránh

  • Đặt mật khẩu phức tạp: Tuy đơn giản nhưng biện pháp này giúp người dùng phòng tránh được hầu hết các cuộc tấn công dò mật khẩu thông thường. Một mật khẩu mạnh thường bao gồm: chữ IN HOA, chữ thường, số, ký tự đặc biệt (ví dụ @$*%&#)
  • Bật xác thực 2 bước: Hầu hết dịch vụ cho phép người dùng bật xác thực 2 bước khi đăng nhập trên thiết bị mới. Điều này khiến hacker có hack được mật khẩu cũng không thể đăng nhập được. Hiện tại Facebook, Gmail, các ngân hàng, ví điện tử… đều có tính năng này.
  • Quản lý mật khẩu tập trung: Việc lưu tất cả mật khẩu trên một thiết bị là con dao hai lưỡi. Người dùng cân nhắc khi thực hiện.
  • Thay đổi mật khẩu định kì: Gây khó khăn cho quá trình hack mật khẩu của tin tặc.
  • Thận trọng khi duyệt web: Tin tặc có thể hack mật khẩu của bạn bằng cách tạo ra một đường link giả mạo, VD vietconbank.com.vn rồi yêu cầu bạn nhập thông tin… Vì thế, luôn thận trọng với các đường link trước khi click.
  • Cẩn trọng khi mở email, tải file: Tuyệt đối không mở file lạ, và luôn kiểm tra địa chỉ email người gửi xem có chính xác không. VD: tên người gửi là Ngọc Luân JSC nhưng địa chỉ email là ngoclunajsc thì chắc chắn có dấu hiệu lừa đảo.

Bị hack mật khẩu phải làm sao?

  • Ngay lập tức khóa dịch vụ đang sử dụng: Liên hệ trực tiếp với các nhà cung cấp dịch vụ (ngân hàng, facebook, gmail…) để yêu cầu tạm ngưng dịch vụ cho tài khoản của bạn.
  • Ngắt kết nối với các dịch vụ khác (nếu có): Nếu bạn bị mất tài khoản Gmail, cần ngắt kết nối với tài khoản facebook, tài khoản ngân hàng bằng cách thông báo cho nhân viên hỗ trợ.
  • Xác nhận danh tính để lấy lại mật khẩu: Phần lớn các dịch vụ đều hỗ trợ chức năng Lấy lại mật khẩu. Bạn chỉ cần chọn “Forget Password” hoặc “Quên mật khẩu” rồi tiến hành nhập thông tin cần thiết để lấy lại mật khẩu. Mỗi dịch vụ khác nhau yêu cầu xác minh thông tin khác nhau, thông thường chính là thông tin bạn sử dụng để đăng ký tài khoản.

Quên email, quên thông tin đăng ký, làm sao để lấy lại tài khoản?

Nhiều người dùng đăng ký tài khoản bằng thông tin sai, dẫn tới việc khi mất quyền truy cập thì không thể lấy lại được tài khoản do không nhớ thông tin. Trong trường hợp này, bạn vẫn có khả năng lấy lại được tài khoản nếu chứng minh được Quyền sở hữu (ownership) đối với tài khoản đó. Bằng cách liên hệ với bộ phận hỗ trợ của các dịch vụ và cung cấp cho họ đầy đủ những thông tin cần thiết để xác thực quyền sở hữu, bạn có khả năng sẽ lấy lại được tài khoản, nếu nó thực sự quan trọng với bạn. Trong vài trường hợp hi hữu, bạn có thể sẽ cần đến sự trợ giúp (hoặc chứng thực) của các cơ quan chức năng.

Tuy vậy, quá trình trên rất mất thời gian và không chắc chắn đạt được kết quả như ý. Chúng tôi khuyên người dùng nên bảo vệ mật khẩu của mình một cách an toàn để phòng tránh những rủi ro hay phiền toái không đáng có.

CyStack blog

Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.