Microsoft lại thúc giục người dùng ngừng sử dụng mật khẩu truyền thống

Các vấn đề về mật khẩu luôn là một mối lo ngại dai dẳng với mọi tổ chức. Lượng thời gian mà các nhóm quản trị CNTT trong một tổ chức, doanh nghiệp dành cho việc quản lý mật khẩu và thông tin đăng nhập của người dùng, cũng như xử lý các sự cố liên quan, đã gia tăng đều đặn qua từng năm.

Đối với hình thức xác thực bằng mật khẩu thông thường, nhiều người có thói quen sử dụng mật khẩu đơn giản hoặc sử dụng cùng một mật khẩu cho nhiều tài khoản, dẫn đến nguy cơ vi phạm bảo mật tăng cao. Trước thực trạng đó, xác thực không cần mật khẩu nổi lên như là phương án tối ưu nhất cho mọi cá nhân, tổ chức, doanh nghiệp trong tương lai.

Đó cũng là lý do tại sao trong vài năm trở lại đây, Microsoft luôn đều đặn nhấn mạnh sự cần thiết phải loại bỏ hoàn toàn mật khẩu và chuyển sang các hình thức xác thực hiện đại như xác thực sinh trắc học (vân tay, khuôn mặt, mống mắt…), đăng nhập một lần (SSO) và xác thực đa yếu tố (MFA). Năm nay cũng không phải ngoại lệ.

Các hình thức đăng nhập không mật khẩu đang được Microsoft triển khai bao gồm Windows Hello (nhận dạng vân tay và khuôn mặt) để truy cập mạng Azure Active Directory (Azure AD), và người dùng sử dụng ứng dụng Microsoft Authenticator cũng như key bảo mật dựa trên mã hóa FIDO2. Năm ngoái, khả năng hỗ trợ xóa mật khẩu khỏi tài khoản Microsoft đã được triển khai và đánh giá cao. Mới đây, công ty tiếp tục hợp tác với Google và Apple thông qua FIDO Alliance và World Wide Web Consortium để phát triển và hỗ trợ một tiêu chuẩn xác thực chung không cần mật khẩu.

Hiện tại, Microsoft đang tiếp tục khuyến khích khách hàng xem xét bỏ mật khẩu truyền thống hoàn toàn và chuyển sang sử dụng Windows Hello, khóa bảo mật và xác thực đa yếu tố không cần mật khẩu thông qua ứng dụng Microsoft Authenticator.

Với các cá nhân có ý định tiếp tục sử dụng mật khẩu trong tương lai gần, Microsoft cũng khuyến nghị sử dụng trình tạo mật khẩu (Password Generator) trong Microsoft Edge, cũng như các tiêu chí sau cho bất kỳ mật khẩu mới nào:

• Dài ít nhất 12 ký tự
• Có sự kết hợp của chữ hoa và chữ thường, số và ký hiệu
• Không phải một từ có thể tìm thấy trong từ điển hoặc tên của một người, sản phẩm hoặc tổ chức
• Hoàn toàn khác với các mật khẩu đã sử dụng trước đây
• Được thay đổi ngay lập tức nếu nghi ngờ đã bị xâm phạm

Một mẹo thú vị khác mà Microsoft khuyến nghị người dùng là đưa ra câu trả lời cho các câu hỏi bảo mật mang tính chất đánh lừa hacker. Ví dụ: trong một câu hỏi bảo mật về nơi sinh của bạn, bạn có thể trả lời là "Green". Điều này đảm bảo rằng ngay cả khi kẻ tấn công có quyền truy cập vào một số thông tin cơ bản của bạn, chúng cũng khó có thể trả lời chính xác các câu hỏi bảo mật.

Nhìn chung, Microsoft đang cố gắng nhấn mạnh lại rằng đăng nhập không cần mật khẩu sẽ sớm trở thành tiêu chuẩn chung. Vì vậy, tốt hơn là người dùng nên bắt đầu làm quen với thực tế mới này ngay từ bây giờ.