Sử dụng mật khẩu Windows NTLM 8 ký tự? Xin chúc mừng, mật khẩu của bạn có thể bị bẻ khóa chỉ sau 2.5 giờ

HashCat, một công cụ khôi phục mật khẩu mã nguồn mở, giờ đây đã có thể bẻ khóa các mật khẩu Windows NTLM từ tám ký tự trở xuống trong khoảng thời gian rất ngắn, chưa đến 2.5 giờ.

Quay trở lại quá khứ một chút, vào năm 2011, nhà nghiên cứu bảo mật Steven Myer đã chứng minh rằng mật khẩu tám ký tự (eight-character - 53 bit) có thể bị phá vỡ trong vòng 44 ngày nếu bạn sử dụng GPU và rainbow tables - các bảng được tính toán trước để đảo ngược các hàm băm (hash function).

Một nhà phát triển nổi tiếng khác là Jeff Atwood đưa ra báo cáo vào năm 2015 rằng độ dài mật khẩu trung bình mà đa số mọi người thường sử dụng là rơi vào khoảng 8 ký tự và từ đó đến nay, đã gần 4 năm trôi qua nhưng không có bất kỳ dấu hiệu nào cho thấy mọi thứ được thay đổi nhiều, đó đơn giản chỉ là một thói quen khó bỏ. Và với thực tế là khoảng 620 triệu thông tin web bị đánh cắp sắp được bán trong tuần này trên một thị trường web đen, giờ chính là thời điểm không thể thích hợp hơn để nhân loại tiến hành một cuộc cách mạng triệt để, toàn diện trong việc sử dụng và quản lý mật khẩu.

• Google ra mắt tiện ích "thần thánh" Password Checkup giúp mật khẩu của bạn an toàn hơn

Trong một bài đăng trên Twitter vào hôm thứ tư 13/2, những người chịu trách nhiệm đằng sau dự án phần mềm HashCat cho biết bản dựng HashCat version 6.0.0 beta đã được họ điều chỉnh hoàn toàn thủ công, sử dụng tới 8 GPU Nvidia GTX 2080Ti trong một cuộc tấn công ngoại tuyến, vượt quá tiêu chuẩn tốc độ bẻ khóa NTLM thông thường là 100GH/giây (gigahash trên giây).

"Điểm benchmark tốc độ bẻ khóa mật khẩu hiện tại cho thấy một thực tế là các mật khẩu tối thiểu chỉ có 8 ký tự cho dù phức tạp đến đâu đều vẫn có thể bị bẻ khóa nhanh gọn trong vòng chưa đầy 2.5 giờ bằng cách sử dụng cơ chế tấn công dựa trên phần cứng như vậy. Mật khẩu tám ký tự đã quá lỗi thời”, một hacker với bút danh Tinker chia sẻ trên Twitter.

Khẳng định mật khẩu 8 ký tự quá lỗi thời có vẻ hơi đường đột, nhưng ít nhất chúng ta đều phải công nhận rằng nó đã trở nên khá thiếu an toàn trong bối cảnh mà những cuộc tấn công vào các tổ chức dựa trên Windows và Active Directory đang có xu hướng gia tăng nhanh chóng. Như bạn đã biết, NTLM là một giao thức xác thực cũ của Microsoft và đã được thay thế bằng Kerberos. Tuy nhiên theo bút danh Tinker, NTLM vẫn được sử dụng để lưu trữ mật khẩu Windows cục bộ hoặc trong tệp NTDS.dit trong các bộ điều khiển miền Active Directory (Active Directory Domain Controllers).

Tất nhiên là các thuật toán băm mạnh hơn sẽ mất nhiều thời gian hơn để bẻ khóa, nhưng đôi khi cường độ của các lệnh cũng sẽ dài hơn. Thử một phép so sánh nhỏ, khi IBM đạt được tỷ lệ hash cracking là 334 GH/s với NTLM và Hashcat vào năm 2017, họ chỉ có thể quản lý 118,6 kH/s với bcrypt và Hashcat. Thế nhưng những người đang cố gắng bẻ khóa mật khẩu băm hoàn toàn có thể trả tiền cho các dịch vụ đám mây để đổi lấy sức mạnh tính toán cần thiết.

• Azorult Trojan đánh cắp mật khẩu người dùng trong khi chạy ẩn như Google Update

Bút danh Tinker cũng ước tính rằng việc đầu tư sức mạnh GPU đủ yêu cầu sẽ cần một số tiền rơi vào khoảng 10.000 đô la. Tuy nhiên, những người khác lại tuyên bố rằng sức mạnh tính toán cần thiết để bẻ khóa mật khẩu NTLM 8 ký tự có thể được thuê trong tiện ích đám mây của Amazon chỉ với 25 đô la.

Các hướng dẫn mới nhất của NIST cho biết mật khẩu hiện đại buộc phải dài ít nhất 8 ký tự, thế nhưng một số nhà cung cấp dịch vụ trực tuyến thậm chí không đòi hỏi nhiều đến như vậy. Khi nhà nghiên cứu bảo mật Troy Hunt kiểm tra độ dài mật khẩu tối thiểu trung bình tại các trang web khác nhau vào năm ngoái, ông nhận thấy rằng trong khi Google, Microsoft và Yahoo buộc người dùng phải thiết lập mật khẩu không được ít hơn 8 ký tự, thì Facebook, LinkedIn và Twitter lại chỉ yêu cầu tối thiểu là 6.

Theo bút danh Tinker, mật khẩu tám ký tự được sử dụng làm điểm chuẩn (benchmark) vì đó là con số mà nhiều tổ chức bảo mật cũng như nhiều chính sách CNTT của các công ty khuyến nghị làm chuẩn độ dài mật khẩu tối thiểu. Thực tế là trong nhiều năm qua, chúng ta đã đẩy mạnh ý tưởng tập trung hơn vào độ phức tạp (chữ in hoa, chữ thường, số và ký hiệu) của mật khẩu, vậy nên nhiệm vụ ghi nhớ từng mật khẩu riêng lẻ cũng trở nên phức tạp hơn rất nhiều. Điều này, cùng với một vài yếu tố nhỏ khác khiến người dùng chọn sử dụng mật khẩu có độ dài tối thiểu cho phép, đơn giản chỉ là để họ có thể ghi nhớ các mật khẩu phức tạp của mình một cách dễ dàng hơn.

Vậy thì cho đến khi những tiến bộ về kỹ thuật bảo mật mới xuất hiện và thay đổi mọi thứ, mật khẩu có độ dài bao nhiêu là đủ an toàn? Tinker đề xuất một cụm mật 5 năm từ ngẫu nhiên, trong đó mỗi từ lại chứa một số lượng ký tự nhất định, và để cho dễ nhớ, bạn có thể đặt mật khẩu theo một cụm từ có nghĩa hoặc quen thuộc với mình, ví dụ như “correcthorsebatterystaple” chẳng hạn.

Ngoài ra, nếu có điều kiện, bạn cũng nên xem xét sử dụng thêm một ứng dụng quản lý mật khẩu, với xác thực hai yếu tố được kích hoạt trong tất cả các trường hợp. Về vấn đề này, bạn có thể tham khảo danh sách “Các phần mềm quản lý mật khẩu tốt nhất hiện nay” của chúng tôi để chọn ra cho mình một công cụ phù hợp. Chúc các bạn thành công!

• Các ứng dụng Android chứa mã độc sử dụng cảm biến chuyển động để tránh bị phát hiện