Mật khẩu quản trị: Khoảng tối dưới chân đèn

Các quản trị viên CNTT làm khá tốt việc thiết lập và buộc người dùng tuân thủ các chính sách bảo mật về mật khẩu, nhưng ngược lại, để quản trị viên tuân theo những chính sách đó thì không hề đơn giản.

Mật khẩu thì chiếm ưu thế nếu xét về khía cạnh bảo mật để bảo đảm an toàn các dữ liệu quan trọng, do đó nhà quản trị CNTT luôn quan tâm đến chính sách mật khẩu. Nhưng có một thực tế, chức năng mật khẩu quản trị (Admin password) lại gần như nằm ngoài các chính sách đó và mật khẩu quản trị cũng hiếm khi thay đổi hay cập nhật.

Mọi người cũng nhận thức được rằng tạo mật khẩu cần phải khó bị "mò" và không bao giờ tiết lộ mật khẩu cho người khác. Thực tế, không nhiều người tuân thủ qui tắc đó, cụ thể qua khảo sát của Webroot phát hiện cứ 10 người được hỏi thì có 4 người đã từng chia sẻ mật khẩu cho người khác và gần một nửa người tham gia khảo sát không dùng các ký tự đặc biệt để tạo mật khẩu khó đoán, 20% người trả lời đã dùng thông tin dễ đoán như ngày sinh hay con vật yêu thích làm mật khẩu. Tất cả những lý do này khiến các nhà quản trị CNTT và chuyên gia bảo mật phải bắt tay vào thiết lập các chính sách bảo mật.

Các chính sách bảo mật về mật khẩu sẽ bảo đảm cho người dùng có thể chọn những mật khẩu có độ phức tạp hơn, không còn sử dụng lại cùng mật khẩu nữa và mật khẩu cũng được thay đổi thường xuyên nhằm giảm đến mức tối thiểu khả năng lộ thông tin. Nhưng một vấn đề ngược lại được đặt ra là không có một ai thiết lập và buộc quản trị viên CNTT tuân thủ theo chính sách mật khẩu như họ đã tạo ra đối với người dùng.

Các mật khẩu quản trị thường giới hạn quyền truy cập đến các máy chủ để bảo đảm an toàn gần như tuyệt đối các thông tin mật, các quy trình xử lý quan trọng và việc giao dịch trên cơ sở dữ liệu. Mật khẩu của quản trị là những đoạn mã khó được nhúng vào trong đoạn script hoặc macro, nên chỉ cần bất cứ sự thay đổi nào trong mật khẩu thì nghĩa là nhà quản trị phải hiệu chỉnh bằng tay thông tin trên cùng mật khẩu cho nhiều hệ thống. Điều này có thể dẫn đến toàn bộ hệ thống máy tính của công ty có khả năng bị treo.

Dù muốn hay không, các mật khẩu quản trị phải được thay đổi. Không để mật khẩu “tĩnh” quá lâu vì có thể do vô tình hay cố ý thì mật khẩu có khả năng bị tấn công bất cứ khi nào. Một số công cụ miễn phí để giúp quản trị viên CNTT khắc phục vấn đề này như Bulk Password Reset từ hãng Netwrix, Reset Local Password Pro.

Mật khẩu quản trị nên được cập nhật thường xuyên, có thể thay đổi mật khẩu vào những buổi tối, cuối tuần hay ngày lễ. Khi mật khẩu được thay đổi, quản trị viên cần tiến hành chạy thử các quy trình của các ứng dụng để bảo đảm mọi thứ vẫn chạy êm xuôi.