Mật khẩu có thể đoánđược
• Dự đoán thông minhđòi hỏi phải biết một cái gìđó vềcác mục tiêu cụthể, hoặc vềngười và mật khẩu thườngđược sửdụng nói chung
Brute force dự đoán liên quanđến việc cốgắng mỗi từ
• Brute-force dự đoán liên quanđến việc cốgắng mỗi từ
trong từ điển, hoặc kết hợp tất cảcác ký tựhợp lệ. Vì lý do này, mật khẩu tốt phải không phảiởtrong bất kỳtừ điển (trong bất kỳngôn ngữnào), nên cóđộdài hợp lý, và nên sửdụngđầyđủcác ký tựcho phép bao gồm cảchữhoa và ký tựthường, số, ký hiệuđặc biệt
Mật khẩu có thể đoánđược
“Nhìn trộm" liên quanđến việc nhìn qua vai
của người trong khi họ đang gõ mật khẩu
của họ
193
5. Xác thực người dùng (C)
Các lỗhổng mật khẩu(c)
Ngay cảkhi kẻtrộm đó không nhậnđược toàn bộmật khẩu, nhưng chúng có thểnhậnđượcđầu mốiđủ đểthu hẹp nó xuống,đặc biệt là nếu họxem gõ nhiều lần lặpđi lặp lại
Phép lịch sựthông thường rằng bạn không nên nhìn từbàn phím trong khi một người nàođó gõ mật khẩu.
Mật khẩuđược hiển thị nhưnhững ngôi sao hoặc dấu
Mật khẩuđược hiển thị nhưnhững ngôi sao hoặc dấu chấm vẫn cung cấp cho cácđầu mối, bởi vì một quan sát có thểxácđịnh bao nhiêu ký tựtrong mật khẩu
"Packet sniffing” liên quanđến việcđặt một màn hình trên một kết nối mạng vàđọc dữliệu chứa trong các gói
• SSH mã hóa tất cảcác gói tin, làm giảm hiệu quảpacket-sniffing. • Tuy nhiên, bạn vẫn nên không bao giờdùng e-mailđểgửi mật khẩu,đặc
biệt là không dùng từ"mật khẩu" trong cùng một thôngđiệp hoặc tệhơn nữa là tiêuđềcủa chủ đề
• Ghi chú của bất kỳhệthống truyền tải mật khẩu bằng văn bản rõ ràng. ("Cảmơn bạnđể đăng ký cho XYZ tài khoản mới của bạn và thông tin mật khẩuđược hiển thịdướiđây") Bạn có thểdùng một mật khẩu khác đểcung cấp cho cácđối tượng này, thay vì sửdụng mật khẩu bảo mật cao nhưbạn sửdụng cho ngân hàng hoặc sửdụng bí mật khác 194
5. Xác thực người dùng (C)
Các lỗhổng mật khẩu(c) … …
Mật khẩu nênđểdài và khó nhớdođó phải ghi rađâuđó, nói riêng thì chúng phảiđược thayđổi thường xuyên và không thường xuyên. Do đó an toàn thương mại ngoại tuyến của mật khẩu dễdàng bị đoán ra thông qua việc ghi lại các mật khẩu này.
Mật khẩu có thểtặng cho bạn bè hoặcđồng nghiệp phá
Mật khẩu có thểtặng cho bạn bè hoặcđồng nghiệp, phá huỷtính toàn vẹn của hệthốngđịnh danh người dùng thực thể.
Hầu hết các hệthốngđã cấu hình các thông sốkiểm soát bộtạo mật khẩu và những gì mật khẩu chấp nhậnđược:
• Chúng có thể được người dùng lựa chọn hoặc tạo ra bằng máy
• Chúng phải có yêu cầu về độdài tối thiểu,độdài tốiđa. • Phảiđược thayđổi theo một tần suất nàođó. • Lịch sửvềviệc thayđổiđộdài ngăn lặp lại mật khẩu • Những kiểm tra nhiều hay ít chặt chẽchống lại việc tạo ra
những thưmục mật khẩu. 195
5. Xác thực người dùng (C)