Dịch vụ quản lý mật khẩu SplashData đã gây chú ý trong tháng 12 vừa qua khi đăng tải danh sách 25 mật khẩu tồi tệ nhất năm 2018. Trong 5 năm liên tiếp, “123456” và “mật khẩu” là hai mật khẩu tồi tệ nhất. Năm 2018, khoảng 3% người dùng internet ở Bắc Mỹ và Tây Âu đã đặt mật khẩu là “123456”, dựa trên 5 triệu mật khẩu bị hack mà công ty tìm bán trên Dark Web.
Mật khẩu như vậy thật sự vô nghĩa vì chúng rất dễ đoán, nhưng ngày nay không có mật khẩu nào thực sự an toàn. Một diễn đàn hacker nổi tiếng hiện đang liệt kê hơn 1,1 tỷ cặp địa chỉ thư và mật khẩu bị đánh cắp, dựa trên cơ sở dữ liệu xem xét rằng 100% gian lận trực tuyến xảy ra sau khi người dùng đã được xác thực và mật khẩu không giữ được vai trò bảo mật của mình.
Năm 2003, một cựu lập trình viên Quân đội, Bill Burr, đã viết một cuốn sách nhỏ về bảo mật mật khẩu cho Học viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Cuốn sách Burr Burr khuyên thay thế các chữ cái trong các từ phổ biến bằng các ký tự đặc biệt, chữ in hoa và số. Ông cũng đề cập cứ sau 90 ngày chúng ta nên thay mật khẩu mới.
Nghiên cứu mới nhất chỉ ra rằng mật khẩu dài khó có thể bị phá vỡ hơn so với mật khẩu ngắn và ký tự đặc biệt. NIST khuyên bạn nên sử dụng các cụm từ dài, dễ nhớ thay vì cứ sau 90 ngày bạn phải đổi mật khẩu một lần.
Cần phải mất một khoảng thời gian để lời khuyên của NIST có thể được áp dụng phổ biến ở ngoài thị trường. Hầu hết các trang web tài chính ngân hàng vẫn bị tụt lại phía sau, mới chỉ sử dụng xác thực hai yếu tố. Trong khi bảo mật xác thực 2 yếu tố 2FA có tính an toàn cao hơn, nhưng lại tiêu tốn nhiều thời gian và xâm phạm hơn đối với khách hàng
Các mô hình sinh trắc học vật lý như dấu vân tay, nhận dạng khuôn mặt và quét võng mạc hiện đang ngày càng phổ biến như là một cách bảo mật trực tuyến, nhưng chúng cũng dễ dàng bị đánh cắp. Trong đó quét võng mạc không thể được sao chép, tuy nhiên chúng tiêu tốn rất nhiều thời gian và dễ dàng xâm nhập.
Tuy nhiên, trí tuệ nhân tạo và học máy hiện đã phát triển đến một ngưỡng họ có thể sớm vượt qua các kỹ thuật sinh trắc học như là quét vân tay và nhận dạng khuôn mặt.
Với AI, người dùng có thể dựa vào hành vi trực tuyến để điều chỉnh hành vi của họ. Thay vì phải nhờ người khác để nhập chính xác thông tin đăng nhập, các hệ thống dựa trên hành vi sẽ phát triển thông tin người dùng thông qua việc theo dõi hoạt động khi người dùng đã đăng nhập vào trang web. Các kết quả này có thể nhanh chóng nhận ra ai là người dùng chính và ai là mối đe dọa tiềm ẩn với độ chính xác cao và không làm gián đoạn trải nghiệm người dùng.
Các hệ thống dựa trên AI và học máy đang trong quá trình xử lý dữ liệu tính bằng nano giây như một người bình thường có thể xử lý trong một năm. Điều này cho thấy không có kỹ thuật nào được phát triển hoàn toàn bởi con người có thể theo kịp quá trình xử lý dữ liệu. Vì vậy, cấu hình hành vi người dùng sẽ là điểm cốt lõi của hệ thống bảo mật trực tuyến trong các ngành từ ngân hàng đến hậu cần.