Hình thức xác thực người dùng cơ bản nhất, đặc biệt là trên Web, là giao thức xác thực mật khẩu. Phương pháp xác thực này buộc bạn phải nhớ các tổ hợp tên người dùng / mật khẩu để truy cập tài khoản hoặc các phần đặc biệt của trang web. Mặc dù hiệu quả và theo một số cách về cơ bản là một phần của bảo mật trực tuyến, các giao thức xác thực mật khẩu không thành công khi bạn không giải quyết chúng một cách nghiêm túc. Điều này có nghĩa là xây dựng mật khẩu phức tạp và duy trì bí mật. Điều này cũng có nghĩa là các thực thể triển khai xác thực mật khẩu phải bảo vệ mật khẩu theo một cách nào đó.
Các cuộc tấn công bạo lực và phức tạp
Bạn thường không thể đoán mật khẩu trừ khi bạn biết điều gì đó về người dùng mật khẩu đó và sau đó chỉ khi mật khẩu đại diện cho điều gì đó có thể biết về người dùng đó. Tuy nhiên, các chương trình máy tính có thể khởi động các cuộc tấn công vũ phu vào các hệ thống mật khẩu. Điều này có nghĩa là một chương trình đọc theo nghĩa đen qua một từ điển thuật ngữ được cung cấp, thử từng từ cho đến khi sự kết hợp chính xác của các ký tự sẽ phá vỡ mật khẩu. Thông thường, việc bảo vệ bản thân khỏi các cuộc tấn công này đòi hỏi bạn phải tạo mật khẩu phức tạp bao gồm số, chữ cái và các ký hiệu đặc biệt, có thể khó nhớ.
Lưu trữ và mã hóa
Khi bạn sử dụng xác thực mật khẩu, bạn phải lưu trữ mật khẩu và tên người dùng trong cơ sở dữ liệu để xác thực người dùng. Nếu bạn không có bảo mật máy chủ mạnh, ai đó có thể đột nhập vào cơ sở dữ liệu và đọc mật khẩu. Một cách để giải quyết vấn đề này là sử dụng mật khẩu "băm", liên quan đến việc chạy mật khẩu thông qua thuật toán băm tạo ra một giá trị duy nhất dựa trên mật khẩu và lưu trữ giá trị băm thay vì chính mật khẩu. Nếu cơ sở dữ liệu bị xâm phạm, kẻ tấn công chỉ có thể đọc các mã băm và không biết mật khẩu là gì. Tuy nhiên, băm theo nghĩa này chỉ tồn tại do điểm yếu cố hữu của xác thực mật khẩu văn bản thuần túy.
Bí mật và Sử dụng Công cộng
Giống như nhiều người, bạn có thể sử dụng Internet ở những nơi kín đáo như thư viện hoặc quán cà phê. Chắc chắn, bạn cũng có thể đăng nhập vào các trang web khác nhau bằng mật khẩu khi ở nơi công cộng này. Điều này dẫn đến nhiều vấn đề bảo mật vốn có đối với xác thực mật khẩu. Đầu tiên, một người nào đó ở gần bạn có thể nhìn qua vai bạn và đọc mật khẩu của bạn hoặc nhìn vào bàn phím của bạn và ghi lại các hành trình phím của bạn. Thứ hai, ai đó được kết nối với mạng có thể cố chặn thông tin mật khẩu của bạn khi bạn đăng nhập bằng các chương trình mạng giám sát điểm phát Wi-Fi cục bộ.
Cam kết của người dùng
Có lẽ quan trọng nhất, mật khẩu chỉ mạnh và an toàn tương đương với lượng nỗ lực được sử dụng để duy trì chúng. Bạn có thể thấy rằng nhiều người sử dụng mật khẩu phổ biến, chẳng hạn như "password", "1234" hoặc "pass" làm mật khẩu cho các trang web mà họ sử dụng. Hơn nữa, nhiều người sẽ sử dụng cùng một mật khẩu cho nhiều trang web, có nghĩa là nếu một trang web bị xâm phạm, thì bất kỳ trang web nào khác sử dụng mật khẩu đó cũng bị xâm phạm. Ngoài ra, bạn sẽ thấy rằng nhiều người dùng không thay đổi mật khẩu mặc định, chẳng hạn như mật khẩu được xác định bởi các nhà sản xuất phần mềm chỉ để hoạt động tạm thời. Nếu ai đó biết mật khẩu mặc định của nhà sản xuất cho một sản phẩm, người đó có trách nhiệm thử những mật khẩu đó trước.
