Trong thế giới kỹ thuật số ngày nay, chúng ta đều có hàng tá tài khoản trực tuyến yêu cầu tên người dùng và mật khẩu. Hầu hết mọi người đều nhận thức được tầm quan trọng của việc sở hữu một mật khẩu mạnh, nhưng định nghĩa về “an toàn” của mỗi người lại rất khác nhau. Để đảm bảo bạn không vô tình trở thành nạn nhân của những thói quen đặt và quản lý mật khẩu kém an toàn, bài viết này của webthuthuat.net sẽ chỉ ra những lỗi phổ biến nhất và cách khắc phục chúng.
Tránh Sử Dụng Thông Tin Cá Nhân Làm Mật Khẩu
Vì mật khẩu là thứ bạn cần sử dụng thường xuyên, việc đặt một chuỗi dễ nhớ là điều hiển nhiên. Đó là lý do nhiều người sử dụng ngày sinh, tên con cái, tên thú cưng hoặc các thông tin cá nhân khác để làm mật khẩu. Tuy nhiên, đây lại là một trong những thói quen tồi tệ nhất bạn có thể mắc phải.
Thực tế, nhiều thông tin cá nhân của bạn không hề “cá nhân” như bạn nghĩ. Sẽ không quá khó khăn để kẻ xấu có thể tìm thấy ngày sinh, tên đệm, tên người thân hay địa chỉ nhà của bạn nếu chúng thực sự muốn xâm nhập tài khoản của bạn. Điều này thậm chí còn đúng với tên của những người nổi tiếng. Bất kỳ mật khẩu nào là một từ, tên riêng hay bất cứ thứ gì có sẵn trong đời thực đều dễ dàng bị phần mềm dò tìm và bẻ khóa hơn rất nhiều.
Cẩn Trọng Với Mật Khẩu “Đi Bộ Bàn Phím” (Keyboard Walking)
Các chuỗi ký tự mật khẩu thường gặp theo kiểu "đi bộ bàn phím" trên bàn phím máy tính.
Ngay cả những chuỗi ký tự và số tưởng chừng như “ngẫu nhiên” cũng có thể dễ dàng bị bẻ khóa nếu bạn không cẩn thận. “Đi bộ bàn phím” (Keyboard Walking) là một hình thức tạo mật khẩu phổ biến hơn bạn nghĩ. Đây là khi người dùng sử dụng các chữ cái, số và ký hiệu nằm liền kề nhau trên bàn phím (ví dụ: qwerty, asdfgh, 123456).
Ý tưởng đằng sau thói quen này là việc sử dụng một chuỗi các phím gần nhau sẽ tạo ra một mật khẩu ngẫu nhiên mà vẫn dễ nhớ. Vấn đề là rất nhiều người có cùng ý tưởng này, và các phần mềm bẻ khóa mật khẩu có thể dễ dàng chạy qua tất cả các tổ hợp “đi bộ bàn phím” có thể có để tìm ra mật khẩu của bạn.
Nguy Hiểm Từ Việc Tái Sử Dụng Mật Khẩu
Những thói quen kém an toàn đã đề cập ở trên sẽ trở nên tồi tệ hơn nhiều nếu bạn tái sử dụng cùng một mật khẩu yếu cho nhiều nơi. Một lần nữa, bạn có thể cần mật khẩu cho hàng chục hoặc hơn các dịch vụ trực tuyến, vì vậy việc chỉ muốn nhớ một mật khẩu duy nhất là điều hoàn toàn tự nhiên. Nhưng đây lại là một ý tưởng cực kỳ tồi tệ.
Nếu kẻ xấu bẻ khóa được mật khẩu của bạn ở một nơi, bước tiếp theo logic của chúng sẽ là thử chính mật khẩu đó ở các dịch vụ khác. Bạn đang tạo điều kiện rất dễ dàng cho kẻ gian xâm nhập vào tất cả các tài khoản của mình chỉ với nỗ lực tối thiểu.
Lưu Trữ Mật Khẩu Không An Toàn
Có thể những thói quen trên là “chuyện cũ”, và bạn đã bắt đầu tạo ra các mật khẩu mạnh, riêng biệt cho từng trang web. Nhưng điều đó lại dẫn đến một vấn đề mới – làm thế nào để bạn theo dõi những mật khẩu được thiết kế để khó nhớ?
Điều bạn không nên làm là lưu chúng vào một bảng tính (spreadsheet), gửi email cho chính mình, hoặc lưu trong một tệp văn bản. Tình huống này tương tự như việc sử dụng cùng một mật khẩu ở mọi nơi. Nếu ai đó có quyền truy cập vào những nơi lưu trữ “an toàn” này, về cơ bản họ sẽ có chìa khóa dẫn đến “vương quốc” trực tuyến của bạn.
Tại Sao Không Dùng Trình Quản Lý Mật Khẩu và Trình Tạo Mật Khẩu Là Một Sai Lầm Lớn
Ứng dụng quản lý mật khẩu 1Password đang hoạt động trên màn hình điện thoại iPhone, minh họa việc quản lý thông tin đăng nhập an toàn.
Có hai công cụ sẵn có mà bạn có thể chưa sử dụng, nhưng chúng có thể cải thiện đáng kể độ bảo mật của mật khẩu. Đầu tiên là trình tạo mật khẩu (password generator) – một công cụ tạo ra các mật khẩu ngẫu nhiên. Những mật khẩu này an toàn hơn rất nhiều so với bất kỳ chuỗi ký tự nào bạn tự nghĩ ra.
Vấn đề với mật khẩu được tạo ngẫu nhiên là chúng gần như không thể nhớ được, và chúng ta đã nói về lý do tại sao lưu trữ mật khẩu trong bảng tính hoặc tệp văn bản là một ý tưởng tồi. Giải pháp chính là một trình quản lý mật khẩu (password manager), nơi lưu trữ và theo dõi mật khẩu của bạn một cách an toàn. Một số trình quản lý mật khẩu thậm chí còn tích hợp cả tính năng tạo mật khẩu.
Bạn có thể nghĩ rằng trình quản lý mật khẩu không khác gì một bảng tính thông thường. Nếu ai đó có quyền truy cập vào trình quản lý mật khẩu của bạn, họ cũng sẽ có tất cả mật khẩu của bạn. Tuy nhiên, các trình quản lý mật khẩu yêu cầu một “Mật khẩu Chính” (Master Password) để truy cập. Điều đó có nghĩa là bạn chỉ cần nhớ một mật khẩu duy nhất, và nó nên được lưu trữ ở một nơi an toàn ngoại tuyến.
Đừng Bỏ Qua Xác Thực Đa Yếu Tố (MFA)
Ngày càng nhiều dịch vụ hỗ trợ các hình thức xác thực đa yếu tố (Multi-Factor Authentication – MFA), phổ biến nhất là xác thực hai yếu tố (Two-Factor Authentication – 2FA). Tên người dùng và mật khẩu là lớp phòng thủ đầu tiên; việc thêm một lớp bảo vệ bổ sung (hoặc hai lớp) được gọi là “xác thực đa yếu tố”, và bạn nên ngừng bỏ qua nó.
Một ví dụ phổ biến của xác thực đa yếu tố là sử dụng số điện thoại để xác nhận sau khi đăng nhập vào một trang web. Sau khi bạn nhập thành công tên người dùng và mật khẩu, một tin nhắn tự động sẽ được gửi đến điện thoại của bạn với một mã PIN. Bạn phải nhập mã PIN đó để hoàn tất quá trình đăng nhập. Ý tưởng là nếu ai đó có được mật khẩu của bạn, họ cũng cần có điện thoại của bạn để truy cập – điều này khó khăn hơn nhiều.
Mặc dù vậy, số điện thoại không phải là phương pháp tốt nhất cho xác thực hai yếu tố. Các ứng dụng như Google Authenticator và Authy an toàn hơn nhiều so với việc dựa vào tin nhắn SMS OTP.
Luôn Cập Nhật Mật Khẩu Cũ
Sử dụng mật khẩu không an toàn đã tệ, nhưng giữ nguyên chúng trong nhiều năm thì còn tệ hơn. Đáng buồn thay, các vụ rò rỉ dữ liệu đã trở thành điều phổ biến. Khi điều đó xảy ra với một trang web bạn có tài khoản, tên người dùng và mật khẩu của bạn sẽ bị lộ ra ngoài.
Thay đổi mật khẩu thường xuyên sẽ làm cho thông tin bị rò rỉ trở nên lỗi thời. Nếu một trang web thông báo rằng dữ liệu của họ đã bị xâm phạm, bạn chắc chắn nên dành thời gian để thay đổi mật khẩu của mình. Bạn cũng có thể sử dụng dịch vụ “Have I Been Pwned?” để kiểm tra xem thông tin của bạn có bị rò rỉ hay không.
Chuyển Đổi Từ Mật Khẩu Sang Passkey – Tương Lai Của Bảo Mật
Vấn đề với mật khẩu là hầu hết các rắc rối đều xuất phát từ chính người tạo ra chúng. Việc sử dụng mật khẩu ngay từ đầu có thể là sai lầm lớn nhất bạn đang mắc phải. Passkey (khóa bảo mật) là tương lai của mật khẩu, và bạn nên sử dụng chúng bất cứ khi nào có thể.
Một passkey giống việc mở khóa điện thoại của bạn hơn là nhập tên người dùng và mật khẩu. Ví dụ, mật khẩu Facebook của bạn có thể được sử dụng ở bất cứ đâu bạn truy cập trang web hoặc ứng dụng Facebook. Ngược lại, một passkey được gắn với thiết bị mà nó được tạo ra.
Vì vậy, giả sử bạn đang sử dụng passkey cho Facebook và bạn muốn đăng nhập vào trang web trên máy tính của mình. Thay vì nhập tên người dùng và mật khẩu, bạn sẽ quét mã QR từ điện thoại của mình và sau đó mở khóa điện thoại để đăng nhập vào Facebook. Điện thoại của bạn chính là “mật khẩu”, và không ai có thể truy cập nếu không có nó.
Tin tốt là có các giải pháp cho mọi thói quen mật khẩu kém an toàn. Tin xấu là việc áp dụng chúng hoàn toàn phụ thuộc vào bạn. May mắn thay, các công cụ như trình quản lý mật khẩu và passkey giúp quá trình này đơn giản và an toàn hơn nhiều so với việc bạn tự cố gắng làm mọi thứ.
