Mật khẩu, với mục đích bảo mật, đã có từ thời La Mã cổ đại khi họ dùng “khẩu lệnh” để phân biệt bạn bè và kẻ thù. Tuy nhiên, mật khẩu kỹ thuật số mà chúng ta quen thuộc ngày nay lại ra đời muộn hơn bạn nghĩ. Nó được tạo ra vào năm 1961 bởi một giáo sư khoa học máy tính tại MIT, Fernando Corbato. Vào thời điểm đó, chức năng chính của nó không phải là bảo mật mà là chia sẻ tài nguyên máy tính. Nhưng chính từ hạt giống đó, mật khẩu số đã phát triển thành công cụ tạo sự riêng tư, bảo vệ mọi thứ chúng ta sử dụng ngày nay.
Gần 65 năm kể từ khi ra đời, mật khẩu máy tính vẫn chưa sẵn sàng để nghỉ hưu. Trong khoảng thời gian đó, chúng ta đã chứng kiến sự phát triển từ mật khẩu đơn giản, đến mật khẩu có ký tự đặc biệt, rồi passkey loại bỏ nhu cầu nhập mật khẩu, và cuối cùng là passphrase – một chuỗi các từ thông thường dễ nhớ hơn.
Trong suốt quá trình này, rất nhiều lời khuyên đã được đưa ra về những gì nên và không nên có trong mật khẩu của bạn. Một số lời khuyên vẫn còn đúng cho đến ngày nay, nhưng những lời khuyên khác đã trở thành những lầm tưởng và được tuân theo một cách vô thức. Nhiều lầm tưởng này chỉ là sản phẩm của một thời đại trước, không còn phù hợp với bối cảnh bảo mật hiện tại. Hãy cùng congnghe360.net làm rõ 10 lầm tưởng phổ biến về mật khẩu, để bạn có thể xây dựng một chiến lược bảo mật thông tin cá nhân vững chắc hơn trong thế giới kỹ thuật số đầy rẫy hiểm nguy.
10. Mật khẩu cần có ký tự đặc biệt và số
Chúng không tự động khiến mật khẩu khó đoán hơn với chương trình máy tính
Một người dùng đang sử dụng trình quản lý mật khẩu của Google trên Galaxy S23.
Việc sử dụng số và ký tự đặc biệt trong mật khẩu có tính chất tâm lý nhiều hơn là tính bảo mật thực sự. Một mật khẩu như Passw0rd!@ trông có vẻ an toàn hơn Password, và điều đó khiến mọi người cảm thấy yên tâm hơn một chút về lựa chọn mật khẩu của mình. Nếu không có danh sách các yếu tố bắt buộc, bản năng con người thường hướng đến những mật khẩu ngắn hơn, dẫn đến các mật khẩu phổ biến như 123456 hoặc asdfgh.
Một vấn đề khác là mật khẩu của bạn được lưu trữ trong cơ sở dữ liệu, và hầu hết các công ty đều có quy trình làm sạch dữ liệu đầu vào không tốt. Đây là lý do tại sao hầu hết chỉ cho phép bạn chọn một vài ký tự đặc biệt chứ không phải tất cả các ký tự bạn có thể thấy trên bàn phím. Những ký tự không được phép có xu hướng làm hỏng cơ sở dữ liệu và thậm chí có thể được dùng để tấn công và đánh cắp bí mật của chúng. Để có mật khẩu an toàn, việc hiểu rõ các lầm tưởng về mật khẩu là rất quan trọng.
9. Mật khẩu càng phức tạp càng tốt
Độ dài, không phải độ phức tạp, mới là yếu tố quan trọng hơn nhiều
Màn hình hiển thị kiểm tra độ mạnh mật khẩu với mật khẩu "ABC123".
Khi chọn một mật khẩu mới, chúng ta thường có cảm giác rằng một mật khẩu phức tạp sẽ mạnh hơn một mật khẩu đơn giản nhưng dài hơn. Đây là một trong những lầm tưởng về mật khẩu phổ biến, bởi vì các chương trình bẻ khóa hiện đại có thể xử lý độ phức tạp trong thời gian rất ngắn. Với nhiều dịch vụ yêu cầu mật khẩu tối thiểu tám ký tự, những mật khẩu này có thể bị bẻ khóa trong vòng chưa đầy 3 giờ nếu chúng chứa số, chữ hoa, chữ thường và ký hiệu.
Nhưng nếu bạn tăng độ dài lên 13 ký tự trong khi giữ nguyên sự kết hợp phức tạp, thời gian bẻ khóa giờ đây sẽ là 3 triệu năm. Và nếu bạn có 15 ký tự, bạn chỉ cần chữ hoa và chữ thường để có thời gian bẻ khóa lên tới 2 triệu năm. Độ phức tạp là hữu ích, nhưng độ dài của mật khẩu mạnh mẽ hơn nhiều. Một ví dụ điển hình: RaceDrabCorridorUndertakeVotingStrongboxFlagstoneFlintRenditionRouting mạnh hơn nhiều so với summer2022!, không phải vì độ phức tạp mà vì nó dài hơn đáng kể, ngay cả khi không có ký tự đặc biệt và chỉ sử dụng chữ cái. Hãy sử dụng một câu hoặc cụm từ dài nếu bạn có thể nhớ được, hoặc tốt nhất là dùng trình quản lý mật khẩu.
8. Mật khẩu nên dễ nhớ
Có lẽ vậy, nhưng điều đó không có nghĩa là chúng nên ngắn gọn
Màn hình hiển thị kiểm tra độ mạnh mật khẩu với mật khẩu "123456".
Cố gắng quản lý các thông tin đăng nhập kỹ thuật số bằng cách ghi nhớ chúng sẽ không hiệu quả, trừ khi bạn có trí nhớ siêu phàm. Thật sự, điều này giống như việc cố gắng ghi nhớ một cuốn danh bạ điện thoại, và bạn không nên cố gắng làm vậy. Thay vào đó, hãy sử dụng một trình quản lý mật khẩu lưu trữ chúng cho bạn. Nếu bạn phải sử dụng mật khẩu mà bạn có thể nhớ, chẳng hạn như mật khẩu chính của trình quản lý mật khẩu, hãy sử dụng một passphrase có ít nhất 20 ký tự để khó bị tấn công brute-force.
Không cần phải nói, nhưng tôi vẫn sẽ nhắc lại – đừng sử dụng mật khẩu chính của trình quản lý mật khẩu của bạn ở bất kỳ nơi nào khác. Bạn sẽ không để chìa khóa nhà hoặc chìa khóa xe của mình vương vãi khắp nơi; đừng làm điều tương tự với “chìa khóa kỹ thuật số” của bạn. Đây là một lầm tưởng về mật khẩu mà nhiều người vẫn mắc phải, nghĩ rằng việc ghi nhớ được là tiện lợi.
7. Nên đổi mật khẩu thường xuyên
Hãy trách các yêu cầu về mật khẩu của chính phủ về lầm tưởng này
Màn hình cài đặt đặt lại mật khẩu cho tài khoản cục bộ trên Windows 11.
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) có một tài liệu khổng lồ về các phương pháp hay nhất về mật khẩu được cập nhật định kỳ khi bối cảnh bảo mật thay đổi. Tài liệu đó chịu trách nhiệm trực tiếp cho nhiều lầm tưởng về mật khẩu ở đây, vì tại thời điểm đó, chúng được coi là cách tốt nhất để giữ an toàn. Nhưng các tiêu chuẩn và thực hành bảo mật cũng phát triển theo thời gian, và bạn không cần phải thay đổi mật khẩu thường xuyên để giữ an toàn.
Lời khuyên này có từ thời người dùng chỉ có một vài mật khẩu để lo lắng, và nó được cho là giúp bạn an toàn hơn bằng cách hạn chế các vụ rò rỉ, ngăn chặn quyền truy cập lâu dài nếu ai đó hack hoặc lừa đảo mật khẩu của bạn, và giới hạn phạm vi của các phần mềm ghi lại thao tác bàn phím. Nhưng đây cũng là một trong những di tích có thể được loại bỏ một cách an toàn, vì thực hành tốt nhất là có các mật khẩu duy nhất cho mỗi tài khoản, để nếu bạn bị rò rỉ dữ liệu, chỉ một tài khoản bị xâm phạm và bạn có thể dễ dàng thay đổi mật khẩu đó.
6. Không cần Xác thực đa yếu tố (MFA/2FA)
Ngay cả với mật khẩu mạnh, bảo mật nhiều lớp luôn là câu trả lời đúng
Cài đặt xác thực hai yếu tố (2FA) cho Apple ID trên iPhone.
Ngay cả khi sử dụng mật khẩu duy nhất và dài, đôi khi nó vẫn có thể bị xâm phạm. Đôi khi tin tặc lấy được cookie phiên làm việc mà bạn đã sử dụng trong quá trình đăng nhập và sử dụng nó để buộc tài khoản mở. Bất kể lỗ hổng nào, một kẻ tấn công quyết tâm sẽ tìm thấy nó, trừ khi bạn có nhiều lớp bảo mật hơn. Sử dụng Xác thực Đa yếu tố (MFA) hoặc Xác thực Hai yếu tố (2FA) là một trong những lớp đó, và bạn nên sử dụng một ứng dụng chuyên dụng cho việc này, không phải SMS.
Điều này là do SIM điện thoại quá dễ bị chiếm đoạt, và các mã SMS có thể bị gửi đi nơi khác. Trừ khi kẻ tấn công có điện thoại của bạn và đã mở khóa nó, các ứng dụng 2FA sẽ giúp tài khoản của bạn có cơ hội tốt hơn để không bị chiếm đoạt. Đây không phải là một lầm tưởng về mật khẩu, mà là một thực tế bảo mật mà nhiều người bỏ qua.
5. Chia sẻ mật khẩu với người tin cậy là an toàn
Một bí mật không còn là bí mật nếu có nhiều hơn một người biết nó
Điện thoại Samsung Galaxy S22 hiển thị mã QR để chia sẻ mật khẩu Wi-Fi.
Sẽ có những lúc bạn muốn chia sẻ mật khẩu của mình với bạn bè hoặc gia đình, nhưng đó là một ý tưởng tồi. Hơn một người biết mật khẩu của bạn là quá nhiều, và bạn không biết người đó đã đăng nhập vào bao nhiêu thiết bị và quên đăng xuất. Nếu bạn muốn chia sẻ Wi-Fi gia đình, hãy thiết lập một mạng khách thay thế và chia sẻ mật khẩu truy cập đó, sau đó thay đổi mật khẩu khi họ đã rời đi. Càng ít thiết bị đăng nhập vào Wi-Fi của bạn, càng tốt. Đừng chia sẻ mật khẩu Netflix hoặc các dịch vụ streaming khác, nếu không tài khoản của bạn có thể bị nhà cung cấp dịch vụ chặn. Đây là một lầm tưởng về mật khẩu mà nhiều người thường bỏ qua vì sự tiện lợi.
4. Tái sử dụng mật khẩu là ổn
Bạn nên có mật khẩu duy nhất, dài cho mỗi dịch vụ bạn đăng nhập
Hình ảnh minh họa một Yubikey, thiết bị khóa bảo mật phần cứng.
Không, không, không. Lầm tưởng này nên được đưa trở lại thời xa xưa và ở lại đó. Mỗi tài khoản bạn có nên có một mật khẩu duy nhất, dài, khó đoán và được lưu trữ an toàn trong trình quản lý mật khẩu. Tái sử dụng mật khẩu giữa các tài khoản làm tăng nguy cơ tất cả các tài khoản của bạn bị tấn công. Điều tồi tệ hơn là hầu hết mọi người đều biết rõ hơn, nhưng vẫn tái sử dụng mật khẩu vì nó dễ dàng hơn.
Việc tái sử dụng mật khẩu là một trong những sai lầm bảo mật nghiêm trọng nhất mà người dùng có thể mắc phải. Khi một dịch vụ bị rò rỉ dữ liệu, các tin tặc sẽ cố gắng sử dụng cặp tên người dùng/mật khẩu bị đánh cắp để thử đăng nhập vào các dịch vụ phổ biến khác (tấn công credential stuffing). Nếu bạn tái sử dụng mật khẩu, tất cả các tài khoản của bạn sẽ có nguy cơ bị chiếm đoạt. Để đảm bảo an toàn tuyệt đối, hãy coi mỗi tài khoản là một “lãnh thổ” độc lập và bảo vệ nó bằng một “chìa khóa” riêng biệt.
3. Không cần trình quản lý mật khẩu
Bạn có, và bạn nên sử dụng nó cho mọi thứ
Hình ảnh tổng hợp các logo của các trình quản lý mật khẩu miễn phí tốt nhất.
Nếu việc sử dụng mật khẩu dài, duy nhất là tuyến phòng thủ đầu tiên chống lại tin tặc, và sử dụng MFA hoặc 2FA là tuyến thứ hai, thì sử dụng trình quản lý mật khẩu là tuyến thứ ba. Các trình quản lý mật khẩu tốt nhất sẽ tạo mật khẩu cho bạn, tự động lưu chúng và giúp bạn nhập chúng vào trang web hoặc ứng dụng vào lần tiếp theo bạn truy cập. Bạn cần một trình quản lý mật khẩu vì, trừ khi bạn muốn bàn làm việc của mình bị phủ kín bởi các tờ ghi chú Post-it, hàng trăm mật khẩu bạn có cần được lưu ở đâu đó. Và đó chỉ là con số trung bình, với những người dùng internet nặng hoặc lập trình viên có số lượng gấp bội để đối phó. Hãy sử dụng một trình quản lý mật khẩu, tốt nhất là không phải cái đi kèm với trình duyệt web của bạn, và sử dụng nó mọi lúc.
Đây không phải là một lầm tưởng về mật khẩu, mà là một sự thật hiển nhiên mà nhiều người vẫn nghi ngờ. Trình quản lý mật khẩu không chỉ giúp bạn tạo ra những mật khẩu không thể đoán trước mà còn giúp bạn dễ dàng truy cập chúng mà không cần phải ghi nhớ hay gõ lại thủ công.
2. Ghi mật khẩu ra giấy là không an toàn
Tốt hơn là sử dụng mật khẩu không an toàn cho mọi tài khoản
Hình ảnh một cuốn sổ kỹ thuật số (digital notebook) với các tính năng điện tử.
Thực ra, lời khuyên cổ điển về việc không ghi mật khẩu ra giấy là sai. Ý tôi không phải là bạn nên dán mật khẩu của mình trên tờ ghi chú Post-it vào màn hình máy tính (vì ai cũng từng làm vậy), nhưng việc ghi chúng vào một cuốn sổ được cất giữ an toàn trong ngăn kéo không khác gì việc có một trình quản lý mật khẩu kỹ thuật số với mọi thứ được mã hóa.
Một số biện pháp bảo mật vẫn tốt hơn là không có gì, và một số người sẽ không sử dụng trình quản lý mật khẩu vì nhiều lý do. Nhưng họ thường sẽ sử dụng một cuốn sổ và bút, và việc ghi nhớ mật khẩu ở một nơi an toàn là mục đích chính của việc có trình quản lý mật khẩu. Tuy nhiên, có một vài điều cần lưu ý: mật khẩu được ghi ra giấy của bạn vẫn phải có ít nhất 16 ký tự, hoặc tốt hơn nữa là một passphrase bạn có thể nhớ nếu cố gắng. Và nó cần được khóa lại khi không sử dụng, điều này khiến nó có phần bất tiện khi sử dụng, nhưng là cần thiết. Lầm tưởng về mật khẩu này cần được hiểu đúng theo ngữ cảnh.
1. Bẻ khóa mật khẩu rất khó
Với số lượng vụ rò rỉ mật khẩu hàng năm, hãy giả định mọi thứ đều có thể bị xâm phạm
Banner quảng cáo Incogni giảm giá 55%, một dịch vụ giúp bảo vệ dữ liệu sau rò rỉ.
Khoa học về bẻ khóa mật khẩu đã được hiểu rất rõ tại thời điểm này, và ngay cả phần cứng máy tính khiêm tốn cũng có thể xử lý các cuộc tấn công như brute force, rainbow tables, password stuffing và các cách khác để truy cập vào các tài khoản trực tuyến. Điều đó còn được hỗ trợ bởi hàng terabyte thông tin đăng nhập mật khẩu bị rò rỉ trôi nổi trên internet, đã được thu thập trong nhiều năm. Nếu bạn nghĩ rằng mật khẩu duy nhất của mình thực sự độc đáo, thì rất có thể không phải vậy và nó đã có trong một trong những tệp dữ liệu rò rỉ đó.
Không khó để tải xuống một bot và thiết lập nó để thử tấn công các tài khoản trực tuyến. Tôi thấy điều này thường xuyên trong nhật ký tài khoản Microsoft không mật khẩu của mình, nơi các thông tin đăng nhập cũ được thử khoảng 30 phút một lần. Nó không đủ để thông báo cho tôi hoặc khóa tài khoản, nhưng đôi khi nó hỏi tôi có đang cố gắng đăng nhập không, hoặc một email với mật khẩu dùng một lần cho một thiết bị duy nhất. Nó phần lớn là tự động và không tốn công sức một khi đã thiết lập. Các nỗ lực hack bạn thấy trên phương tiện truyền thông phổ biến là một sự xuyên tạc lớn về mức độ công sức cần thiết hoặc mức độ thú vị của việc hack, bởi vì nó tẻ nhạt trong hầu hết thời gian. Đây là một trong những lầm tưởng về mật khẩu nguy hiểm nhất, vì nó khiến người dùng chủ quan.
Đã đến lúc gạt bỏ những lầm tưởng bảo mật này, cho đến khi có giải pháp tốt hơn thay thế mật khẩu
Chúng tôi hiểu rằng việc quản lý mật khẩu là một gánh nặng thực sự, và với khoảng 100 mật khẩu trung bình phải xử lý, đó là một công việc vặt. Sử dụng trình quản lý mật khẩu tự động để lưu, trữ và tự động điền chúng là cách dễ nhất để giữ an toàn cho mật khẩu dài, duy nhất của bạn. Các trình quản lý mật khẩu tốt nhất cũng sẽ lưu trữ ghi chú, chi tiết thẻ tín dụng và các thông tin khác, tất cả đều được mã hóa để không ai ngoài bạn có thể nhìn thấy. Bạn thậm chí có thể sử dụng chúng để chia sẻ mật khẩu với bạn bè đáng tin cậy mà không hiển thị cho họ mật khẩu thực tế, điều này rất tuyệt vời để giữ an toàn cho tài khoản của bạn.
Việc phá bỏ những lầm tưởng về mật khẩu và áp dụng các phương pháp bảo mật hiện đại là bước đi thiết yếu để bảo vệ bản thân trong thế giới kỹ thuật số. Hãy bắt đầu ngay hôm nay để xây dựng thói quen quản lý mật khẩu an toàn và hiệu quả hơn.
Bạn có đồng ý với những lầm tưởng này không? Hay bạn có những lời khuyên bảo mật nào khác muốn chia sẻ? Hãy để lại bình luận bên dưới để cùng congnghe360.net thảo luận nhé!