Mặc dù hầu hết chúng ta đều ý thức được tầm quan trọng của các phương pháp bảo mật mật khẩu cơ bản, nhưng thực tế là không ít người trong chúng ta vẫn mắc phải ít nhất một số thói quen xấu gây rủi ro cho mật khẩu và các tài khoản trực tuyến. Có nhiều cách khác nhau khiến mật khẩu của bạn bị đe dọa, và thậm chí còn có những thiết bị đi kèm với mật khẩu mặc định rất tệ. Những thói quen xấu này có thể dễ dàng sửa chữa, nhưng một số khác sẽ đòi hỏi sự thay đổi đáng kể trong hành vi của bạn. Tuy nhiên, nếu bạn từ bỏ được những thói quen này, mật khẩu của bạn chắc chắn sẽ được bảo mật tốt hơn rất nhiều. Bài viết này sẽ chỉ ra 7 thói quen xấu phổ biến mà người dùng công nghệ Việt Nam thường mắc phải và cách khắc phục để tăng cường an ninh cho cuộc sống số của bạn.
Màn hình máy tính hiển thị Google Password Manager, công cụ quản lý mật khẩu an toàn.
1. Tái Sử Dụng Mật Khẩu Trên Nhiều Tài Khoản
Tăng điểm tiếp xúc rủi ro
Tôi phải thừa nhận rằng tôi cũng từng mắc lỗi này. Mặc dù tôi đã cải thiện đáng kể trong những năm qua về việc sử dụng mật khẩu duy nhất cho các tài khoản khác nhau, nhưng tôi vẫn có một số tài khoản cũ dùng chung mật khẩu. Nguy hiểm của việc tái sử dụng mật khẩu là nếu một trong các tài khoản của bạn bị xâm phạm, tin tặc có thể sử dụng chính mật khẩu đó để nhắm mục tiêu vào các tài khoản khác của bạn.
Hãy tưởng tượng bạn dùng cùng một mật khẩu cho email, mạng xã hội và các tài khoản dịch vụ stream. Kẻ tấn công chỉ cần xâm nhập một trong số đó là có thể truy cập vào tất cả các tài khoản còn lại.
Nếu bạn đang sử dụng một trình quản lý mật khẩu (password manager), bạn có thể kiểm tra xem có bao nhiêu tài khoản của mình dùng chung mật khẩu. Ví dụ, khi tôi chạy công cụ Kiểm tra Mật khẩu của Google Password Manager, nó đã báo cáo hơn 200 mật khẩu bị trùng lặp. Rất nhiều tài khoản trong số này đã có từ nhiều năm trước và là những dịch vụ mà tôi không còn sử dụng. Kết quả là, tôi đã xem xét các tài khoản này, xóa bỏ hoàn toàn hoặc thay đổi mật khẩu ở những nơi không thể xóa. Tất nhiên, có một số tài khoản bị gắn cờ đã không còn tồn tại. Hoặc, nếu bạn tự host phần mềm, một số mật khẩu đã lưu này có thể là thông tin đăng nhập mặc định cho các ứng dụng đó.
Giao diện kiểm tra mật khẩu trong Google Password Manager, phát hiện các mật khẩu bị trùng lặp.
2. Chia Sẻ Mật Khẩu Với Người Khác
Người khác có thể khiến mật khẩu của bạn gặp rủi ro
Chia sẻ mật khẩu là thói quen phổ biến khi bạn dùng chung tài khoản với người khác, chẳng hạn như tài khoản cho một trang web stream đa phương tiện. Tuy nhiên, với việc các trang web stream ngày càng siết chặt việc chia sẻ mật khẩu, lý do để biện minh cho việc này ngày càng ít đi. Lý do lớn nhất khiến điều này tiềm ẩn rủi ro là nếu thiết bị của người khác bị xâm phạm hoặc họ có thực hành an ninh mạng kém, mật khẩu của bạn có thể bị lộ.
Nếu bạn chia sẻ tài khoản với ai đó, hãy xem xét liệu có cách nào để chia sẻ tài khoản mà không cần thực sự chia sẻ mật khẩu của bạn hay không. Ví dụ, với tài khoản YouTube Premium Family, bạn có thể chia sẻ tài khoản bằng cách mời các tài khoản người dùng khác vào gói đăng ký chung. Plex cũng cho phép bạn chia sẻ thư viện media của mình với một tài khoản khác, thay vì cấp quyền truy cập trực tiếp vào tài khoản của bạn. Một số trình quản lý mật khẩu cũng cho phép bạn chia sẻ mật khẩu một cách an toàn với người khác mà không làm lộ tài khoản của bạn.
Giao diện chia sẻ thư viện Plex, minh họa cách chia sẻ tài khoản an toàn mà không cần mật khẩu.
3. Sử Dụng Tính Năng Đăng Nhập Bằng Tài Khoản Mạng Xã Hội
Không phải lúc nào cũng tránh được
Mặc dù việc đăng nhập bằng tài khoản mạng xã hội (như Facebook hay Google) về mặt kỹ thuật cho phép bạn đăng nhập vào các dịch vụ bên thứ ba mà không cần sử dụng mật khẩu, nhưng nó có thể làm lộ các thông tin nhạy cảm khác nếu bạn liên kết với một nền tảng không đáng tin cậy. Ngoài ra, còn có nguy cơ token truy cập (thay vì mật khẩu) của bạn bị xâm phạm và được sử dụng để truy cập vào các tài khoản khác.
Tôi từng thích liên kết các tài khoản khác nhau thông qua một lần đăng nhập duy nhất để tránh phải nhớ nhiều mật khẩu. Tuy nhiên, sau đó tôi nhận ra rằng điều này có thể làm lộ nhiều tài khoản cùng lúc nếu tài khoản trung tâm bị xâm phạm. Tùy thuộc vào thông tin được chia sẻ giữa các tài khoản, điều này cũng có thể đặt dữ liệu và thông tin cá nhân khác vào tình thế rủi ro. Tuy nhiên, không phải lúc nào bạn cũng có thể tạo một tài khoản độc lập cho mỗi dịch vụ sử dụng. Ví dụ, khi tôi thử dùng Tana, dịch vụ này chỉ cho phép tôi tạo tài khoản bằng cách sử dụng tài khoản Google, Microsoft, GitHub hoặc Apple.
Mặc dù không phải lúc nào cũng có thể giữ các tài khoản của bạn hoàn toàn riêng biệt, nhưng tốt nhất bạn nên tạo một tài khoản riêng với mật khẩu khác nhau bất cứ khi nào có thể. Theo thời gian, tôi đã giảm thiểu việc sử dụng đăng nhập bằng mạng xã hội càng nhiều càng tốt, đặc biệt là với tài khoản Facebook của mình. Bạn có thể xem tổng quan về các tài khoản đã liên kết trong cài đặt tài khoản trên các nền tảng lớn. Hãy đảm bảo rằng bạn cập nhật phương thức đăng nhập cho các tài khoản đã liên kết trước khi thu hồi quyền truy cập.
Trang tạo tài khoản Tana, chỉ cho phép đăng nhập qua tài khoản Google, Microsoft, GitHub hoặc Apple.
4. Đặt Mật Khẩu Dễ Đoán
Một trong những thói quen xấu lâu đời nhất
Tôi đã nghĩ rằng xu hướng sử dụng mật khẩu yếu sẽ biến mất theo thời gian, nhưng mỗi khi các công ty an ninh mạng công bố danh sách các mật khẩu phổ biến nhất, chúng lại chứng minh điều ngược lại. Nếu bạn đang sử dụng các mật khẩu như “password”, “123456” hoặc “qwerty”, bạn đang đặt dữ liệu của mình vào tình thế nguy hiểm.
Khi tin tặc xâm nhập các tài khoản, chúng có thể sử dụng các cuộc tấn công vét cạn (brute force attacks) và phun mật khẩu (password spraying) để thử qua các mật khẩu phổ biến khác nhau nhằm xem có cái nào khớp với thông tin đăng nhập tài khoản của bạn hay không. Chúng cũng có thể sử dụng các thông tin bị rò rỉ khác, chẳng hạn như ngày sinh hoặc tên.
Ngay cả khi bạn sử dụng một mật khẩu rất riêng tư mà tin tặc khó có thể đoán được, điều này vẫn khiến tài khoản của bạn dễ bị tổn thương bởi những người xung quanh. Họ có thể dễ dàng đăng nhập vào máy tính và các thiết bị khác của bạn bằng cách sử dụng thông tin về bạn.
Ví dụ về mật khẩu yếu hiển thị trên tài khoản Google, cảnh báo rủi ro bảo mật.
5. Không Cập Nhật Thông Tin Về Các Vụ Rò Rỉ Dữ Liệu
Dễ dàng hơn bao giờ hết để nắm bắt thông tin
Trước đây, việc theo dõi các vụ rò rỉ và vi phạm dữ liệu rất khó khăn, nhiều người chỉ có thể biết mật khẩu của mình có bị xâm phạm hay không khi một công ty hoặc dịch vụ liên hệ với khách hàng về thông tin bị lộ. Nhưng nhờ các nền tảng như HaveIBeenPwned, cũng như các tính năng tìm kiếm trên dark web trong các trình quản lý mật khẩu, bạn có thể dễ dàng cập nhật thông tin về việc dữ liệu của mình có bị xâm phạm hay không.
Nếu bạn không có quyền truy cập vào tính năng tìm kiếm trên dark web thông qua trình quản lý mật khẩu của mình, tôi khuyên bạn nên đăng ký nhận thông báo từ một trang web như HaveIBeenPwned. Việc chủ động nắm bắt thông tin này giúp bạn nhanh chóng thay đổi mật khẩu bị lộ, giảm thiểu rủi ro bị tấn công hoặc lạm dụng dữ liệu cá nhân.
Trang web HaveIBeenPwned hiển thị trạng thái bị lộ dữ liệu, công cụ kiểm tra rò rỉ mật khẩu.
6. Lưu Trữ Mật Khẩu Bằng Các Phương Pháp Không An Toàn
Phổ biến hơn bạn nghĩ
Với rất nhiều trình quản lý mật khẩu có sẵn ngày nay, bạn không nên lưu trữ mật khẩu của mình trong các tài liệu văn bản đơn giản hoặc bảng tính. Nếu ai đó truy cập được vào thiết bị của bạn hoặc tài khoản đám mây nơi bạn đang lưu trữ thông tin, họ sẽ có quyền truy cập vào thông tin đăng nhập của tất cả các tài khoản của bạn.
Đúng vậy, rất khó để nhớ một số lượng lớn mật khẩu – nhưng đó là lý do tại sao mọi người dựa vào các trình quản lý mật khẩu. Chúng lưu trữ mật khẩu của bạn đằng sau mã hóa, hoặc khi thiếu mã hóa, ít nhất là đằng sau mật khẩu thiết bị hoặc sinh trắc học. Bạn thậm chí có thể tự host trình quản lý mật khẩu của mình để kiểm soát tối đa.
Tôi nhận ra mọi người vẫn làm điều này cách đây một thời gian khi một công ty tôi làm việc cùng chia sẻ chi tiết truy cập tài khoản của họ trong một Google Spreadsheet. Nếu bạn vẫn đang làm điều này, tôi khuyên bạn nên sử dụng một trình quản lý mật khẩu thay thế.
Ví dụ về mật khẩu yếu được lưu trữ dưới dạng văn bản thuần túy trong Google Sheets, phương pháp không an toàn.
7. Không Thay Đổi Mật Khẩu Cũ
Mật khẩu nên có ngày hết hạn
Đây là một thói quen xấu khác mà tôi cũng mắc phải, nhưng tôi đã cải thiện được nhờ các dịch vụ mà mật khẩu của bạn tự động hết hạn sau một khoảng thời gian nhất định. Mật khẩu cũ đặt dữ liệu của bạn vào rủi ro khi một dịch vụ bị xâm phạm, ngay cả nhiều năm sau khi bạn ngừng sử dụng nó. Nếu bạn kết hợp điều này với việc tái sử dụng mật khẩu trên các tài khoản, rủi ro sẽ càng tăng lên.
Từ kinh nghiệm cá nhân của tôi, việc giữ nguyên mật khẩu cũ có nghĩa là tôi đã có một số tài khoản liên kết với những mật khẩu rất yếu từ khi tôi còn ít kiến thức về an ninh mạng. Mặc dù không có mật khẩu nào tệ như “12345”, nhưng chúng cũng không đủ mạnh như lẽ ra phải có.
Thay đổi mật khẩu sau mỗi vài tháng hoặc ít nhất mỗi năm một lần là một thực hành bảo mật tốt. Mặc dù phải mất một chút thời gian để cập nhật các tài khoản khác nhau, nhưng điều này cải thiện bảo mật tổng thể của bạn. Nó cũng có nghĩa là các vụ rò rỉ dữ liệu cũ sẽ không làm lộ mật khẩu hiện tại của bạn.
Cài đặt bảo mật trong Payoneer, nơi người dùng có thể thay đổi mật khẩu định kỳ để tăng cường an ninh.
Loại Bỏ Thói Quen Xấu Để Giữ Mật Khẩu Của Bạn Luôn An Toàn
Mặc dù một số thói quen này có thể khó từ bỏ và cần thời gian để khắc phục, nhưng việc làm như vậy sẽ nâng cao đáng kể mức độ bảo mật cho các tài khoản của bạn. Để tăng cường bảo mật hơn nữa, hãy cân nhắc thiết lập xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) cho các tài khoản quan trọng nhất của bạn. Bằng cách này, ngay cả khi mật khẩu của bạn bị lộ, bạn vẫn sẽ nhận được thông báo về bất kỳ nỗ lực đăng nhập nào và có thể chủ động ngăn chặn các mối đe dọa. Hãy bắt đầu xây dựng thói quen quản lý mật khẩu thông minh ngay hôm nay để bảo vệ tối đa cuộc sống số của bạn!