9 nguyên tắc giúp bạn tạo ra một mật khẩu “bất khả xâm phạm”

Mức độ bảo mật tài khoản ngân hàng, Netflix, Email cùng nhiều ứng dụng khác tùy thuộc vào cách bạn thiết lập và bảo vệ an toàn cho mật khẩu như thế nào.

Mật khẩu “bất khả xâm phạm” là chìa khóa cho bảo mật online, nhưng thách thức ở đây là phải tạo ra là mật khẩu đủ khó, đủ khác biệt nhưng bạn lại có thể nhớ kỹ. Nếu không, bạn sẽ đi vào vết xe đổ: Sử dụng thông tin đăng nhập cá nhân giống nhau cho nhiều tài khoản.

Theo LogMeIN - công ty khai sinh ra trình quản lý mật khẩu LastPass, bạn có thể dễ dàng tạo ra 85 mật khẩu khác nhau cho tất cả các tài khoản một khi tính đến toàn bộ tài khoản mạng xã hội, stream, ngân hàng và ứng dụng.

Nếu thông tin của bạn bị tấn công, những mật khẩu có độ an toàn yếu có thể dẫn tới hậu quả nghiêm trọng, chẳng hạn như tạo điều kiện cho hành vi trộm cắp. Trong năm 2019, đã có 5.183 vụ vi phạm dữ liệu làm lộ dữ liệu cá nhân của khách hàng, chẳng hạn như địa chỉ nhà riêng, thông tin đăng nhập...., khiến hacker dễ dàng đánh cắp danh tính hoặc thực hiện hành vi gian lận. Song, điều đó chẳng là gì so với việc hơn 55 triệu mật khẩu trên thế giới bị đánh cắp - tin tức do chính các hacker tiết lộ trên web đen vào năm 2017.

Những nguyên tắc dưới đây sẽ giúp ích cho bạn trong việc tạo ra một mật khẩu thực sự an toàn, khó đoán và khó phá hỏng.

Để tránh trường hợp tệ nhất xảy ra, hãy thử các phương pháp hay ho có thể giúp giảm thiểu nguy cơ dữ liệu của bạn bị lộ. Vương Khang mang đến cho bạn gợi ý cách tạo và quản lý mật khẩu tốt nhất, cách được cảnh báo nếu chúng bị vi phạm và một mẹo quan trọng giúp nâng độ an toàn cho thông tin đăng nhập của bạn.

Sử dụng trình quản lý để theo dấu mật khẩu

Muốn mạnh, mật khẩu của bạn phải dài hơn 8 ký tự, khó đoán, chứa nhiều chữ, số và các biểu tượng đặc biệt. Tốt nhất là hãy khiến cho nó trở nên khó nhớ, đặc biệt nếu bạn sử dụng một lần đăng nhập cho tất cả các trang.

Một trình quản lý mật khẩu đáng tin, chẳng hạn như 1Password hoặc LastPass có thể tạo, lưu trữ các mật khẩu mạnh và dài cho bạn. Chúng có thể hoạt động qua máy tính để bàn và điện thoại.

Lưu ý là bạn vẫn phải ghi nhớ một mật khẩu chính để mở khóa toàn bộ các mật khẩu khác. Vì thế, hãy tạo ra một mật khẩu mạnh nhất có thể.

Những trình duyệt như Google Chrome và Firefox cũng cung cấp trình quản lý mật khẩu, nhưng độ đáng tin vẫn là một dấu chấm hỏi. Vương Khang gợi ý bạn nên dùng các ứng dụng chuyên nghiệp như là một giải pháp thay thế.

Tất nhiên, trình quản lý mật khẩu với những mật khẩu chính của nó là mục tiêu rõ ràng của hacker. Trên thực tế, trình quản lý mật khẩu không hoàn hảo tới mức không thể bị xâm phạm. LastPass đã phải chỉnh sửa một lỗ hổng vào cuối tháng 9 vừa qua – thứ gây rò rỉ thông tin đăng nhập của khách hàng. Vì danh tiếng của nó, công ty đã phải minh bạch về việc khai thác tiềm năng và các bước xử lý khi bị xâm phạm.

Viết thông tin đăng nhập ra

Hãy nhớ rằng gợi ý này sẽ đi ngược lại tất cả những thứ mà chúng ta đã từng bàn luận về việc bảo vệ bản thân trên thế giới ảo.

Có một sự thực rằng trình quản lý mật khẩu không dành cho tất cả mọi người và một vài trong số đó được dẫn dắt bởi các chuyên gia bảo mật, chẳng hạn như Tổ chức Biên giới điện tử (Electronic Frontier Foundation). Họ gợi ý rằng nên lưu giữ thông tin đăng nhập của bạn trong giấy nhớ hoặc sổ ghi chú chẳng hạn. Đó là phương án khả thi giúp bạn lần theo dấu vết thông tin đăng nhập một cách hiệu quả.

Lưu trữ mật khẩu trong số ghi chú hoặc giấy nhớ, sau đó cất giữ ở một nơi an toàn là một ý tưởng không tồi.

Chúng ta thực sự đang nói đến một công cụ rất cũ, có vẻ lỗi thời là những trang giấy, những quyển vở, không phải là một trang tài liệu điện tử như Word hoặc Google Docs nữa, bởi nếu ai đó có quyền truy cập vào máy tính hoặc các tài khoản online của bạn, họ cũng có thể truy cập vào các file mật khẩu điện tử đó.

Tất nhiên, ai đó cũng có thể đột nhập vào nhà và bỏ đi với chìa khóa vạn năng mở ra toàn bộ cuộc đời của bạn, nhưng rất khó để trường hợp này xảy ra. Tại văn phòng làm việc và nhà, chúng tôi khuyên bạn nên cất giữ những cuốn sổ, mảnh giấy đó ở nơi an toàn – chẳng hạn như khóa nó trong ngăn kéo hoặc bất cứ nơi nào ngoài tầm mắt. Hãy giới hạn số người được phép biết đến nơi bạn cất giữ mật khẩu, đặc biệt là mật khẩu tài khoản ngân hàng.

Kiểm tra nếu mật khẩu bị đánh cắp

Bạn không thể ngăn chặn trường hợp mật khẩu của mình bị rò rỉ, dù là do vi phạm dữ liệu hoặc do hacker. Nhưng bạn có thể kiểm tra bất cứ lúc nào về những tín hiệu cho thấy tài khoản của bạn đang gặp nguy hiểm.

Firefox Monitor của Mozilla và Checkup Password của Google Chrome có thể cho thấy địa chỉ email và password nào của bạn đang bị hư hại do vi phạm dữ liệu, để từ đó bạn có thể đưa ra hướng giải quyết hợp lý.

Tránh xa những từ và tổ hợp ký tự phổ biến trong mật khẩu

Mục tiêu tối thượng là phải tạo ra một mật khẩu mà không ai biết hoặc không dễ đoán. Hãy tránh xa những từ phổ biến và những chuỗi ký tự dễ đoán.

Đồng thời, hãy tránh xa tên, biệt danh, tên gọi của cún cưng, ngày sinh nhật hoặc kỷ niệm đặc biệt nào đó của bạn hoặc bất cứ thứ gì thân thuộc với bạn mà ai đó có thể tìm ra trên mạng xã hội, hoặc từ một cuộc trò chuyện tâm tình nào đó.

Những mật khẩu dài hơn sẽ tốt hơn: tối thiểu 8 ký tự

Tối thiểu 8 ký tự là nguyên tắc cơ bản để tạo ra một mật khẩu mạnh, nhưng một mật khẩu dài hơn sẽ tốt hơn. Tổ chức Biên giới Điện tử và chuyên gia bảo mật Brian Kerbs, cùng nhiều chuyên gia khác, khuyên rằng nên sử dụng một cụm từ gồm 3-4 từ ngẫu nhiên, có vẻ như không liên quan, ghép lại với nhau. Như thế đủ dài, đủ khó đoán, nhưng phải cân nhắc đến việc sử dụng một trình quản lý mật khẩu.

Đừng tái sử dụng mật khẩu

Tái sử dụng mật khẩu cho nhiều tài khoản là một ý tưởng tồi tệ. Nếu ai đó phát hiện ra mật khẩu bạn dùng cho một tài khoản là sản phẩm “tái chế”, điều đó có nghĩa là họ đã nắm giữ chìa khóa cho mọi tài khoản khác mà bạn đang sử dụng mật khẩu đó để bảo vệ.

Hậu quả tương tự cũng sẽ xảy ra nếu bạn sửa mật khẩu gốc bằng cách thêm tiền tố hoặc hậu tố. Ví dụ như matkhau1, matkhau2...

Chỉ cần bạn chọn một mật khẩu độc đáo, hacker muốn xâm nhập vào một tài khoản không thể sử dụng nó để truy cập vào tất cả.

Đừng sử dụng mật khẩu đã bị đánh cắp

Hacker có thể dễ dàng sử dụng những mật khẩu đã bị đánh cắp hoặc rò rỉ trước đó trong những nỗ lực đăng nhập tự động gọi là nhồi tín dụng (credential stuffing) để xâm nhập vào một tài khoản. Nếu muốn kiểm tra xem mật khẩu bạn đang cân nhắc sử dụng đã bị rò rỉ trong một cuộc tấn công hay chưa, hãy đến trang "Have I Been Pwned" và gõ mật khẩu ra.

Không cần định kỳ cài đặt lại mật khẩu

Trong nhiều năm, việc thay đổi mật khẩu định kỳ cứ 60 hoặc 90 ngày một lần là thông lệ được chấp nhận từ lâu.

Nhưng hiện tại, Microsoft gợi ý rằng nếu không có gì nghi ngờ về việc mật khẩu bị rò rỉ, bạn không cần phải thay đổi định kỳ. Vì sao? Nhiều người trong chúng ta, vì bị ép buộc phải thay đổi mật khẩu sau một vài tháng, có thể hình thành thói quen không tốt là đổi sang các mật khẩu dễ nhớ hơn hoặc viết chúng lên giấy ghi nhớ, dán cạnh máy tính như một biện pháp đối phó tạm thời.

Sử dụng xác thực 2 bước, nhưng hãy cố tránh xa các mã tin nhắn văn bản

Nếu kẻ xấu đánh cắp mật khẩu, bạn có thể ngăn chặn việc họ nhận được quyền truy cập vào tài khoản nhờ xác thực 2 bước (còn gọi là xác minh 2 bước hoặc 2FA) - một bộ phận an toàn bảo mật yêu cầu bạn phải gõ hai phần thông tin mà chỉ bạn mới có (thường là các mã code dùng một lần) trước khi ứng dụng hoặc dịch vụ đó cho phép bạn đăng nhập.

Xác thực 2 bước là một mẹo đơn giản được nhiều người sử dụng.

Với cách này, ngay cả khi hacker biết mật khẩu của bạn nhưng vì không có trong tay thiết bị đáng tin (như điện thoại của bạn chẳng hạn) và mã xác nhận chứng thực đó thực sự là bạn, chúng không thể nào truy cập vào tài khoản của bạn.

Nhận mã code trong tin nhắn văn bản trên điện thoại hoặc trong một cuộc gọi đến trên điện thoại cố định là cách thức phổ biến và thuận tiện. Thật đơn giản để hacker đánh cắp số điện thoại thông qua hành vi gian lận hoán đổi SIM, sau đó, chặn mã xác nhận của bạn.

Cách an toàn hơn để nhận mã xác thực là hãy tự tạo và tìm nạp chúng bằng cách dùng các ứng dụng xác thực như Authy, Google Authenticator hoặc Microsoft Authenticator. Và một khi cài đặt, bạn có thể chọn đăng ký thiết bị hoặc trình duyệt. Nhờ vậy, bạn không cần tiếp tục xác minh mỗi khi đăng nhập.

Khi đề cập đến bảo mật bằng mật khẩu, sự chủ động của bạn là phương thức bảo vệ hiệu quả nhất. Nó bao gồm việc nhận thức rằng liệu mật khẩu và email của bạn có bị ném lên web đen và liệu bạn có thể phát hiện dữ liệu của mình đã bị rò rỉ hay không.