Mật khẩu – công cụ bảo mật tưởng chừng đơn giản này đã tồn tại từ thời La Mã cổ đại với những “từ khóa” để phân biệt bạn bè và kẻ thù. Tuy nhiên, mật khẩu kỹ thuật số lại có lịch sử lâu đời hơn bạn nghĩ, ra đời vào năm 1961 bởi giáo sư khoa học máy tính Fernando Corbato của MIT. Ban đầu, nó không phải là một tính năng bảo mật mà chỉ là một phương tiện chia sẻ thời gian trên máy tính. Nhưng chính từ hạt giống đó, mật khẩu kỹ thuật số đã phát triển thành công cụ bảo vệ quyền riêng tư cho mọi thứ chúng ta sử dụng ngày nay.
Gần 65 năm kể từ khi ra đời, mật khẩu máy tính vẫn chưa sẵn sàng để “nghỉ hưu”. Trong khoảng thời gian đó, chúng ta đã chứng kiến sự thay đổi từ mật khẩu đơn giản sang mật khẩu có ký tự đặc biệt, rồi đến mã khóa (passkey) loại bỏ nhu cầu nhập mật khẩu, và cụm mật khẩu (passphrase) dễ nhớ hơn vì chúng là một nhóm các từ thông thường.
Trong suốt quá trình này, vô số lời khuyên đã được đưa ra về những gì nên và không nên có trong mật khẩu của bạn. Một số lời khuyên vẫn đúng cho đến ngày nay, nhưng những lời khác đã trở thành huyền thoại và được làm theo mà không biết lý do chúng được đề xuất. Nhiều lầm tưởng trong số này chỉ là sản phẩm của một thời đại trước, không còn phù hợp với bối cảnh an ninh hiện nay. Hãy cùng camnangcongnghe.net bác bỏ một vài “chuyện cổ tích” nổi tiếng về độ mạnh của mật khẩu.
1. Cần ký tự đặc biệt và số để mật khẩu mạnh hơn
Chúng không tự động khiến mật khẩu của bạn khó đoán hơn bởi chương trình máy tính
Người dùng đang thao tác trên điện thoại Samsung Galaxy S23 với ứng dụng Google, có thể là Google Password Manager.
Việc sử dụng số và ký tự đặc biệt trong mật khẩu chủ yếu là một yếu tố tâm lý hơn là một yếu tố bảo mật thực tế. Một mật khẩu như M@tkh4u!@ trông có vẻ an toàn hơn Matkhau, và điều đó khiến mọi người cảm thấy yên tâm hơn về lựa chọn của mình. Nếu không có danh sách các yếu tố bắt buộc, bản chất con người có xu hướng chọn mật khẩu ngắn hơn, đó là lý do chúng ta thường thấy 123456 hoặc asdfgh là những cụm mật khẩu phổ biến.
Một vấn đề khác là mật khẩu của bạn được lưu trữ trong cơ sở dữ liệu, và hầu hết các công ty đều có quy trình làm sạch dữ liệu đầu vào (sanitization) kém. Đây là lý do tại sao hầu hết các dịch vụ chỉ cho phép bạn chọn một vài ký tự đặc biệt chứ không phải tất cả các ký tự bạn có thể thấy trên bàn phím. Những ký tự không được phép có xu hướng làm hỏng cơ sở dữ liệu và thậm chí có thể bị lợi dụng để đánh cắp bí mật.
2. Mật khẩu phức tạp sẽ tốt hơn
Chiều dài, chứ không phải độ rộng, mới là yếu tố quan trọng hơn nhiều
Màn hình kiểm tra độ mạnh mật khẩu hiển thị mật khẩu "ABC123" với cảnh báo yếu, minh họa mật khẩu kém bảo mật.
Khi chọn một mật khẩu mới, chúng ta thường có cảm giác rằng một mật khẩu phức tạp sẽ mạnh hơn một mật khẩu đơn giản nhưng dài hơn. Điều này không đúng bởi các chương trình bẻ khóa hiện đại có thể xử lý độ phức tạp trong thời gian cực ngắn. Với nhiều dịch vụ yêu cầu mật khẩu tối thiểu tám ký tự, những mật khẩu này có thể bị bẻ khóa trong chưa đầy 3 giờ nếu chúng chứa số, chữ hoa, chữ thường và ký hiệu.
Nhưng nếu bạn tăng độ dài lên 13 ký tự trong khi vẫn giữ nguyên sự kết hợp phức tạp, thời gian bẻ khóa giờ đây sẽ là 3 triệu năm. Và nếu bạn có 15 ký tự, bạn chỉ cần chữ hoa và chữ thường để đạt được thời gian bẻ khóa 2 triệu năm. Độ phức tạp rất hữu ích, nhưng chiều dài của mật khẩu có sức mạnh lớn hơn nhiều.
Ví dụ, cụm RaceDrabCorridorUndertakeVotingStrongboxFlagstoneFlintRenditionRouting mạnh hơn nhiều so với summer2022!, không phải vì độ phức tạp của nó, mà vì nó dài hơn nhiều, ngay cả khi không có ký tự đặc biệt và chỉ sử dụng các chữ cái. Hãy sử dụng một câu nếu bạn có thể nhớ nó, hoặc tốt nhất là dùng trình quản lý mật khẩu vì đó là công dụng của chúng.
3. Mật khẩu nên dễ nhớ
Có thể, nhưng điều đó không có nghĩa là chúng cũng nên ngắn
Màn hình kiểm tra độ mạnh mật khẩu với chuỗi "123456" màu đỏ, biểu thị mật khẩu rất yếu và dễ bị tấn công.
Cố gắng quản lý các thông tin đăng nhập kỹ thuật số bằng cách ghi nhớ chúng sẽ không hiệu quả trừ khi bạn là một thiên tài. Thực sự, nó giống như cố gắng ghi nhớ một cuốn danh bạ điện thoại, và bạn không nên cố gắng làm điều đó. Hãy sử dụng một trình quản lý mật khẩu để lưu trữ chúng cho bạn. Nếu bạn phải sử dụng những mật khẩu mà bạn có thể nhớ, như mật khẩu chính cho trình quản lý mật khẩu của mình, hãy sử dụng một cụm mật khẩu có ít nhất 20 ký tự để khó bị tấn công vét cạn (brute force).
Điều này là hiển nhiên, nhưng camnangcongnghe.net vẫn sẽ nói ra: đừng sử dụng mật khẩu chính của trình quản lý mật khẩu ở bất kỳ nơi nào khác. Bạn sẽ không để chìa khóa nhà hoặc chìa khóa xe của mình vứt lung tung; đừng làm điều tương tự với chìa khóa kỹ thuật số của bạn.
Giao diện ứng dụng Quản lý Mật khẩu trên iPhone đặt trên bàn, thể hiện sự tiện lợi của việc lưu trữ mật khẩu an toàn.
4. Nên đổi mật khẩu thường xuyên
Hãy trách các yêu cầu mật khẩu của chính phủ về điều này
Ảnh chụp màn hình quy trình đặt lại mật khẩu cho tài khoản cục bộ trên Windows 11, minh họa việc quản lý mật khẩu hệ thống.
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) có một tài liệu lớn về các phương pháp hay nhất về mật khẩu, được cập nhật định kỳ khi bối cảnh bảo mật thay đổi. Tài liệu đó chịu trách nhiệm trực tiếp cho nhiều lầm tưởng ở đây vì tại thời điểm đó, nó được cho là cách tốt nhất để giữ an toàn. Nhưng các tiêu chuẩn và thực hành bảo mật cũng thay đổi theo thời gian, và bạn không cần phải đặt lại mật khẩu của mình thường xuyên để giữ an toàn.
Lời khuyên này quay trở lại khi người dùng chỉ có một vài mật khẩu để lo lắng, và nó được cho là giúp bạn an toàn hơn bằng cách hạn chế các vụ vi phạm, ngăn chặn truy cập lâu dài nếu ai đó hack hoặc lừa đảo mật khẩu của bạn, và hạn chế phạm vi của các phần mềm ghi lại thao tác bàn phím (keystroke loggers). Nhưng đây cũng là một tàn dư có thể được loại bỏ an toàn, vì phương pháp hay nhất là có mật khẩu duy nhất cho mỗi tài khoản, để nếu bạn bị lộ thông tin, chỉ một tài khoản bị xâm phạm, và bạn có thể dễ dàng thay đổi mật khẩu đó.
5. Không cần MFA hoặc 2FA
Ngay cả với mật khẩu mạnh, bảo mật đa lớp luôn là giải pháp đúng đắn
Cài đặt xác thực hai yếu tố (2FA) cho Apple ID trên iPhone, hiển thị các bước bảo mật bổ sung cho tài khoản.
Ngay cả khi sử dụng mật khẩu duy nhất và dài, đôi khi nó vẫn bị rò rỉ. Đôi khi tin tặc lấy được cookie phiên (session cookie) mà bạn đã sử dụng trong quá trình đăng nhập và sử dụng nó để mở tài khoản. Dù là lỗ hổng nào, một kẻ tấn công quyết tâm sẽ tìm thấy nó, trừ khi bạn có nhiều lớp bảo mật hơn. Sử dụng Xác thực Đa yếu tố (MFA) hoặc Xác thực Hai yếu tố (2FA) là một trong những lớp đó, và bạn nên sử dụng một ứng dụng cho việc này, chứ không phải SMS.
Điều này là do thẻ SIM điện thoại quá dễ bị chiếm đoạt và mã SMS có thể bị gửi đến nơi khác. Trừ khi kẻ tấn công có điện thoại của bạn và đã mở khóa nó, các ứng dụng 2FA mang lại cho tài khoản của bạn cơ hội tốt hơn để không bị chiếm quyền kiểm soát.
6. Chia sẻ mật khẩu với người tin cậy là ổn
Một bí mật không còn là bí mật nếu có nhiều hơn một người biết nó
Điện thoại Samsung Galaxy S22 hiển thị mã QR để chia sẻ mật khẩu Wi-Fi, minh họa tính năng chia sẻ mạng không dây trên Android.
Sẽ có những tình huống bạn muốn chia sẻ mật khẩu của mình với bạn bè hoặc gia đình, nhưng đó là một ý tưởng tồi. Nhiều hơn một người biết mật khẩu của bạn là quá nhiều, và bạn không biết người đó đã đăng nhập vào bao nhiêu thiết bị và quên đăng xuất. Nếu bạn muốn chia sẻ Wi-Fi nhà mình, hãy thiết lập một mạng khách thay thế và chia sẻ mật khẩu truy cập, sau đó thay đổi mật khẩu khi họ rời đi. Càng ít thiết bị đăng nhập vào Wi-Fi của bạn càng tốt. Đừng chia sẻ mật khẩu Netflix hoặc các dịch vụ streaming khác, nếu không tài khoản của bạn có thể bị nhà cung cấp dịch vụ chặn.
7. Tái sử dụng mật khẩu là ổn
Bạn nên có mật khẩu duy nhất, dài cho mỗi dịch vụ bạn đăng nhập
Hoàn toàn không, điều này nên quay trở lại những ngày xa xưa và ở lại đó. Mỗi tài khoản bạn có nên có một mật khẩu duy nhất, dài, khó đoán, được lưu trữ an toàn trong trình quản lý mật khẩu. Việc tái sử dụng mật khẩu giữa các tài khoản làm tăng nguy cơ tất cả các tài khoản của bạn bị tấn công. Điều tồi tệ hơn là hầu hết mọi người đều biết rõ hơn, nhưng vẫn tái sử dụng mật khẩu vì nó dễ dàng hơn.
Thiết bị khóa bảo mật vật lý YubiKey, biểu tượng của các phương pháp xác thực không mật khẩu và bảo mật nâng cao.
8. Không cần trình quản lý mật khẩu
Ồ, có chứ, bạn cần, và bạn nên sử dụng nó cho mọi thứ
Nếu việc sử dụng mật khẩu dài, duy nhất là tuyến phòng thủ tốt nhất chống lại tin tặc, và sử dụng MFA hoặc 2FA là tuyến thứ hai, thì sử dụng trình quản lý mật khẩu là tuyến thứ ba. Các trình quản lý mật khẩu tốt nhất sẽ tự động tạo mật khẩu cho bạn, lưu chúng và giúp bạn nhập chúng vào trang web hoặc ứng dụng vào lần tiếp theo bạn truy cập. Bạn cần một trình quản lý mật khẩu bởi vì, trừ khi bạn muốn bàn làm việc của mình đầy những tờ ghi chú Post-it, khoảng 100 mật khẩu bạn có cần được lưu ở đâu đó. Và đó là con số trung bình, với những người dùng internet chuyên sâu hoặc lập trình viên có thể phải đối phó với số lượng gấp bội. Hãy sử dụng một trình quản lý mật khẩu, tốt nhất không phải là trình quản lý tích hợp sẵn trong trình duyệt web của bạn, và sử dụng nó mọi lúc.
Hình ảnh tổng hợp các logo của các ứng dụng quản lý mật khẩu miễn phí hàng đầu năm 2024, gợi ý các lựa chọn bảo mật.
9. Ghi lại mật khẩu là không an toàn
Nó tốt hơn nhiều so với việc sử dụng mật khẩu không an toàn cho mọi tài khoản
Vậy, lời khuyên cổ điển về việc không ghi lại mật khẩu của bạn là sai. camnangcongnghe.net không có ý nói rằng bạn nên dán mật khẩu của mình trên một tờ ghi chú Post-it trên màn hình máy tính (vì tất cả chúng ta đều từng làm vậy), nhưng việc ghi chúng vào một cuốn sổ được cất giữ an toàn trong ngăn kéo bàn làm việc không khác gì việc có một trình quản lý mật khẩu kỹ thuật số với mọi thứ được mã hóa.
Một mức độ bảo mật nào đó tốt hơn là không có gì, và một số người sẽ không sử dụng trình quản lý mật khẩu vì nhiều lý do khác nhau. Nhưng họ thường sẽ sử dụng sổ tay và bút, và việc ghi nhớ mật khẩu ở một nơi an toàn là toàn bộ mục đích của việc có trình quản lý mật khẩu. Tuy nhiên, có một vài điều cần lưu ý: mật khẩu được viết ra của bạn vẫn phải dài ít nhất 16 ký tự, hoặc tốt hơn nữa, là một cụm mật khẩu bạn có thể nhớ nếu cố gắng. Và nó cần được khóa lại khi không sử dụng, điều này khiến nó trở thành một gánh nặng khi sử dụng, nhưng là cần thiết.
Một cuốn sổ kỹ thuật số (digital notebook) với bút cảm ứng, thể hiện sự kết hợp giữa ghi chú truyền thống và công nghệ hiện đại.
10. Hack mật khẩu rất khó
Với số lượng vụ rò rỉ mật khẩu hàng năm, hãy giả định mọi thứ đều đã bị xâm phạm
Khoa học bẻ khóa mật khẩu đã được hiểu rất rõ ở thời điểm hiện tại, và ngay cả phần cứng máy tính khiêm tốn cũng có thể thực hiện các cuộc tấn công như vét cạn (brute force), bảng cầu vồng (rainbow tables), nhồi nhét mật khẩu (password stuffing) và các cách khác để truy cập vào các tài khoản trực tuyến. Điều này được hỗ trợ bởi hàng terabyte thông tin đăng nhập mật khẩu bị rò rỉ đang trôi nổi trên internet, được thu thập trong nhiều năm. Nếu bạn nghĩ mật khẩu duy nhất của mình thực sự là duy nhất, rất có thể không phải vậy và nó đã có trong một trong những tệp dữ liệu rò rỉ đó.
Không khó để tải xuống một bot và thiết lập nó để cố gắng tấn công các tài khoản trực tuyến. camnangcongnghe.net thường xuyên thấy điều này trong nhật ký tài khoản Microsoft không mật khẩu, nơi các thông tin đăng nhập cũ được thử mỗi 30 phút. Nó không đủ để thông báo cho bạn hoặc khóa tài khoản, nhưng đôi khi nó hỏi liệu tôi có đang cố gắng đăng nhập không, hoặc một email với mật khẩu dùng một lần cho một thiết bị duy nhất. Nó phần lớn là tự động và không cần nỗ lực sau khi được thiết lập. Những nỗ lực tấn công bạn thấy trên các phương tiện truyền thông đại chúng là một sự xuyên tạc trắng trợn về mức độ nỗ lực cần thiết hoặc sự thú vị của việc tấn công, bởi vì hầu hết thời gian nó rất tẻ nhạt.
Cho đến khi một giải pháp tốt để thay thế mật khẩu xuất hiện, đã đến lúc ngừng tin vào những lầm tưởng bảo mật này
Chúng tôi hiểu rằng việc quản lý mật khẩu là một gánh nặng thực sự, và với khoảng 100 mật khẩu trung bình phải xử lý, đó là một công việc vất vả. Sử dụng một trình quản lý mật khẩu tự động để lưu, trữ và tự động điền chúng là cách dễ nhất để giữ an toàn cho mật khẩu dài, duy nhất của bạn. Các trình quản lý mật khẩu tốt nhất cũng sẽ lưu trữ ghi chú, chi tiết thẻ tín dụng và các thông tin khác, tất cả đều được mã hóa để không ai ngoài bạn có thể thấy. Bạn thậm chí có thể sử dụng chúng để chia sẻ mật khẩu với bạn bè đáng tin cậy mà không cần hiển thị cho họ mật khẩu thực tế, điều này thật tuyệt vời để giữ an toàn cho tài khoản của bạn.