Mật khẩu mạnh là chìa khóa dẫn tới sự an toàn, bảo mật. Thách thức ở đây là cần tạo ra mật khẩu mạnh mà người dùng có thể ghi nhớ, đồng thời tránh những thói quen xấu có thể gây rủi ro cho người dùng như việc tái sử dụng mật khẩu cho nhiều tài khoản. Câu hỏi đặt ra là vậy người dùng có thể nhớ được bao nhiêu mật khẩu? Theo LogMeln, nhà cung cấp trình quản lý mật khẩu LastPass, người dùng có thể dễ dàng có 85 mật khẩu cho tất cả mọi tài khoản, từ ngân hàng cho đến ghi hình trực tuyến lên các phương tiện truyền thông.
Mật khẩu yếu hoặc lạm dụng việc tái sử dụng mật khẩu có thể gây hậu quả nghiêm trọng nếu dữ liệu của người dùng bị tấn công ngay cả khi sử dụng mật khẩu mạnh. Ví dụ, các tổ chức/doanh nghiệp đã báo cáo 5.183 vụ rò rỉ thông tin năm 2019, tiết lộ thông tin cá nhân như thông tin đăng nhập và địa chỉ nhà, từ đó tạo cơ hội cho kẻ xấu lừa đảo hoặc đánh cắp danh tính người dùng. Trong năm 2017, tin tặc đã công bố 555 triệu mật khẩu bị đánh cắp lên trang web đen (dark web), mà tội phạm có thể sử dụng để xâm nhập tài khoản của người dùng.
Việc đảm bảo an toàn cho mật khẩu có thể không hoàn toàn ngăn chặn dữ liệu của người dùng bị rò rỉ, nhưng đó là cách thực tế nhất giúp người dùng giảm thiểu nguy cơ xảy ra rủi ro. Dưới đây là 9 quy tắc để tạo, quản lý, đảm bảo an toàn cho mật khẩu và cách nhận biết biết tài khoản có bị đánh cắp hay không.
Quy tắc 1: Sử dụng trình quản lý mật khẩu để theo dõi mật khẩu
Mật khẩu mạnh có đặc điểm dài hơn 8 ký tự, khó đoán, chứa nhiều loại ký tự, số và ký hiệu đặc biệt. Những mật khẩu tốt có thể khó nhớ, đặc biệt nếu người dùng sử dụng thông tin đăng nhập riêng biệt cho các trang web khác nhau (phương pháp được khuyến nghị). Đây là lý do mà trình quản lý mật khẩu ra đời.
Trình quản lý mật khẩu đáng tin cậy như 1Password hoặc LastPass có thể tạo và lưu trữ các mật khẩu dài, mạnh và an toàn cho người dùng, ngay cả trên máy tính hay điện thoại.
Một lưu ý nhỏ là người dùng vẫn cần ghi nhớ một mật khẩu chính duy nhất để mở khóa tất cả các mật khẩu khác. Do vậy, hãy đảm bảo rằng mật khẩu chính là mạnh nhất có thể (dưới đây sẽ có các hướng dẫn cụ thể).
Thực tế, trình duyệt như Chrome và Firefox cũng có trình quản lý mật khẩu. Tuy nhiên, trang tin TechRepublic lại bày tỏ sự lo ngại về cách các trình duyệt này đảm bảo an toàn cho những mật khẩu lưu trữ và khuyến khích sử dụng ứng dụng chuyên dụng thay thế.
Các trình quản lý mật khẩu với duy nhất một mật khẩu là mục tiêu thu hút tin tặc và tất nhiên các trình quản lý cũng không thể hoàn hảo. LastPass đã vá một lỗ hổng vào tháng 9/2019 có thể dẫn đến rò rỉ thông tin đăng nhập của khách hàng. Để giữ uy tín, công ty đã công khai minh bạch khai thác này và các bước cần thực hiện trong trường hợp bị tấn công.
Quy tắc 2: Ghi thông tin đăng nhập ra giấy
Đề xuất này trông có vẻ như đi ngược lại với những gì được nghe về bảo mật trực tuyến. Tuy nhiên, không phải ai cũng muốn sử dụng trình quản lý mật khẩu. Ngay cả những chuyên gia bảo mật hàng đầu như tổ chức quốc tế bảo vệ quyền lợi số (Electronic Frontier Foundation - EFF) đã khuyến cáo rằng, giữ thông tin đăng nhập trên giấy hoặc sổ ghi chú là một cách hữu hiệu để theo dõi thông tin đăng nhập.
Lưu ý, giấy được nhắc đến là giấy thực sự theo cách truyền thống, không phải tài liệu điện tử như tệp Word hay bảng tính Google, bởi vì nếu một ai đó truy cập máy tính hay tài khoản online của người dùng, họ cũng có thể truy cập các file điện tử ghi thông tin mật khẩu.
Tất nhiên, cũng có thể có người đột nhập và lấy được mật khẩu ghi trên giấy, nhưng điều này thường ít xảy ra hơn. Ở công ty hay ở nhà, cần giữ giấy ghi mật khẩu ở nơi an toàn. Giới hạn số người biết nơi để giấy ghi mật khẩu, đặc biệt là thông tin đăng nhập các trang web tài chính.
Nếu thường xuyên phải đi lại, việc mang theo giấy ghi mật khẩu sẽ mang lại rủi ro lớn nếu để nhầm hoặc đánh mất.
Quy tắc 3: Phát hiện mật khẩu đã bị rò rỉ hay chưa
Người dùng khó có thể hoàn toàn ngăn chặn việc mật khẩu khỏi rò rỉ ra ngoài, có thể là qua sự cố rò rỉ thông tin, hoặc qua một tấn công độc hại. Nhưng người dùng có thể kiểm tra các dấu hiệu cho thấy tài khoản có thể bị xâm phạm bất cứ lúc nào.
Công cụ Firefox Monitor của Mozilla và Password Checkup của Google có thể cho thấy địa chỉ email và mật khẩu nào của người dùng có thể bị xâm nhập trong các sự cố rò rỉ thông tin. Từ đó, người dùng biết khi nào cần có những biện pháp hành động thích hợp. Công cụ Have I Been Pwned cũng có thể cho biết liệu email và mật khẩu của người dùng đã bị rò rỉ hay chưa.
Quy tắc 4: Tránh những từ và tổ hợp ký tự phổ biến trong mật khẩu
Mục đích trong việc tạo mật khẩu mạnh là để thiết lập một mật khẩu mà không ai khác có thể biết hoặc dễ dàng đoán được, như tránh xa các cụm từ phổ biến như "password", "mypassword" và các dãy kí tự dễ đoán như "qwerty" hay "thequickbrownfox".
Ngoài ra, tránh sử dụng tên, biệt danh của chính mình, tên thú cưng, ngày sinh hay ngày kỷ niệm, tên đường phố hay bất cứ thứ gì liên quan đến người dùng mà ai đó có thể tìm thấy từ phương tiện truyền thông, hay từ những cuộc trò chuyện giữa người dùng với một người lạ.
Quy tắc 5: Sử dụng ít 8 ký tự cho mật khẩu mạnh
8 ký tự là con số ít nhất để có thể tạo một mật khẩu mạnh, nhưng càng dài thì càng tốt. Tổ chức EFF cùng với chuyên gia bảo mật người Mỹ Brian Krebs và nhiều chuyên gia khác, đã khuyến nghị người dùng sử dụng một cụm mật khẩu từ 3 hoặc 4 từ ngẫu nhiên nhằm tăng tính bảo mật. Tuy nhiên, cụm mật khẩu dài chứa các từ không có tính kết nối sẽ khiến khó nhớ. Đó là lý do mà người dùng nên xem xét sử dụng trình quản lý mật khẩu.
Quy tắc 6: Không tái sử dụng mật khẩu
Cần luôn lưu ý rằng, việc tái sử sụng mật khẩu cho nhiều tài khoản khác nhau là một điều nguy hại. Nếu ai đó có được mật khẩu tái sử dụng trên một tài khoản của người dùng, họ có thể sử dụng cho các tài khoản khác mà người dùng tái sử dụng mật khẩu đó.
Việc sửa đổi mật khẩu gốc bằng cách thêm tiền tố hoặc hậu tố cũng sẽ dẫn đến mối đe dọa tương tự. Ví dụ như PasswordOne, PasswordTwo, cả hai mật khẩu này đều kém an toàn.
Bằng cách sử dụng một mật khẩu riêng biệt với mỗi tài khoản, thì tin tặc có thể xâm nhập một tài khoản nhưng không thể sử dụng nó với những tài khoản còn lại của người dùng.
Quy tắc 7: Tránh sử dụng mật khẩu đã bị đánh cắp
Tin tặc có thể dễ dàng sử dụng các mật khẩu bị đánh cắp hoặc rò rỉ trước đó với công cụ tự động đăng nhập, được gọi là kỹ thuật nhồi thông tin đăng nhập (credential stuffing) để xâm nhập tài khoản. Nếu muốn kiểm tra xem liệu mật khẩu mà người dùng đang có ý định sử dụng đã bị công khai trong web đen trước đó hay chưa, người dùng có thể truy cập trang Have I Been Pwned và tìm kiếm.
Quy tắc 8: Không cần thiết lập lại mật khẩu theo định kỳ
Nhiều năm qua, việc thay đổi mật khẩu sau 60 hoặc 90 ngày là một phương pháp được khuyến nghị rất nhiều, với lý do đây là thời gian cần thiết để mở khóa một mật khẩu.
Tuy nhiên, hiện tại, Microsoft đã khuyến nghị rằng, người dùng không cần thay đổi mật khẩu định kỳ trừ khi nghi ngờ rằng mật khẩu có thể đã bị rò rỉ. Lý do là vì phần lớn người dùng, nếu bị bắt buộc phải thay đổi mật khẩu vài tháng một lần, sẽ dẫn đến thói quen nguy hiểm là tạo những mật khẩu dễ nhớ hoặc viết chúng lên giấy ghi chú và dính lên màn hình máy tính.
Quy tắc 9: Sử dụng xác thực 2 yếu tố (2FA) nhưng tránh mã tin nhắn văn bản
Nếu tin tặc đánh cắp được mật khẩu, người dùng vẫn có thể ngăn chặn tin tặc chiếm quyền truy cập tài khoản bằng xác thực 2 yếu tố (cũng được gọi là xác minh hai bước hoặc 2FA). Đây là một biện pháp bảo mật an toàn, yêu cầu người dùng điền thông tin thứ 2 mà chỉ người dùng mới có (thường là mã dùng một lần) trước khi ứng dụng hoặc dịch vụ cho phép người dùng đăng nhập.
Với biện pháp này, ngay cả khi tin tặc có được mật khẩu nhưng không có thiết bị tin tưởng của người dùng (như điện thoại) và mã xác minh để chứng thực rằng đó là người dùng, thì tin tặc sẽ không thể truy cập được vào tài khoản.
Mặc dù, việc nhận mã bằng tin nhắn văn bản trên điện thoại di động hoặc bằng cách gọi điện trực tiếp trên điện thoại cố định là phổ biến và thuận tiện, thì việc tin tặc đánh cắp số điện thoại qua kỹ thuật gian lận trao đổi SIM (SIM swap fraud) là đơn giản, từ đó có thể chặn bắt mã xác nhận.
Một cách an toàn hơn nhiều để nhận mã xác nhận là người dùng tự tạo và lấy chúng bằng cách dùng ứng dụng xác thực như Authy, Google Authentication hoặc Microsoft Authentiacator. Khi đã thiết lập xong, người dùng có thể chọn đăng ký thiết bị hoặc trình duyệt, từ đó người dùng không cần phải xác thực mỗi lần đăng nhập.
Khi nói đến đảm bảo an toàn mật khẩu, thì sự chủ động bảo vệ của người dùng là biện pháp tốt nhất, trong đó cần biết được liệu email và mật khẩu của người dùng đã bị rò rỉ hay chưa. Và nếu đã phát hiện dữ liệu của mình bị rò rỉ, bài viết sau sẽ hướng dẫn người dùng điều cần thực hiện khi tin tặc có được quyền truy cập tài khoản ngân hàng hoặc thẻ tín dụng của người dùng.
Quang Minh
16:00 | 03/08/2023
14:00 | 09/06/2020
13:00 | 07/01/2020
09:00 | 14/10/2019
09:00 | 27/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024