Mật khẩu của bạn có thực sự an toàn? Những sai lầm phổ biến nhất
Hãy bắt đầu với một câu hỏi không thoải mái: bao nhiêu tài khoản trực tuyến của bạn dùng chung một mật khẩu?
Nếu câu trả lời là nhiều hơn một, bạn không phải là người duy nhất. Các nghiên cứu liên tục cho thấy người dùng trung bình sử dụng lại mật khẩu cho ít nhất năm tài khoản. Nhiều người dùng cùng một mật khẩu, hoặc các biến thể nhỏ của nó, cho hàng chục dịch vụ. Đây là một trong những rủi ro bảo mật lớn nhất mà hầu hết mọi người phải đối mặt trực tuyến, và nó hoàn toàn có thể phòng tránh được.
Mối nguy thực sự: Rò rỉ dữ liệu và tấn công Credential Stuffing
Hầu hết mọi người nghĩ rằng hack là ai đó nhắm mục tiêu cụ thể vào họ, đoán mật khẩu hoặc brute-force tài khoản. Thực tế rất khác.
Phần lớn các vụ xâm phạm tài khoản xảy ra thông qua rò rỉ dữ liệu. Một công ty mà bạn có tài khoản bị hack. Cơ sở dữ liệu tên đăng nhập và mật khẩu bị đánh cắp và công bố trực tuyến hoặc bán trên dark web. Điều này xảy ra với các công ty lớn với tần suất đáng lo ngại.
Đây là nơi việc sử dụng lại mật khẩu trở nên thảm khốc. Kẻ tấn công lấy các tổ hợp email-mật khẩu bị rò rỉ và tự động thử chúng trên hàng trăm dịch vụ khác: Gmail, Amazon, trang ngân hàng, mạng xã hội. Đây được gọi là credential stuffing, và nó hiệu quả vì rất nhiều người dùng cùng mật khẩu ở mọi nơi.
Cảnh báo Nếu bạn dùng cùng mật khẩu cho một diễn đàn trực tuyến nhỏ bị rò rỉ và cho tài khoản email chính, kẻ tấn công có được cơ sở dữ liệu diễn đàn giờ đây có quyền truy cập email của bạn. Từ email, họ có thể đặt lại mật khẩu trên hầu như mọi tài khoản khác bạn sở hữu.
Những sai lầm mật khẩu phổ biến nhất
1. Sử dụng lại mật khẩu
Đây là lỗi nghiêm trọng nhất của bảo mật mật khẩu. Khi bạn sử dụng lại mật khẩu, một vụ rò rỉ trên một dịch vụ sẽ xâm phạm mọi dịch vụ nơi bạn dùng mật khẩu đó.
2. Sử dụng mật khẩu yếu
Dù đã có nhiều năm chiến dịch nâng cao nhận thức, những mật khẩu phổ biến nhất vẫn đơn giản đến sốc. "123456," "password," "qwerty," và "admin" liên tục đứng đầu danh sách. Những mật khẩu này có thể bị bẻ khóa trong chưa đầy một giây.
3. Mẫu dự đoán được
Nhiều người nghĩ họ đang khéo léo với các mẫu như:
- Thêm "1" hoặc "!" vào cuối một từ thông dụng
- Chỉ viết hoa chữ cái đầu tiên
- Dùng mật khẩu gốc kèm tên trang web (ví dụ: "MatKhau-facebook")
- Thay chữ cái bằng số ("p@ssw0rd")
Kẻ tấn công biết tất cả các mẫu này. Công cụ của họ được thiết kế đặc biệt để thử các biến thể này. Một mật khẩu trông phức tạp với con người có thể rất đơn giản đối với công cụ bẻ khóa tự động.
4. Sử dụng thông tin cá nhân
Tên thú cưng, ngày sinh, ngày kỷ niệm, tên con cái, đội thể thao yêu thích. Tất cả thông tin này thường có sẵn công khai trên mạng xã hội. Nếu mật khẩu của bạn là "milu2019" và Instagram của bạn đầy ảnh chó với #MiluYeuDau, bạn không an toàn như bạn nghĩ.
5. Không bao giờ thay đổi mật khẩu đã bị lộ
Ngay cả sau khi được thông báo về vụ rò rỉ, nhiều người không thay đổi mật khẩu. Điều này cho kẻ tấn công thêm thời gian để khai thác thông tin đăng nhập bị rò rỉ.
Bạn có biết? Vụ rò rỉ dữ liệu lớn nhất được biết đến đã phơi bày hơn 3,2 tỷ tổ hợp email và mật khẩu trong một lần rò rỉ duy nhất. Có khả năng đáng kể rằng ít nhất một trong các mật khẩu của bạn đã bị lộ trong một vụ rò rỉ trước đó, ngay cả khi bạn chưa bao giờ được thông báo.
Điều gì tạo nên mật khẩu mạnh?
Mật khẩu mạnh có ba đặc tính quan trọng:
- Độ dài. Đây là yếu tố quan trọng nhất. Mật khẩu 16 ký tự khó bẻ khóa hơn theo cấp số nhân so với mật khẩu 8 ký tự, bất kể độ phức tạp.
- Tính ngẫu nhiên. Không nên chứa từ trong từ điển, tên, ngày tháng hoặc các mẫu nhận dạng được.
- Tính duy nhất. Phải được sử dụng cho một tài khoản và chỉ một tài khoản duy nhất.
Dưới đây là cách độ dài mật khẩu ảnh hưởng đến thời gian bẻ khóa cho mật khẩu ngẫu nhiên:
| Độ dài | Chỉ chữ thường | Hỗn hợp chữ hoa + Số + Ký hiệu |
|---|---|---|
| 6 ký tự | Tức thì | ~5 giây |
| 8 ký tự | ~2 phút | ~8 giờ |
| 12 ký tự | ~200 năm | ~34.000 năm |
| 16 ký tự | ~3 triệu năm | Thực tế không thể bẻ khóa |
Kết luận rõ ràng: độ dài thắng độ phức tạp. Mật khẩu ngẫu nhiên 16 ký tự chỉ gồm chữ thường mạnh hơn nhiều so với mật khẩu 8 ký tự có chữ hoa, số và ký hiệu.
Giải pháp: Trình quản lý mật khẩu và mật khẩu duy nhất
Cách thực tế nhất để sử dụng mật khẩu mạnh, duy nhất cho mọi tài khoản là sử dụng trình quản lý mật khẩu. Trình quản lý mật khẩu lưu trữ tất cả mật khẩu của bạn trong kho được mã hóa, được bảo vệ bằng một mật khẩu chính duy nhất. Bạn chỉ cần nhớ một mật khẩu; trình quản lý lo phần còn lại.
Các trình quản lý mật khẩu phổ biến bao gồm Bitwarden (miễn phí và mã nguồn mở), 1Password và KeePass. Hầu hết trình duyệt cũng có trình quản lý mật khẩu tích hợp hoạt động khá tốt.
Cách trình quản lý mật khẩu hoạt động
- Khi bạn tạo tài khoản hoặc thay đổi mật khẩu, trình quản lý tạo mật khẩu dài, ngẫu nhiên.
- Mật khẩu được lưu trong kho mã hóa của bạn.
- Khi bạn truy cập trang web, trình quản lý tự động điền thông tin đăng nhập.
- Bạn không bao giờ cần nhớ, gõ hay thậm chí nhìn thấy các mật khẩu riêng lẻ.
Hành động ngay hôm nay: Hai bước bạn có thể làm ngay
Bạn không cần phải thay đổi toàn bộ cuộc sống số trong một lần. Hãy bắt đầu với hai hành động cụ thể này.
Bước 1: Kiểm tra mật khẩu đã bị rò rỉ chưa
Trước hết, hãy tìm hiểu xem mật khẩu hiện tại của bạn đã bị lộ trong các vụ rò rỉ dữ liệu đã biết hay chưa. Điều này cho bạn biết tài khoản nào đang có nguy cơ ngay lập tức.
Mẹo Bạn có thể kiểm tra mật khẩu có xuất hiện trong cơ sở dữ liệu rò rỉ ngay bây giờ, miễn phí: Kiểm tra mật khẩu đã bị rò rỉ chưa. Việc kiểm tra được thực hiện an toàn — mật khẩu đầy đủ của bạn không bao giờ được gửi đi đâu cả.
Bước 2: Tạo mật khẩu mạnh cho các tài khoản quan trọng nhất
Bắt đầu với các tài khoản quan trọng nhất: email chính, ngân hàng và bất kỳ tài khoản nào lưu trữ thông tin thanh toán. Thay thế những mật khẩu đó bằng mật khẩu mạnh, được tạo ngẫu nhiên.
Mẹo Sử dụng công cụ tạo mật khẩu miễn phí để tạo mật khẩu mạnh, duy nhất ngay lập tức: Tạo mật khẩu an toàn. Bạn có thể tùy chỉnh độ dài và loại ký tự để phù hợp với yêu cầu của bất kỳ trang web nào.
Ngoài mật khẩu: Bật xác thực hai yếu tố
Ngay cả mật khẩu mạnh nhất cũng không đủ nếu dịch vụ lưu trữ nó bị rò rỉ. Xác thực hai yếu tố (2FA) thêm một lớp bảo vệ thứ hai: sau khi nhập mật khẩu, bạn cũng phải cung cấp mã từ điện thoại, ứng dụng xác thực hoặc khóa bảo mật vật lý.
Với 2FA được bật, mật khẩu bị rò rỉ một mình không đủ để kẻ tấn công truy cập tài khoản của bạn. Hãy bật nó trên mọi tài khoản có hỗ trợ, đặc biệt email, ngân hàng và mạng xã hội.
Cảnh báo 2FA dựa trên SMS (mã gửi qua tin nhắn) tốt hơn không có gì nhưng dễ bị tấn công SIM-swapping. Ứng dụng xác thực (Google Authenticator, Authy) hoặc khóa phần cứng (YubiKey) an toàn hơn đáng kể.
Xây dựng thói quen tốt hơn
Bảo mật mật khẩu không phải là sửa một lần. Đó là thực hành liên tục:
- Sử dụng trình quản lý mật khẩu cho tất cả tài khoản.
- Tạo mật khẩu duy nhất cho mỗi tài khoản mới.
- Bật 2FA bất cứ nơi nào có sẵn.
- Kiểm tra rò rỉ định kỳ, ít nhất một hoặc hai lần mỗi năm.
- Thay đổi mật khẩu bị lộ ngay lập tức khi được thông báo về vụ rò rỉ.
Bắt đầu bảo mật tài khoản ngay hôm nay:
Cả hai công cụ đều miễn phí, chạy trong trình duyệt và không bao giờ gửi dữ liệu của bạn đi đâu.