Bảo mật mật khẩu trong 10 phút

Mật khẩu là chìa khóa cuộc sống kỹ thuật số — email, ngân hàng, mạng xã hội, lưu trữ đám mây. Tuy nhiên hầu hết mọi người sử dụng cùng vài mật khẩu ở khắp nơi và không bao giờ kiểm tra xem chúng đã bị đánh cắp chưa. Thực tế đáng lo ngại: hàng tỷ thông tin đăng nhập đang lưu hành trong cơ sở dữ liệu bị rò rỉ, và kẻ tấn công sử dụng chúng trong các cuộc tấn công tự động mỗi ngày.

Hướng dẫn này hướng dẫn bạn kiểm tra bảo mật mật khẩu đầy đủ qua bốn bước, sử dụng công cụ miễn phí chạy hoàn toàn trong trình duyệt. Không cần tài khoản, không lưu dữ liệu. Trong 10 phút, bạn sẽ biết chính xác vị trí của mình và có mật khẩu thay thế mạnh sẵn sàng.

Những con số đằng sau rò rỉ mật khẩu

• 14 tỷ+ mật khẩu đã bị rò rỉ trong các vụ vi phạm dữ liệu trên toàn thế giới
• 80% vụ hack liên quan đến mật khẩu yếu hoặc sử dụng lại
• 65% người dùng sử dụng lại cùng mật khẩu trên nhiều trang
• Người bình thường có 100+ tài khoản trực tuyến nhưng sử dụng ít hơn 10 mật khẩu duy nhất
• Mật khẩu bị rò rỉ có thể bị khai thác trong vòng vài phút sau khi vụ rò rỉ được công khai

Hướng dẫn từng bước

Rò rỉ dữ liệu là gì?

Rò rỉ dữ liệu xảy ra khi kẻ tấn công truy cập trái phép vào cơ sở dữ liệu công ty và đánh cắp thông tin người dùng — email, mật khẩu, chi tiết cá nhân. Các vụ rò rỉ lớn đã xảy ra ở công ty mọi quy mô, từ mạng xã hội hàng tỷ người dùng đến cửa hàng trực tuyến nhỏ. Khi email xuất hiện trong vụ rò rỉ, nghĩa là dịch vụ bạn đăng ký đã bị xâm phạm và thông tin đăng nhập bị lộ.

Tại sao điều này quan trọng: ngay cả khi vụ rò rỉ xảy ra nhiều năm trước, kẻ tấn công tổng hợp các cơ sở dữ liệu này thành bộ sưu tập khổng lồ. Họ sử dụng công cụ tự động thử tổ hợp email-mật khẩu bị rò rỉ trên hàng trăm website khác. Nếu bạn sử dụng lại mật khẩu ở đâu, những tài khoản đó giờ cũng dễ bị tấn công.

K-anonymity giữ mật khẩu riêng tư như thế nào

Bạn có thể do dự nhập mật khẩu vào công cụ web — và đó là bản năng tốt. Công cụ này sử dụng kỹ thuật bảo mật gọi là k-anonymity đảm bảo mật khẩu đầy đủ không bao giờ bị lộ:

1. Mật khẩu được băm (chuyển thành chuỗi cố định) bằng SHA-1 trực tiếp trong trình duyệt.
2. Chỉ 5 ký tự đầu của mã băm được gửi đến cơ sở dữ liệu rò rỉ.
3. Cơ sở dữ liệu trả về tất cả mã băm bị rò rỉ bắt đầu bằng 5 ký tự đó (thường 500-600 kết quả).
4. Trình duyệt so sánh mã băm đầy đủ với danh sách trả về cục bộ. Kết quả không bao giờ rời khỏi thiết bị.

Máy chủ không bao giờ thấy mật khẩu, không bao giờ thấy mã băm đầy đủ, và không thể xác định bạn đang kiểm tra mục nào. Mật khẩu luôn riêng tư trong toàn bộ quá trình.

Hiểu entropy và thời gian bẻ khóa

Độ mạnh mật khẩu được đo bằng entropy — số bit ngẫu nhiên trong mật khẩu. Entropy càng cao, mật khẩu càng khó bẻ. Đây là những gì bạn cần biết:

• Dưới 40 bit: Cực kỳ yếu. Có thể bị bẻ trong vài giây.
• 40-60 bit: Yếu. Dễ bị tấn công có mục tiêu.
• 60-80 bit: Trung bình. Có một số bảo vệ nhưng không lý tưởng.
• 80-100 bit: Mạnh. Chống lại hầu hết phương pháp tấn công.
• 100+ bit: Rất mạnh. Thực tế không thể bẻ khóa với công nghệ hiện tại.

Trình phân tích cũng hiển thị thời gian bẻ khóa ước tính — bao lâu để kẻ tấn công sử dụng phần cứng hiện đại đoán mật khẩu qua brute force.

Tại sao "MyDog2024!" yếu hơn bạn nghĩ

Nhiều người tin rằng thêm chữ hoa, số và ký hiệu vào từ phổ biến tạo mật khẩu mạnh. Không phải. Kẻ tấn công biết rõ các mẫu này:

• Chữ hoa đầu tiên: Điều đầu tiên mọi công cụ bẻ khóa thử.
• Số ở cuối: Năm, đặc biệt năm hiện tại, nằm trong mọi từ điển tấn công.
• Ký hiệu cuối đơn lẻ: "!" và "@" là ký tự được thêm phổ biến nhất.
• Từ trong từ điển: "Dog", "Love", "Password" — tất cả trong mọi danh sách từ.

Mật khẩu như "MyDog2024!" theo mọi mẫu có thể đoán được. Dù có 10 ký tự với nhiều loại, entropy hiệu quả thấp hơn nhiều so với độ dài gợi ý vì các mẫu quá phổ biến. Trình phân tích sẽ cho thấy chính xác nó bị bẻ nhanh thế nào.

Mẹo tạo mật khẩu mạnh

• Độ dài là vua: Sử dụng ít nhất 16 ký tự. Mỗi ký tự thêm nhân độ khó bẻ khóa theo cấp số nhân. 20 ký tự trở lên là lý tưởng.
• Sử dụng tất cả loại ký tự: Bật chữ hoa, chữ thường, số và ký hiệu. Tối đa hóa entropy mỗi ký tự.
• Tạo một cho mỗi tài khoản: Không bao giờ sử dụng lại mật khẩu đã tạo. Mỗi tài khoản nhận mật khẩu duy nhất riêng.
• Không sửa đổi đầu ra: Kháng lại ý muốn "cá nhân hóa" mật khẩu đã tạo bằng cách đổi ký tự. Bạn chỉ giảm tính ngẫu nhiên.
• Sao chép, đừng ghi nhớ: Mật khẩu này được thiết kế để lưu trong trình quản lý mật khẩu, không phải nhớ. Sao chép trực tiếp.

Tại sao nên sử dụng trình quản lý mật khẩu

Bạn vừa tạo mật khẩu mạnh, duy nhất cho các tài khoản. Nhưng có vấn đề thực tế: bạn không thể nhớ "j7$Kq9!mX2vL#nR8wP4" cho mỗi tài khoản. Bạn không cần phải nhớ. Đây là lúc trình quản lý mật khẩu trở nên thiết yếu.

Trình quản lý mật khẩu là gì?

Trình quản lý mật khẩu là ứng dụng an toàn lưu tất cả mật khẩu trong kho mã hóa. Bạn mở khóa kho bằng một mật khẩu chính duy nhất — mật khẩu duy nhất bạn cần nhớ. Khi đăng nhập website, trình quản lý tự động điền mật khẩu duy nhất chính xác.

Cách hoạt động trong thực tế

1. Bạn tạo một mật khẩu chính mạnh để nhớ (nên là passphrase dài — 4-5 từ ngẫu nhiên là lý tưởng).
2. Bạn lưu mọi mật khẩu khác trong trình quản lý.
3. Khi truy cập website, trình quản lý tự động điền mật khẩu duy nhất cho trang đó.
4. Nếu dịch vụ bị rò rỉ, chỉ mật khẩu đó bị lộ. Các tài khoản khác vẫn an toàn.

Lợi ích chính

• Một mật khẩu cần nhớ: Mật khẩu chính là mật khẩu duy nhất bạn cần nhớ.
• Mật khẩu duy nhất ở mọi nơi: Mỗi tài khoản nhận mật khẩu ngẫu nhiên riêng, loại bỏ hoàn toàn vấn đề sử dụng lại.
• Mật khẩu mạnh hơn: Khi không cần nhớ, bạn có thể tạo dài và phức tạp tùy ý.
• Tự động điền: Không cần gõ hay sao chép dán. Trình quản lý điền thông tin đăng nhập cho bạn.

Bắt đầu miễn phí

Nhiều trình quản lý mật khẩu uy tín cung cấp gói miễn phí đủ cho sử dụng cá nhân. Chúng có dạng tiện ích trình duyệt và ứng dụng di động. Tìm "trình quản lý mật khẩu miễn phí" và chọn một có đánh giá tốt, mã nguồn mở, và lịch sử bảo mật vững chắc.

Mật khẩu bạn tạo ở Bước 4 được thiết kế để lưu trong trình quản lý. Sao chép mỗi mật khẩu trực tiếp vào trình quản lý khi cập nhật tài khoản. Từ nay, luôn tạo mật khẩu mới qua trình quản lý hoặc Trình tạo mật khẩu và lưu ngay.

Kế hoạch hành động 10 phút

1. Phút 1-2: Kiểm tra địa chỉ email chính trong Kiểm tra rò rỉ mật khẩu (tab Email).
2. Phút 3-5: Kiểm tra 3-5 mật khẩu thường dùng nhất trong Kiểm tra rò rỉ mật khẩu (tab Mật khẩu).
3. Phút 5-7: Phân tích mật khẩu đó trong Trình tạo mật khẩu (tab Phân tích) để xem độ mạnh thực.
4. Phút 7-10: Tạo mật khẩu thay thế mạnh trong Trình tạo mật khẩu (tab Tạo) và cập nhật tài khoản quan trọng nhất.

Sau 10 phút này, tiếp tục cập nhật phần còn lại trong những ngày tới. Ưu tiên email, ngân hàng, và tài khoản có thông tin thanh toán.

Bước tiếp theo

• Đọc hướng dẫn về kiểm tra rò rỉ mật khẩu để tìm hiểu sâu hơn về phát hiện rò rỉ
• Tìm hiểu thêm về tạo mật khẩu an toàn cho mẹo nâng cao
• Đặt nhắc nhở định kỳ kiểm tra mật khẩu mỗi 3-6 tháng