Mật khẩu, thứ công cụ bảo mật tưởng chừng đơn giản, lại có lịch sử lâu đời hơn chúng ta nghĩ, bắt nguồn từ những “mật ngữ” được người La Mã sử dụng để phân biệt bạn và thù. Tuy nhiên, mật khẩu kỹ thuật số mà chúng ta sử dụng ngày nay đã xuất hiện từ năm 1961, do giáo sư khoa học máy tính Fernando Corbato của MIT tạo ra. Ban đầu, nó không phải là tính năng bảo mật mà chỉ là một công cụ chia sẻ thời gian trên máy tính. Nhưng đó chính là hạt mầm đầu tiên, phát triển thành phương tiện bảo vệ quyền riêng tư cho mọi thứ chúng ta sử dụng trong thế giới kỹ thuật số ngày nay.
Gần 65 năm kể từ khi ra đời, mật khẩu máy tính vẫn chưa sẵn sàng để “nghỉ hưu”. Trong khoảng thời gian đó, chúng ta đã chứng kiến sự tiến hóa từ những mật khẩu đơn giản đến mật khẩu có ký tự đặc biệt, rồi đến khóa bảo mật (passkey) loại bỏ nhu cầu nhập mật khẩu truyền thống, và cụm mật khẩu (passphrase) dễ nhớ hơn vì chúng là một nhóm các từ thông thường.
Cùng với sự phát triển này, vô số lời khuyên đã được đưa ra về những gì nên và không nên đưa vào mật khẩu của bạn. Một số lời khuyên vẫn đúng cho đến ngày nay, nhưng những lời khuyên khác đã trở thành lầm tưởng, được tuân theo mà không biết lý do ban đầu là gì. Nhiều trong số những lầm tưởng này chỉ là sản phẩm của một thời đại trước, không còn phù hợp với bối cảnh an ninh mạng hiện đại. Hãy cùng 360congnghe.com phá bỏ một vài “truyền thuyết” phổ biến về độ mạnh của mật khẩu.
1. Ký Tự Đặc Biệt Và Số: Yếu Tố “Ảo” Hay Giá Trị Thực?
Chúng không “thần kỳ” khiến mật khẩu của bạn khó đoán hơn bởi chương trình máy tính
Người dùng đang tương tác với Google Password Manager trên điện thoại Samsung Galaxy S23
Việc sử dụng số và ký tự đặc biệt trong mật khẩu thiên về yếu tố tâm lý hơn là một yếu tố bảo mật thực tế. Một mật khẩu như Passw0rd!@ trông có vẻ an toàn hơn Password, và điều đó khiến người dùng cảm thấy yên tâm hơn về lựa chọn cụm mật khẩu của mình. Khi không có danh sách các yếu tố bắt buộc, bản chất con người có xu hướng chọn mật khẩu ngắn hơn, đó là lý do tại sao chúng ta thường thấy 123456 hoặc asdfgh là những cụm mật khẩu phổ biến hơn.
Một vấn đề khác là mật khẩu của bạn được lưu trữ vào cơ sở dữ liệu, và hầu hết các công ty có quy trình xử lý dữ liệu đầu vào (input sanitization) kém. Đây là lý do tại sao hầu hết chỉ cho phép bạn sử dụng một số ký tự đặc biệt nhất định, chứ không phải tất cả các ký tự bạn có thể thấy trên bàn phím. Những ký tự không được phép có xu hướng làm hỏng cơ sở dữ liệu và thậm chí có thể được sử dụng để tấn công, đánh cắp thông tin mật.
2. Mật Khẩu Càng Phức Tạp Càng An Toàn?
Chiều dài, chứ không phải độ rộng, quan trọng hơn nhiều
Kiểm tra độ mạnh mật khẩu ABC123 với kết quả yếu
Khi chọn mật khẩu mới, chúng ta thường cảm thấy rằng một mật khẩu phức tạp hơn sẽ mạnh hơn một mật khẩu đơn giản nhưng dài hơn. Điều này không đúng, bởi các chương trình bẻ khóa mật khẩu hiện đại có thể xử lý độ phức tạp trong thời gian cực ngắn. Với nhiều dịch vụ yêu cầu mật khẩu tối thiểu tám ký tự, những mật khẩu này có thể bị bẻ khóa trong chưa đầy 3 giờ nếu chúng chứa số, chữ hoa, chữ thường và ký hiệu.
Tuy nhiên, nếu bạn tăng độ dài lên 13 ký tự trong khi vẫn giữ nguyên sự kết hợp phức tạp, thì giờ đây sẽ mất tới 3 triệu năm để bẻ khóa. Và nếu bạn có 15 ký tự, bạn chỉ cần chữ hoa và chữ thường để có độ bảo mật lên đến 2 triệu năm bẻ khóa. Độ phức tạp rất hữu ích, nhưng chiều dài của mật khẩu mạnh mẽ hơn nhiều.
Hãy lấy một vài ví dụ. Cụm mật khẩu RaceDrabCorridorUndertakeVotingStrongboxFlagstoneFlintRenditionRouting mạnh hơn nhiều so với summer2022!, không phải vì độ phức tạp của nó, mà vì nó dài hơn nhiều, ngay cả khi không có ký tự đặc biệt và chỉ sử dụng chữ cái. Hãy sử dụng một câu nếu bạn có thể nhớ nó, hoặc sử dụng trình quản lý mật khẩu của bạn vì đó là công dụng chính của chúng.
3. Mật Khẩu Dễ Nhớ Là Mật Khẩu Tốt?
Có lẽ, nhưng điều đó không có nghĩa là chúng cũng nên ngắn
Kiểm tra độ mạnh mật khẩu 123456 với kết quả cực yếu
Việc cố gắng quản lý các thông tin đăng nhập kỹ thuật số bằng cách ghi nhớ chúng sẽ không hiệu quả, trừ khi bạn là một người có trí nhớ siêu phàm như “Rain Man”. Thật sự, điều này giống như cố gắng ghi nhớ một cuốn danh bạ điện thoại, và tốt hơn hết là bạn không nên thử. Thay vào đó, hãy sử dụng một trình quản lý mật khẩu để lưu trữ chúng cho bạn. Nếu bạn buộc phải sử dụng những mật khẩu mà bạn có thể ghi nhớ, chẳng hạn như mật khẩu chính (master password) của trình quản lý mật khẩu của bạn, hãy sử dụng một cụm mật khẩu dài ít nhất 20 ký tự để nó khó bị tấn công vét cạn (brute-force).
Không cần phải nói, nhưng tôi vẫn sẽ nói: đừng sử dụng mật khẩu chính của trình quản lý mật khẩu của bạn ở bất kỳ nơi nào khác. Bạn sẽ không để chìa khóa nhà hoặc chìa khóa xe của mình vương vãi, vậy thì đừng làm điều tương tự với các “chìa khóa kỹ thuật số” của bạn.
4. Cần Đặt Lại Mật Khẩu Thường Xuyên Để An Toàn?
Hãy đổ lỗi cho các yêu cầu mật khẩu của chính phủ về điều này
Màn hình đăng nhập Windows 11 hiển thị tùy chọn đặt lại mật khẩu tài khoản cục bộ
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) có một tài liệu khổng lồ về các thực hành tốt nhất về mật khẩu, được cập nhật định kỳ khi bối cảnh bảo mật thay đổi. Tài liệu đó chịu trách nhiệm trực tiếp cho nhiều lầm tưởng ở đây, bởi vì vào thời điểm đó, nó được cho là cách tốt nhất để giữ an toàn. Nhưng các tiêu chuẩn và thực hành bảo mật cũng phát triển theo thời gian, và bạn không cần phải đặt lại mật khẩu của mình thường xuyên để giữ an toàn.
Lời khuyên này xuất hiện từ thời điểm người dùng chỉ có một vài mật khẩu để lo lắng, và nó được cho là sẽ giúp bạn an toàn hơn bằng cách hạn chế các vụ vi phạm, ngăn chặn truy cập lâu dài nếu ai đó tấn công hoặc lừa đảo (phishing) mật khẩu của bạn, và hạn chế sự lây lan của các trình ghi lại thao tác bàn phím (keystroke loggers). Nhưng nó cũng là một di vật có thể được loại bỏ một cách an toàn, vì thực hành tốt nhất hiện nay là có mật khẩu duy nhất cho mỗi tài khoản. Như vậy, nếu bạn gặp phải một vụ rò rỉ dữ liệu, chỉ một tài khoản bị ảnh hưởng và bạn có thể dễ dàng thay đổi mật khẩu đó.
5. Không Cần Xác Thực Đa Yếu Tố (MFA) Hoặc Hai Yếu Tố (2FA)?
Ngay cả với một mật khẩu mạnh, bảo mật đa lớp luôn là giải pháp đúng đắn
Cài đặt xác thực hai yếu tố cho Apple ID trên iPhone
Ngay cả khi sử dụng mật khẩu duy nhất và dài, đôi khi nó vẫn có thể bị rò rỉ. Đôi khi, tin tặc lấy được cookie phiên làm việc mà bạn đã sử dụng trong quá trình đăng nhập và sử dụng nó để buộc tài khoản mở. Bất kể lỗ hổng là gì, một kẻ tấn công quyết tâm sẽ tìm ra nó, trừ khi bạn có nhiều lớp bảo mật hơn. Sử dụng xác thực đa yếu tố (MFA) hoặc xác thực hai yếu tố (2FA) là một trong những lớp bảo mật đó, và bạn nên sử dụng một ứng dụng chuyên biệt cho việc này, chứ không phải SMS.
Điều này là do SIM điện thoại quá dễ bị chiếm đoạt, và các mã SMS có thể bị gửi đến nơi khác. Trừ khi tin tặc có điện thoại của bạn và mở khóa được nó, các ứng dụng 2FA sẽ giúp tài khoản của bạn có cơ hội tốt hơn để không bị chiếm đoạt.
6. Chia Sẻ Mật Khẩu Với Người Tin Tưởng Là An Toàn?
Một bí mật không còn là bí mật nếu nhiều hơn một người biết nó
Giao diện chia sẻ mật khẩu Wi-Fi qua mã QR trên Samsung Galaxy S22
Sẽ có những tình huống bạn muốn chia sẻ mật khẩu của mình với bạn bè hoặc gia đình, nhưng đó là một ý tưởng tồi. Nhiều hơn một người biết mật khẩu của bạn là quá nhiều, và bạn không biết người đó đã đăng nhập vào bao nhiêu thiết bị và quên đăng xuất. Nếu bạn muốn chia sẻ Wi-Fi nhà mình, hãy thiết lập một mạng khách (guest network) và chia sẻ mật khẩu truy cập cho mạng đó, sau đó thay đổi mật khẩu khi họ rời đi. Càng ít thiết bị đăng nhập vào Wi-Fi của bạn càng tốt. Đừng chia sẻ mật khẩu Netflix hoặc các dịch vụ truyền phát trực tuyến khác, nếu không tài khoản của bạn có thể bị nhà cung cấp dịch vụ chặn.
7. Tái Sử Dụng Mật Khẩu Là Chấp Nhận Được?
Bạn nên có mật khẩu duy nhất, dài cho mọi dịch vụ bạn đăng nhập
Không, không và không! Lầm tưởng này nên bị loại bỏ từ rất sớm và không bao giờ xuất hiện lại. Mỗi tài khoản bạn có nên sở hữu một mật khẩu duy nhất, dài và khó đoán, được lưu trữ an toàn trong một trình quản lý mật khẩu. Việc tái sử dụng mật khẩu giữa các tài khoản làm tăng nguy cơ tất cả các tài khoản của bạn bị tấn công. Điều tồi tệ hơn là hầu hết mọi người đều biết rõ điều này, nhưng vẫn tái sử dụng mật khẩu vì nó dễ dàng hơn.
8. Không Cần Trình Quản Lý Mật Khẩu?
Vâng, bạn cần, và bạn nên sử dụng nó cho mọi thứ
Nếu việc sử dụng mật khẩu dài, duy nhất là tuyến phòng thủ tốt nhất chống lại tin tặc, và việc sử dụng MFA hoặc 2FA là tuyến thứ hai, thì việc sử dụng trình quản lý mật khẩu là tuyến thứ ba. Các trình quản lý mật khẩu tốt nhất sẽ tạo mật khẩu cho bạn, tự động lưu chúng và giúp bạn nhập chúng vào trang web hoặc ứng dụng vào lần tiếp theo bạn truy cập. Bạn cần một trình quản lý mật khẩu vì trừ khi bạn muốn bàn làm việc của mình phủ đầy những tờ giấy nhớ, 100 mật khẩu trung bình mà bạn có cần được lưu ở đâu đó. Và đó là con số trung bình, với những người dùng internet chuyên sâu hoặc lập trình viên có số lượng gấp bội để đối phó. Hãy sử dụng một trình quản lý mật khẩu, tốt nhất là không phải trình quản lý đi kèm với trình duyệt web của bạn, và sử dụng nó mọi lúc.
9. Viết Mật Khẩu Ra Giấy Là Không An Toàn?
Nó tốt hơn là sử dụng mật khẩu không an toàn cho mọi tài khoản
Lời khuyên cổ điển về việc không nên viết mật khẩu ra giấy thực ra là không hoàn toàn đúng. Tôi không có ý rằng bạn nên dán mật khẩu của mình trên một tờ giấy nhớ dính vào màn hình máy tính (vì tất cả chúng ta đều từng làm vậy), nhưng việc viết chúng ra một cuốn sổ được cất giữ an toàn trong ngăn kéo bàn làm việc không khác gì việc sử dụng một trình quản lý mật khẩu kỹ thuật số với mọi thứ được mã hóa.
Có một số hình thức bảo mật vẫn tốt hơn không có gì, và một số người sẽ không sử dụng trình quản lý mật khẩu vì nhiều lý do khác nhau. Nhưng họ thường sẽ sử dụng một cuốn sổ và một cây bút, và việc giữ mật khẩu được ghi nhớ ở một nơi an toàn là toàn bộ mục đích của việc có các trình quản lý mật khẩu. Tuy nhiên, có một vài điều cần lưu ý: mật khẩu được viết ra của bạn vẫn nên dài ít nhất 16 ký tự, hoặc tốt hơn nữa, là một cụm mật khẩu mà bạn có thể ghi nhớ nếu cố gắng. Và nó cần được khóa lại khi không sử dụng, điều này khiến nó trở nên hơi bất tiện khi sử dụng, nhưng là cần thiết.
10. Hack Mật Khẩu Là Khó Khăn?
Với số lượng vụ rò rỉ mật khẩu hàng năm, hãy giả định mọi thứ đều đã bị xâm phạm
Ảnh minh họa mã máy tính màu tím và bàn phím
Khoa học về bẻ khóa mật khẩu đã được hiểu rất rõ ở thời điểm hiện tại, và ngay cả phần cứng máy tính khiêm tốn cũng có thể xử lý các cuộc tấn công như tấn công vét cạn (brute force), bảng cầu vồng (rainbow tables), nhồi nhét thông tin đăng nhập (credential stuffing) và các cách khác để truy cập vào các tài khoản trực tuyến. Điều này càng được hỗ trợ bởi hàng terabyte thông tin đăng nhập mật khẩu bị rò rỉ đang trôi nổi trên internet, đã được thu thập trong nhiều năm. Nếu bạn nghĩ mật khẩu duy nhất của mình thực sự là duy nhất, thì rất có thể không phải vậy và nó đã có trong một trong những tệp dữ liệu rò rỉ đó.
Không khó để tải xuống một chương trình tự động (bot) và thiết lập nó để cố gắng tấn công các tài khoản trực tuyến. Tôi thường xuyên thấy điều này trong nhật ký tài khoản Microsoft không mật khẩu của mình, nơi các thông tin đăng nhập cũ được thử lại khoảng 30 phút một lần. Nó không đủ để thông báo cho tôi hoặc khóa tài khoản, nhưng đôi khi nó hỏi tôi có đang cố gắng đăng nhập hay không, hoặc một email có mật khẩu dùng một lần cho một thiết bị duy nhất. Nó phần lớn là tự động và không tốn công sức một khi đã thiết lập. Những nỗ lực hack mà bạn thấy trong các phương tiện truyền thông phổ biến là một sự trình bày sai lệch nghiêm trọng về lượng công sức cần thiết hoặc mức độ thú vị của việc hack, bởi vì hầu hết thời gian nó rất tẻ nhạt.
Cho đến khi một giải pháp tốt để thay thế mật khẩu xuất hiện, đã đến lúc dừng tin vào những lầm tưởng về bảo mật này
Chúng tôi hiểu rằng việc quản lý mật khẩu quá tải là một vấn đề thực sự, và với trung bình khoảng 100 mật khẩu để xử lý, đó là một công việc nhàm chán. Sử dụng trình quản lý mật khẩu tự động để lưu, lưu trữ và tự động điền chúng là cách dễ nhất để giữ an toàn cho mật khẩu dài, duy nhất của bạn. Các trình quản lý mật khẩu tốt nhất cũng sẽ lưu trữ ghi chú, chi tiết thẻ tín dụng và các thông tin khác, tất cả đều được mã hóa để không ai ngoài bạn có thể nhìn thấy. Bạn thậm chí có thể sử dụng chúng để chia sẻ mật khẩu với những người bạn tin cậy mà không hiển thị mật khẩu thực tế cho họ, điều này thật tuyệt vời để giữ an toàn cho tài khoản của bạn.
Hãy chia sẻ kinh nghiệm và ý kiến của bạn về việc bảo mật mật khẩu trong phần bình luận dưới đây!
