Mặc dù nhiều người trong chúng ta tin rằng mình đã nắm rõ các thực hành cơ bản về bảo mật mật khẩu, nhưng sự thật là không ít người vẫn mắc phải một hoặc nhiều thói quen xấu, vô tình đẩy mật khẩu và tài khoản của mình vào vòng nguy hiểm. Có rất nhiều cách mà mật khẩu của bạn có thể bị lộ, và thậm chí còn có những thiết bị công nghệ được bán ra với mật khẩu mặc định cực kỳ tệ, mở ra lỗ hổng bảo mật ngay từ đầu.
Một số thói quen xấu này có thể dễ dàng khắc phục, nhưng những thói quen khác sẽ đòi hỏi sự thay đổi hành vi có chủ đích và kiên trì hơn từ phía bạn. Tuy nhiên, việc từ bỏ những thói quen này chắc chắn sẽ giúp mật khẩu và các tài khoản trực tuyến của bạn được bảo mật tốt hơn rất nhiều. Với vai trò là chuyên gia công nghệ của congnghehot.net, chúng tôi cam kết mang đến những thông tin chính xác và hữu ích nhất để cộng đồng độc giả Việt Nam có thể bảo vệ bản thân trên không gian mạng.
Giao diện Google Password Manager trên màn hình máy tính hiển thị các thông tin mật khẩu
1. Tái sử dụng mật khẩu trên nhiều tài khoản
Nguy cơ phơi nhiễm dữ liệu tăng cao
Tôi phải thừa nhận, đây là một lỗi mà tôi cũng từng mắc phải. Mặc dù qua nhiều năm tôi đã cải thiện đáng kể việc sử dụng mật khẩu riêng biệt cho từng tài khoản, nhưng vẫn còn một số tài khoản cũ của tôi dùng chung một mật khẩu. Nguy hiểm của việc tái sử dụng mật khẩu là khi một trong các tài khoản của bạn bị xâm phạm, tin tặc có thể sử dụng chính mật khẩu đó để tấn công các tài khoản khác của bạn.
Hãy hình dung bạn dùng cùng một mật khẩu cho email, mạng xã hội và các dịch vụ xem phim trực tuyến. Kẻ gian chỉ cần tấn công thành công một trong số đó là có thể truy cập vào tất cả các tài khoản còn lại. Đây là một kịch bản đáng sợ mà không ai muốn gặp phải.
Nếu bạn đang sử dụng một trình quản lý mật khẩu (password manager), bạn có thể kiểm tra xem có bao nhiêu tài khoản đang dùng chung mật khẩu. Chẳng hạn, khi tôi chạy công cụ Kiểm tra Mật khẩu (Password Checkup) của Google Password Manager, nó đã gắn cờ hơn 200 mật khẩu bị tái sử dụng. Rất nhiều trong số này là các tài khoản đã tồn tại nhiều năm và là những dịch vụ tôi không còn sử dụng. Kết quả là, tôi đã xem xét các tài khoản này và xóa chúng hoàn toàn hoặc thay đổi mật khẩu nếu không thể xóa.
Tất nhiên, sẽ có một số tài khoản bị gắn cờ không còn tồn tại hoặc, nếu bạn tự lưu trữ phần mềm, một số mật khẩu đã lưu này có thể là thông tin đăng nhập mặc định cho các ứng dụng đó.
Giao diện ứng dụng Quản lý Mật khẩu trên iPhone đang hiển thị danh sách các tài khoản đã lưu
2. Chia sẻ mật khẩu với người khác
Người khác có thể làm lộ mật khẩu của bạn
Chia sẻ mật khẩu là một thói quen khá phổ biến khi bạn dùng chung một tài khoản với người khác, ví dụ như tài khoản cho một trang web phát trực tuyến. Tuy nhiên, với việc các nền tảng streaming đang siết chặt quy định về chia sẻ tài khoản, ngày càng ít lý do để bạn biện minh cho hành động này. Rủi ro lớn nhất là nếu thiết bị của người được chia sẻ bị xâm phạm hoặc họ có thực hành bảo mật kém, mật khẩu của bạn có thể bị lộ.
Nếu bạn đang chia sẻ một tài khoản với ai đó, hãy tìm cách chia sẻ quyền truy cập mà không cần phải tiết lộ mật khẩu thực sự. Ví dụ, với gói YouTube Premium Family, bạn có thể mời các tài khoản người dùng khác tham gia vào gói đăng ký chung. Tương tự, Plex cũng cho phép bạn chia sẻ thư viện media của mình với một tài khoản khác, thay vì cấp quyền truy cập trực tiếp vào tài khoản chính của bạn.
Một số trình quản lý mật khẩu cũng cung cấp tính năng cho phép bạn chia sẻ mật khẩu một cách an toàn với người khác mà không làm lộ thông tin tài khoản của bạn.
Giao diện tính năng chia sẻ thư viện media trong ứng dụng Plex, minh họa cách chia sẻ tài khoản an toàn
Trình quản lý mật khẩu tích hợp sẵn trong trình duyệt Firefox
3. Sử dụng tính năng đăng nhập bằng tài khoản mạng xã hội
Không phải lúc nào cũng tránh được
Mặc dù việc đăng nhập vào các dịch vụ bên thứ ba bằng một tài khoản trung tâm như Facebook hay Google cho phép bạn truy cập mà không cần dùng mật khẩu riêng, nhưng nó có thể làm lộ các thông tin nhạy cảm khác nếu bạn liên kết với một nền tảng không đáng tin cậy. Ngoài ra, còn có nguy cơ mã thông báo truy cập (access token) của bạn bị xâm phạm và được sử dụng để truy cập các tài khoản khác.
Tôi từng rất thích việc liên kết các tài khoản của mình thông qua một lần đăng nhập duy nhất để tránh phải nhớ nhiều mật khẩu khác nhau. Tuy nhiên, sau này tôi nhận ra rằng điều này có thể làm ảnh hưởng đến nhiều tài khoản nếu tài khoản trung tâm bị tấn công.
Tùy thuộc vào thông tin được chia sẻ giữa các tài khoản, việc này cũng có thể đặt các dữ liệu và thông tin cá nhân khác vào tình huống nguy hiểm. Dù vậy, không phải lúc nào bạn cũng có lựa chọn để tạo một tài khoản độc lập cho mỗi dịch vụ. Ví dụ, khi tôi dùng thử Tana, dịch vụ này chỉ cho phép tôi tạo tài khoản bằng cách sử dụng tài khoản Google, Microsoft, GitHub hoặc Apple.
Dù không phải lúc nào cũng có thể giữ các tài khoản của bạn hoàn toàn tách biệt, nhưng tốt nhất là bạn nên tạo một tài khoản riêng với mật khẩu khác biệt bất cứ khi nào có thể. Theo thời gian, tôi đã giảm thiểu việc sử dụng đăng nhập xã hội càng nhiều càng tốt, đặc biệt là với tài khoản Facebook của mình.
Bạn có thể xem tổng quan các tài khoản được liên kết trong phần cài đặt tài khoản trên các nền tảng lớn. Hãy đảm bảo bạn cập nhật phương thức đăng nhập cho các tài khoản đã liên kết trước khi thu hồi quyền truy cập.
Trang tạo tài khoản của Tana, hiển thị các lựa chọn đăng nhập bằng tài khoản Google, Microsoft, GitHub hoặc Apple
Trang đăng nhập của Discord hiển thị trên MacBook Air, minh họa việc sử dụng mật khẩu cho dịch vụ trực tuyến
4. Dùng mật khẩu dễ đoán
Một trong những thói quen cũ nhưng vẫn phổ biến
Tôi từng nghĩ rằng xu hướng sử dụng mật khẩu yếu sẽ dần biến mất theo thời gian, nhưng mỗi khi các công ty an ninh mạng công bố danh sách những mật khẩu phổ biến nhất, họ lại chứng minh điều ngược lại. Nếu bạn đang sử dụng những mật khẩu như “password”, “123456”, hay “qwerty”, bạn đang đặt dữ liệu của mình vào nguy hiểm nghiêm trọng.
Khi tin tặc tấn công tài khoản, họ có thể sử dụng các cuộc tấn công vét cạn (brute force attacks) và tấn công phun mật khẩu (password spraying) để thử hàng loạt mật khẩu phổ biến nhằm tìm ra mật khẩu khớp với thông tin đăng nhập của bạn. Họ cũng có thể sử dụng các thông tin rò rỉ khác như ngày sinh hoặc tên để đoán mật khẩu.
Ngay cả khi bạn sử dụng một mật khẩu mang tính cá nhân cao mà tin tặc khó có thể đoán được, điều này vẫn khiến tài khoản của bạn dễ bị tổn thương bởi những người thân quen trong cuộc sống. Họ có thể dễ dàng đăng nhập vào máy tính và các thiết bị khác của bạn nếu biết được các thông tin cá nhân về bạn.
Mô phỏng một tài khoản Google với mật khẩu yếu hiển thị dưới dạng văn bản thuần, cảnh báo về nguy cơ bảo mật
Giao diện tiện ích mở rộng Bitwarden trên trình duyệt Firefox và Chrome, minh họa việc sử dụng trình quản lý mật khẩu
5. Bỏ qua các thông tin về rò rỉ dữ liệu
Theo dõi thông tin rò rỉ giờ đây dễ dàng hơn bao giờ hết
Trước đây, việc cập nhật thông tin về các vụ rò rỉ dữ liệu và tấn công mạng thường khá khó khăn, nhiều người chỉ có thể biết mật khẩu của mình bị xâm phạm khi công ty hoặc dịch vụ đó liên hệ thông báo. Nhưng nhờ các nền tảng như HaveIBeenPwned, cũng như tính năng tìm kiếm trên dark web có trong các trình quản lý mật khẩu, bạn có thể dễ dàng kiểm tra xem dữ liệu của mình có bị rò rỉ hay không.
Nếu bạn không có quyền truy cập vào các tính năng tìm kiếm trên dark web thông qua trình quản lý mật khẩu, tôi đặc biệt khuyên bạn nên đăng ký nhận thông báo từ một trang web như HaveIBeenPwned.
Trang web HaveIBeenPwned hiển thị trạng thái "pwned", cho biết tài khoản email đã bị rò rỉ dữ liệu
Người dùng đang cầm điện thoại Samsung Galaxy S23 hiển thị ứng dụng Google Password Manager
6. Lưu trữ mật khẩu bằng các phương pháp không an toàn
Thói quen phổ biến hơn bạn nghĩ
Với rất nhiều trình quản lý mật khẩu có sẵn trên thị trường hiện nay, bạn không nên lưu trữ mật khẩu của mình trong các tài liệu văn bản thuần (text documents) hoặc bảng tính (spreadsheets) đơn giản. Nếu ai đó có quyền truy cập vào thiết bị của bạn hoặc tài khoản đám mây nơi bạn đang lưu trữ thông tin, họ sẽ có quyền truy cập vào thông tin đăng nhập của tất cả các tài khoản của bạn.
Đúng vậy, việc ghi nhớ một số lượng lớn mật khẩu là rất khó khăn – và đó là lý do tại sao mọi người dựa vào các trình quản lý mật khẩu. Chúng lưu trữ mật khẩu của bạn đằng sau lớp mã hóa, hoặc ít nhất là đằng sau mật khẩu thiết bị hoặc bảo mật sinh trắc học. Bạn thậm chí có thể tự lưu trữ trình quản lý mật khẩu của mình để kiểm soát hoàn toàn dữ liệu.
Tôi nhận ra rằng mọi người vẫn làm điều này khi một công ty mà tôi từng làm việc đã chia sẻ chi tiết truy cập tài khoản của họ trong một Google Spreadsheet. Nếu bạn vẫn đang có thói quen này, tôi thực sự khuyên bạn nên chuyển sang sử dụng một trình quản lý mật khẩu ngay lập tức để bảo vệ tài sản số của mình.
Ví dụ về các mật khẩu yếu được lưu trữ dưới dạng văn bản thuần trong Google Sheets, một phương pháp lưu trữ không an toàn
Trình quản lý mật khẩu Bitwarden hoạt động cùng Synology NAS, minh họa tùy chọn tự lưu trữ an toàn
7. Không thay đổi mật khẩu cũ thường xuyên
Mật khẩu cũng cần có “hạn sử dụng”
Đây là một thói quen xấu khác mà tôi cũng từng mắc phải, nhưng tôi đã cải thiện được nhờ các dịch vụ mà mật khẩu của bạn tự động hết hạn sau một khoảng thời gian nhất định. Mật khẩu cũ đặt dữ liệu của bạn vào nguy cơ khi một dịch vụ bị tấn công, ngay cả nhiều năm sau khi bạn đã ngừng sử dụng nó. Nếu bạn kết hợp điều này với việc tái sử dụng mật khẩu trên nhiều tài khoản, rủi ro sẽ càng tăng lên gấp bội.
Từ kinh nghiệm cá nhân của tôi, việc giữ nguyên mật khẩu cũ có nghĩa là tôi đã có một số tài khoản được liên kết với những mật khẩu rất yếu từ khi tôi còn ít kiến thức về an ninh mạng. Mặc dù không có mật khẩu nào tệ đến mức “12345”, chúng cũng không đủ mạnh mẽ như đáng lẽ phải có.
Thực hành tốt về bảo mật là thay đổi mật khẩu của bạn vài tháng một lần hoặc ít nhất là mỗi năm một lần. Mặc dù việc cập nhật các tài khoản khác nhau có thể tốn một chút thời gian, nhưng nó sẽ cải thiện tổng thể tính bảo mật của bạn. Nó cũng có nghĩa là các vụ rò rỉ dữ liệu cũ sẽ không làm lộ mật khẩu hiện tại của bạn.
Giao diện cài đặt bảo mật trong Payoneer, nơi người dùng có thể thay đổi mật khẩu và quản lý các tùy chọn bảo mật
Banner quảng cáo Bitwarden, nhấn mạnh lý do nên sử dụng trình quản lý mật khẩu nguồn mở
Từ bỏ những thói quen xấu để giữ an toàn cho mật khẩu của bạn
Mặc dù một số thói quen này có thể khó từ bỏ và cần thời gian để khắc phục, nhưng việc làm đó sẽ nâng cao đáng kể mức độ bảo mật cho các tài khoản trực tuyến của bạn. Để tăng cường bảo mật hơn nữa, hãy cân nhắc thiết lập xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) cho các tài khoản quan trọng nhất của bạn. Bằng cách này, ngay cả khi mật khẩu của bạn bị lộ, bạn vẫn sẽ nhận được thông báo về bất kỳ nỗ lực đăng nhập trái phép nào, cho phép bạn hành động kịp thời để bảo vệ dữ liệu của mình.