Tạo Mật Khẩu Mạnh

Để nhớ nhiều mật khẩu khác nhau là điều rất khó khăn, nên nhiều người thường dùng lại một số mật khẩu cho nhiều tài khoản, trang mạng, và các dịch vụ. Ngày nay, người dùng được yêu cầu tạo ngay mật khẩu mới- kết quả là rất nhiều người dùng lại các mật khẩu cũ hàng chục thậm chí đến hàng trăm lần.

Việc sử dụng lại mật khẩu là một thói quen bảo mật tồi, bởi vì nếu một kẻ tấn công có được một mật khẩu, thường thì hắn sẽ thử dùng mật khẩu đó cho nhiều tài khoản của cùng một người. Nếu người đó dùng lại một mật khẩu nhiều lần, kẻ tấn công sẽ có thể truy cập vào nhiều tài khoản. Điều này có nghĩa rằng một mật khẩu nào đó chỉ an toàn tương đương với một dịch vụ ít an toàn nhất có sử dụng mật khẩu đó.

Tránh việc sử dụng lại mật khẩu là lời cảnh báo hữu ích, nhưng bạn sẽ không thể nhớ tất cả các mật khẩu nếu mỗi mật khẩu lại khác nhau. May mắn thay, có nhiều công cụ phần mềm giúp bạn giải quyết vấn đề này- một phần mềm quản lý mật khẩu (cũng thường được gọi là Két mật khẩu) là một ứng dụng phần mềm giúp lưu trữ một lượng lớn mật khẩu một cách an toàn. Điều này trên thực tế giúp tránh phải sử dụng cùng một mật khẩu cho nhiều bối cảnh khác nhau. Phần mềm quản lý mật khẩu sẽ bảo vệ tất cả mật khẩu của bạn với chỉ duy nhất một mật khẩu chính (hoặc lý tưởng nhất là một cụm từ mật khẩu- xem thảo luận bên dưới) vì thế bạn chỉ cần nhớ một mật khẩu duy nhất. Thực ra những người sử dụng phần mềm quản lý mật khẩu không cần phải biết các mật khẩu của họ cho nhiều tài khoản khác nhau; phần mềm này có thể tự quản lý quá trình tạo và nhớ nhiều mật khẩu cho họ.

Ví dụ, KeePassX là loại két mật khẩu mã nguồn mở miễn phí mà bạn có thể sử dụng trên máy tính. Điều lưu ý quan trọng là nếu bạn sử dụng KeePassX, thì phần mềm này không tự động lưu các thay đổi và dữ kiện thêm vào. Điều này có nghĩa nếu chẳng may phần mềm bị lỗi sau khi bạn thêm mật khẩu, có thể bạn sẽ bị mất mật khẩu đó mãi mãi. Bạn có thể thay đổi tính năng này ở phần thiết đặt.

Sử dụng một phần mềm quản lý mật khẩu cũng giúp bạn lựa chọn các loại mật khẩu mạnh làm cho kẻ tấn công khó đoán ra. Điều này cũng rất quan trọng; thường thì những người sử dụng máy tính lựa chọn những mật khẩu ngắn, đơn giản khiến cho kẻ tấn công dễ dàng đoán ra, các mật khẩu này bao gồm “password1”, “12345”, ngày sinh, tên của người bạn, người vợ chồng hoặc tên vật nuôi. Phần mềm quản lý mật khẩu có thể giúp bạn tạo ra và sử dụng một mật khẩu ngẫu nhiên không theo khuôn mẫu hoặc cấu trúc nào- mật khẩu này không thể nào đoán nổi. Ví dụ như, phần mềm quản lí mật khẩu có thể tạo mật khẩu giống như "vAeJZ!Q3p$Kdkz/CRHzj0v7,” mà ngay cả con người cũng khó có thể nhớ hay đoán ra được. Nhưng bạn đừng lo; phần mềm quản lý mật khẩu sẽ nhớ mật khẩu này cho bạn.

Đồng bộ mật khẩu trên nhiều thiết bị Anchor link

Có lẽ bạn sử dụng nhiều mật khẩu trên nhiều thiết bị, ví dụ như trên máy tính và trên điện thoại thông minh. Rất nhiều phần mềm quản lí mật khẩu được xây dựng sẵn tính năng đồng bộ hóa mật khẩu. Khi bạn đồng bộ tập tin mật khẩu, thì tập tin này cũng được đồng bộ trên tất cả các thiết bị của bạn, do đó khi bạn thêm một tài khoản mới trên máy tính, thì bạn cũng có thể đăng nhập nó trên điện thoại. Một vài phần mềm quản lý mật khẩu khác cung cấp dịch vụ lưu mật khẩu “lên đám mây”, có nghĩa là phần mềm này sẽ lưu mật khẩu của bạn đã được mã hóa trên một máy chủ ở xa, và khi bạn cần mật khẩu trên máy tính xách tay hoặc điện thoại, thì phần mềm này tự động lấy ra và giải mã mật khẩu cho bạn. Phần mềm quản lý mật khẩu như này sẽ tiện dụng hơn, nhưng đổi lại là chúng dễ bị tấn công hơn. Nếu bạn lưu trữ mật khẩu trên máy tính, thì một người nào đó có thể lấy máy tính của bạn và kiểm soát mật khẩu. Nếu bạn lưu trữ trên đám mây, thì kẻ tấn công cũng có thể tấn công như vậy. Thường thì đó không phải là một cơ nguy bạn phải lo lắng trừ khi kẻ tấn công có quyền lực pháp lý đối với công ty quản lý mật khẩu hoặc được biết là chuyên tấn công các công ty và internet.

Chọn mật khẩu mạnh Anchor link

Có một vài mật khẩu cần phải nhớ và cần phải mạnh: các loại mật khẩu khóa dữ liệu bằng mã hóa. Còn bao gồm, tối thiểu là, mật khẩu cho thiết bị của bạn, mã hóa toàn bộ ổ đĩa cứng, và mật khẩu chính của phần mềm quản lý mật khẩu.

Bời vì các mật khẩu này thường dài hơn một từ, chúng được gọi là cụm từ mật khẩu. Các loại mật khẩu ngắn bất kỳ, thậm chí hoàn toàn ngẫu nhiên như "nQ\m=8*x or !s7e&nUY hoặc "gaG5^bG," không còn đủ mạnh để cho sử dụng mã hóa hiện nay.

Có một vài cách để tạo ra cụm từ mật khẩu mạnh và dễ nhớ; phương pháp đơn giản và chắc chắn thành công nhất là phương pháp “Diceware” (lắc xúc xắc) của Arnold Reinhold.

Phương pháp của Reinhold là lắc một viên xúc xắc để chọn lựa ngẫu nhiên một vài từ trong danh sách các từ; các từ này cùng nhau tạo thành cụm từ mật khẩu. Chúng tôi khuyến nghị nên chọn ít nhất 6 từ để mã khóa ổ cứng (và két mật khẩu).

Hãy tạo một mật khẩu bằng phương pháp Diceware của Reinhold.

Khi bạn sử dụng phần mềm quản lý mật khẩu, sự bảo mật của các mật khẩu và mật khẩu chính chỉ mạnh bằng mức bảo mật của máy tính có cài đặt phần mềm quản lí mật khẩu. Nếu máy tính hoặc thiết bị của bạn bị phá hoại và phần mềm gián điệp được cài đặt, phần mềm gián điệp đó có thể thấy bạn gõ mật khẩu chính và có thể đánh cắp nội dung trong két mật khẩu. Vậy nên điều rất quan trọng là giữ cho máy tính và các thiết bị khác không dính phần mềm gây hại khi sử dụng phần mềm quản lí mật khẩu.

Đôi lời về “Câu hỏi Bảo mật” Anchor link

Hãy chú ý đến “câu hỏi bảo mật” (như “tên gọi thời thiếu nữ của mẹ bạn là gì? Hoặc “Tên của vật nuôi đầu tiên của bạn là gì?”) mà các trang mạng dùng để xác nhận danh tính của bạn nếu bạn quên mất mật khẩu. Câu trả lời thành thật đối với các câu hỏi bảo mật là thứ dễ bị công khai phát hiện khiến cho đối thủ kiên quyết có thể dễ dàng tìm thấy và từ đó vượt qua toàn bộ mật khẩu của bạn. Ví dụ như, tài khoản Yahoo! Của ứng cử viên phó tổng thống Hoa Kỳ Sarah Palin đã bị đánh cắp bằng cách này. Thay vào đó nên đưa ra các câu trả lời hư cấu giống như mật khẩu của bạn, không ai biết ngoài bạn. Ví dụ như nếu câu hỏi bảo mật hỏi bạn câu hỏi tên của vật nuôi, trong khi đó bạn đã đăng hình lên các trang mạng chia sẻ ảnh với dòng ghi chú như “Đây là bức ảnh thú cưng của tôi, Spot!” Thay vì sử dụng từ “Spot” cho câu trả lời phục hồi mật khẩu, thì bạn nên bạn “Rumplestiltskin”. Không sử dụng cùng mật khẩu hoặc câu trả lời cho câu hỏi bảo mật cho nhiều tài khoản trên nhiều trang mạng và dịch vụ. Bạn cũng nên lưu giữ các câu trả lời hư cấu trong két mật khẩu.

Hãy nghĩ đến các trang mạng mà bạn có dùng câu hỏi bảo mật. Hãy xem lại các thiết đặt và thay đổi các câu trả lời.

Nhớ giữ một bản sao lưu của két mật khẩu! Nếu bạn mất két mật khẩu do bị đột nhập (hoặc bị lấy mất thiết bị), thì rất khó để phục hồi lại mật khẩu. Chương trình két mật khẩu thường có cách tạo một bản sao lưu riêng, hoặc bạn có thể sử dụng chương trình sao lưu thường.

Bạn có thể thiết lập lại mật khẩu bằng cách yêu cầu dịch vụ gửi cho một email phục hồi mật khẩu đến hộp thư đã đăng ký với dịch vụ. Vì lý do đó, có lẽ bạn cũng muốn nhớ cụm từ mật khẩu gửi tới tài khoản email này. Nếu bạn làm vậy, thì đó là cách bạn thiết lập lại mật khẩu mà không cần phải bảo vệ két mật khẩu.

Xác thực nhiều yếu tố và mật khẩu một lần Anchor link

Có rất nhiều dịch vụ và công cụ phần mềm cho bạn sử dụng xác minh hai-yếu tố, hay còn gọi xác minh hai-bước hoặc đăng nhập hai bước. Đây là khái niệm rằng để đăng nhập, bạn cần phải sở hữu một phần cứng: ví dụ như điện thoại di động, nhưng trong một vài phiên bản khác, có thể là một thiết bị đặc biệt gọi là token an ninh. Sử dụng xác minh hai bước đảm bảo rằng kể cả khi mật khẩu của thiết bị bị đột nhập hay đánh cắp, kẻ trộm cũng không thể đăng nhập vào được trừ khi chúng có hoặc kiểm soát thiết bị thứ hai và mã số đặc biệt mà chỉ có thiết bị này tạo ra.

Thường thì điều này nghĩa rằng kẻ trộm hay tin tặc sẽ phải kiểm soát cả máy tính xách tay lẫn điện thoại của bạn trước khi chúng có toàn quyền đối với tài khoản của bạn.

Bởi vì cách xác minh này chỉ có thể cài đặt với sự cộng tác của công ty điều hành dịch vụ, cho nên không cách nào bạn có thể tự làm nếu bạn dùng một dịch vụ không cung ứng việc này.

Xác minh hai bước dùng điện thoại di động có thể tiến hành bằng hai cách: dịch vụ này có thể gửi cho bạn một tin nhắn SMS đến điện thoại của bạn khi bạn muốn đăng nhập (cung cấp thêm một mã số bảo mật bạn cần phải gõ vào), hoặc điện thoại của bạn có thể chạy một ứng dụng xác minh tạo ra mã số bảo mật ngay trong điện thoại. Cách này sẽ giúp bảo vệ tài khoản của bạn trong tình huống kẻ tấn công có mật khẩu của bạn nhưng lại không có trong tay chiếc điện thoại di động của bạn.

Một vài dịch vụ như Google cho phép bạn tạo ra một danh sách các mật khẩu một lần, còn được gọi là mật khẩu dùng một lần. Các mật khẩu này có thể được in hoặc viết trên giấy để bạn có thể mang theo (mặc dù trong một vài tính huống có thể nhớ được một vài mật khẩu trong số đó). Mỗi một mật khẩu này chỉ dùng được một lần, do đó nếu một mật khẩu bạn gõ xuống bị đánh cắp bởi phần mềm gián điệp thì kẻ cắp không thể sử dụng mật khẩu đó trong tương lai.

Nếu bạn hoặc tổ chức của bạn có cơ sở hạ tầng truyền thông riêng, ví dụ như máy chủ cho email, thì có phần mềm miễn phí sử dụng xác minh hai bước để truy cập vào hệ thống. Hãy hỏi người quản trị hệ thống tìm xem phần mềm nào áp dụng tiêu chuẩn mở “Mật khẩu một lần dựa vào thời gian” hoặc RFC 6238.

Mối đe dọa từ Tổn thương thể xác hoặc bị bỏ tù Anchor link

Cuối cùng, hãy hiểu rằng luôn có một cách mà những kẻ tấn công có thể lấy được mật khẩu của bạn: Họ có thể trực tiếp đe dọa gây tổn thương thể xác hoặc giam cầm bạn. Nếu bạn sợ điều này có thể xảy ra, hãy xem xét các cách mà bạn có thể giấu đi dữ liệu hoặc thiết bị đã được bảo vệ bằng mật khẩu, hơn là tin tưởng rằng bạn sẽ không bao giờ trao nộp mật khẩu. Một việc khác có thể làm à duy trì ít nhất một tài khoản có chứa thông tin không quan trọng, mật khẩu của tài khoản này bạn có thể tiết lộ nhanh chóng.

Nếu bạn có lí do để tin rằng ai đó có thể đe dọa bạn để lấy mật khẩu, thì hãy chắc rằng thiết bị của bạn đã được cấu hình sao cho không thấy lộ liễu là tài khoản bạn tiết lộ không phải là tài khoản “thực”. Vậy thì tài khoản thực của bạn có hiển thị ngay trên màn hình đăng nhập của máy tính hay không? hay tự động hiển thị khi bạn mở trình duyệt? Nếu vậy bạn có lẽ cần phải thiết lập lại để tài khoản của bạn ít bị hiển thị.

Ở nhiều hệ thống luật pháp, như Hoa Kỳ hoặc Bỉ, bạn có thể khiếu nại pháp lý khi bị buộc phải nộp mật khẩu của bạn. Ở nhiều hệ thống pháp luật khác, như Vương quốc Anh hay Ấn Độ, luật pháp địa phương cho phép chính quyền yêu cầu tiết lộ thông tin. EFF có thông tin chi tiết cho những ai du lịch qua biên giới Mỹ mà vẫn mong muốn bảo vệ dữ liệu trên thiết bị điện tử trong phần Hướng dẫn Bảo vệ thông tin cá nhân tại Biên giới Hoa Kỳ.

Xin lưu ý rằng việc cố tình phá hủy bằng chứng hoặc cản trở điều tra có thể được xem là một tội riêng biệt, thường có hậu quả rất nghiêm trọng. Trong một số trường hợp, điều này làm cho chính phủ dễ dàng chứng minh hơn và cho phép trừng phạt đáng kể hơn so với các tội bị cáo buộc đang điều tra ban đầu.

Cập nhật lần cuối: 
2016-01-13
Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
JavaScript license information