Trong thế giới số hóa hiện nay, mật khẩu không chỉ là chìa khóa mở các cánh cửa trực tuyến mà còn là lớp bảo vệ đầu tiên cho thông tin cá nhân và tài sản kỹ thuật số của chúng ta. Dù nhiều người nghĩ rằng mình đã nắm rõ các nguyên tắc cơ bản về bảo mật mật khẩu, thực tế đáng buồn là không ít trong chúng ta vẫn mắc phải những thói quen xấu, vô tình đẩy mật khẩu và tài khoản của mình vào vòng nguy hiểm. Từ việc sử dụng những mật khẩu dễ đoán cho đến việc bỏ qua các cảnh báo rò rỉ dữ liệu, mỗi hành động thiếu thận trọng đều có thể dẫn đến hậu quả nghiêm trọng. Bài viết này của congnghemoi.net sẽ đi sâu vào phân tích 7 thói quen xấu phổ biến nhất trong việc quản lý mật khẩu, đồng thời cung cấp những lời khuyên hữu ích để bạn có thể tăng cường bảo mật và bảo vệ dữ liệu cá nhân của mình một cách hiệu quả nhất.
Màn hình máy tính hiển thị Google Password Manager
7. Tái Sử Dụng Mật Khẩu Trên Nhiều Tài Khoản
Nhiều Điểm Tiếp Xúc Hơn Với Kẻ Xấu
Đây là một trong những thói quen bảo mật mật khẩu xấu phổ biến nhất mà ngay cả người viết cũng từng mắc phải. Mặc dù đã cải thiện trong những năm gần đây bằng cách sử dụng mật khẩu duy nhất cho từng tài khoản, vẫn còn một số tài khoản cũ mà tôi vẫn dùng chung mật khẩu. Nguy cơ chính của việc tái sử dụng mật khẩu là khi một trong các tài khoản của bạn bị xâm nhập, kẻ tấn công mạng có thể sử dụng cùng mật khẩu đó để nhắm mục tiêu vào các tài khoản khác.
Hãy tưởng tượng bạn dùng chung một mật khẩu cho email, mạng xã hội và các dịch vụ phát trực tuyến. Hacker chỉ cần xâm nhập được một trong số này là có thể dễ dàng truy cập vào tất cả các tài khoản còn lại. Để kiểm tra tình trạng này, bạn có thể sử dụng các công cụ tích hợp sẵn trong trình quản lý mật khẩu. Ví dụ, khi tôi chạy công cụ Kiểm tra mật khẩu của Google Password Manager, nó đã báo cáo hơn 200 mật khẩu được tái sử dụng. Nhiều tài khoản trong số này đã có từ nhiều năm trước và tôi không còn sử dụng. Kết quả là tôi đã tiến hành xóa hoàn toàn hoặc thay đổi mật khẩu cho những tài khoản đó nếu việc xóa không khả thi.
Tất nhiên, cũng có những tài khoản bị gắn cờ nhưng không còn tồn tại hoặc, nếu bạn tự host phần mềm, một số mật khẩu đã lưu này có thể là thông tin đăng nhập mặc định cho các ứng dụng đó.
Giao diện kiểm tra mật khẩu của Google Password Manager
6. Chia Sẻ Mật Khẩu Với Người Khác
Người Khác Có Thể Đặt Mật Khẩu Của Bạn Vào Nguy Hiểm
Việc chia sẻ mật khẩu rất phổ biến khi bạn chia sẻ một tài khoản với người khác, chẳng hạn như tài khoản cho một trang web phát trực tuyến. Tuy nhiên, với việc các dịch vụ phát trực tuyến đang siết chặt việc chia sẻ tài khoản, có ít lý do hơn để biện minh cho hành động này. Lý do lớn nhất khiến đây là một rủi ro bảo mật mật khẩu là nếu thiết bị của người khác bị xâm nhập hoặc họ có các thực hành an ninh mạng kém, mật khẩu của bạn có thể bị lộ.
Nếu bạn đang chia sẻ tài khoản với ai đó, hãy tìm cách chia sẻ quyền truy cập mà không cần phải thực sự chia sẻ mật khẩu. Chẳng hạn, với tài khoản YouTube Premium Family, bạn chia sẻ tài khoản bằng cách mời các tài khoản người dùng khác vào gói đăng ký chung. Plex cũng cho phép bạn chia sẻ thư viện phương tiện của mình với một tài khoản khác, thay vì cấp quyền truy cập trực tiếp vào tài khoản của bạn. Một số trình quản lý mật khẩu cũng cho phép bạn chia sẻ mật khẩu một cách an toàn với người khác mà không làm tổn hại đến tài khoản của bạn.
Trình quản lý mật khẩu trong trình duyệt Firefox
5. Sử Dụng Đăng Nhập Bằng Tài Khoản Mạng Xã Hội (Social Logins)
Không Phải Lúc Nào Cũng Tránh Được
Mặc dù đăng nhập bằng tài khoản mạng xã hội (đăng nhập vào các dịch vụ bằng một tài khoản trung tâm như Facebook hoặc Google) về mặt kỹ thuật cho phép bạn đăng nhập vào các dịch vụ của bên thứ ba mà không cần sử dụng mật khẩu, nhưng nó có thể tiết lộ các thông tin nhạy cảm khác nếu bạn liên kết với một nền tảng không đáng tin cậy. Ngoài ra còn có nguy cơ mã truy cập (access token) của bạn (thay vì mật khẩu) bị xâm nhập và được sử dụng để truy cập một tài khoản khác.
Tôi từng thích liên kết các tài khoản của mình thông qua một lần đăng nhập duy nhất để tránh phải nhớ nhiều mật khẩu khác nhau. Tuy nhiên, sau đó tôi nhận ra rằng điều này có thể gây nguy hiểm cho nhiều tài khoản nếu tài khoản trung tâm bị xâm phạm. Tùy thuộc vào thông tin được chia sẻ giữa các tài khoản, điều này cũng có thể đặt dữ liệu và thông tin cá nhân khác vào rủi ro. Tuy nhiên, không phải lúc nào bạn cũng có thể tạo một tài khoản duy nhất cho mỗi dịch vụ mình sử dụng. Ví dụ, khi tôi thử Tana, dịch vụ này chỉ cho phép tôi tạo tài khoản bằng tài khoản Google, Microsoft, GitHub hoặc Apple.
Mặc dù không phải lúc nào cũng có thể giữ các tài khoản của bạn hoàn toàn tách biệt, nhưng tốt nhất là tạo một tài khoản riêng với mật khẩu khác nhau bất cứ khi nào có thể. Theo thời gian, tôi đã giảm thiểu việc đăng nhập bằng mạng xã hội càng nhiều càng tốt, đặc biệt là khi liên quan đến tài khoản Facebook của mình. Bạn có thể xem tổng quan về các tài khoản được liên kết trong cài đặt tài khoản của mình trên các nền tảng lớn. Hãy đảm bảo rằng bạn cập nhật phương thức đăng nhập cho các tài khoản được liên kết trước khi thu hồi quyền truy cập.
Trang tạo tài khoản của ứng dụng Tana
4. Sử Dụng Mật Khẩu Dễ Đoán
Một Trong Những Thói Quen Xấu Cũ Kỹ Nhất
Tôi từng nghĩ rằng xu hướng sử dụng mật khẩu yếu sẽ dần biến mất theo thời gian, nhưng mỗi khi các công ty an ninh mạng công bố danh sách các mật khẩu phổ biến nhất, chúng lại chứng minh điều ngược lại. Nếu bạn đang sử dụng các mật khẩu như “password”, “123456” hoặc “qwerty”, bạn đang đặt dữ liệu của mình vào nguy hiểm nghiêm trọng.
Khi tin tặc xâm nhập tài khoản, chúng có thể sử dụng các cuộc tấn công vét cạn (brute force attacks) và password spraying để thử các mật khẩu phổ biến khác nhau nhằm tìm ra mật khẩu khớp với thông tin đăng nhập của bạn. Chúng cũng có thể sử dụng các thông tin rò rỉ khác, chẳng hạn như ngày sinh hoặc tên. Ngay cả khi bạn sử dụng một mật khẩu rất cá nhân mà tin tặc khó có thể đoán được, điều này vẫn khiến tài khoản của bạn dễ bị tổn thương bởi những người thân quen trong cuộc sống. Họ có thể dễ dàng đăng nhập vào máy tính và các thiết bị khác của bạn bằng cách sử dụng thông tin về bạn.
Tài khoản Google với mật khẩu dễ đoán được hiển thị dưới dạng văn bản thuần
3. Không Cập Nhật Thông Tin Về Các Vụ Rò Rỉ Dữ Liệu
Dễ Dàng Hơn Bao Giờ Hết Để Nắm Bắt Thông Tin
Trước đây, việc theo dõi các vụ rò rỉ và xâm nhập dữ liệu khá khó khăn. Nhiều người chỉ có thể biết mật khẩu của họ bị xâm phạm khi một công ty hoặc dịch vụ liên hệ với khách hàng về thông tin đăng nhập bị rò rỉ. Nhưng nhờ các nền tảng như HaveIBeenPwned, cùng với tính năng tìm kiếm trên dark web trong các trình quản lý mật khẩu, bạn có thể dễ dàng cập nhật thông tin về việc dữ liệu của mình có bị xâm phạm hay không.
Nếu bạn không có quyền truy cập vào tính năng tìm kiếm trên dark web thông qua trình quản lý mật khẩu của mình, tôi khuyên bạn nên đăng ký nhận thông tin cập nhật từ một trang web như HaveIBeenPwned để luôn nắm bắt tình hình.
Trang web HaveIBeenPwned hiển thị trạng thái bị xâm phạm
2. Lưu Trữ Mật Khẩu Bằng Các Phương Pháp Không An Toàn
Phổ Biến Hơn Bạn Nghĩ
Với rất nhiều trình quản lý mật khẩu có sẵn ngày nay, bạn không nên lưu trữ mật khẩu của mình trong các tài liệu văn bản đơn giản hoặc bảng tính. Nếu ai đó có quyền truy cập vào thiết bị của bạn hoặc tài khoản đám mây nơi bạn đang lưu trữ thông tin, họ sẽ có quyền truy cập vào thông tin đăng nhập của tất cả các tài khoản của bạn.
Đúng vậy, việc nhớ một số lượng lớn mật khẩu là rất khó – nhưng đó là lý do tại sao mọi người dựa vào trình quản lý mật khẩu. Chúng lưu trữ mật khẩu của bạn sau lớp mã hóa, hoặc ít nhất là sau một mật khẩu thiết bị hoặc sinh trắc học. Bạn thậm chí có thể tự host trình quản lý mật khẩu của mình.
Tôi nhận ra mọi người vẫn làm điều này một thời gian trước đây khi một công ty mà tôi làm việc cùng chia sẻ thông tin truy cập tài khoản của họ trong một Google Spreadsheet. Nếu bạn vẫn đang làm điều này, tôi khuyên bạn nên sử dụng trình quản lý mật khẩu thay thế.
Ví dụ về mật khẩu yếu được lưu trữ dưới dạng văn bản thuần trong Google Sheets
1. Không Thay Đổi Mật Khẩu Cũ Thường Xuyên
Mật Khẩu Nên Có Thời Hạn Sử Dụng
Đây là một thói quen xấu khác mà tôi cũng mắc phải, nhưng tôi đã cải thiện hơn nhờ các dịch vụ mà mật khẩu của bạn tự động hết hạn sau một khoảng thời gian nhất định. Mật khẩu cũ đặt dữ liệu của bạn vào rủi ro khi một dịch vụ bị xâm phạm, ngay cả nhiều năm sau khi bạn ngừng sử dụng dịch vụ đó. Nếu bạn kết hợp điều này với việc tái sử dụng mật khẩu trên nhiều tài khoản, nguy cơ sẽ được khuếch đại.
Theo kinh nghiệm cá nhân của tôi, việc giữ nguyên mật khẩu cũ có nghĩa là tôi có một số tài khoản được liên kết với những mật khẩu rất yếu từ khi tôi còn ít kiến thức về an ninh mạng. Mặc dù không có mật khẩu nào tệ đến mức “12345”, chúng cũng không đủ mạnh mẽ như đáng lẽ phải có.
Thay đổi mật khẩu sau mỗi vài tháng hoặc ít nhất mỗi năm một lần là một thực hành bảo mật tốt. Mặc dù việc cập nhật các tài khoản khác nhau mất một chút thời gian, nhưng nó sẽ cải thiện bảo mật tổng thể của bạn. Nó cũng có nghĩa là các vụ rò rỉ dữ liệu cũ sẽ không làm lộ mật khẩu hiện tại của bạn.
Cài đặt bảo mật trong Payoneer cho phép thay đổi mật khẩu
Phá Bỏ Những Thói Quen Xấu Để Giữ Mật Khẩu An Toàn
Mặc dù một số thói quen xấu về bảo mật mật khẩu này có thể khó từ bỏ và cần thời gian để khắc phục, việc thực hiện chúng sẽ nâng cao đáng kể mức độ an toàn cho các tài khoản trực tuyến của bạn. Để tăng cường bảo mật hơn nữa, hãy cân nhắc thiết lập xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) cho các tài khoản quan trọng nhất của bạn. Bằng cách này, ngay cả khi mật khẩu của bạn bị xâm phạm, bạn vẫn sẽ nhận được thông báo về bất kỳ nỗ lực đăng nhập nào, giúp bạn kịp thời hành động. Hãy hành động ngay hôm nay để bảo vệ thế giới kỹ thuật số của bạn khỏi những mối đe dọa tiềm ẩn.
