Trong kỷ nguyên số hóa, mật khẩu là tuyến phòng thủ đầu tiên và quan trọng nhất để bảo vệ thông tin cá nhân cùng các tài khoản trực tuyến của bạn. Dù chúng ta đều ý thức được tầm quan trọng của việc bảo mật mật khẩu cơ bản, nhưng thực tế cho thấy, nhiều người vẫn mắc phải ít nhất một trong những thói quen xấu khiến mật khẩu và tài khoản của mình đối mặt với rủi ro cao. Có vô vàn cách khiến mật khẩu của bạn bị lộ, thậm chí còn có những thiết bị công nghệ được bán ra với mật khẩu mặc định rất tệ, dễ dàng bị khai thác.
Một số thói quen không tốt này có thể được khắc phục dễ dàng, nhưng số khác lại đòi hỏi sự thay đổi hành vi một cách kiên trì hơn. Tuy nhiên, việc từ bỏ những thói quen này chắc chắn sẽ giúp mật khẩu của bạn trở nên an toàn và bảo mật hơn rất nhiều, tránh khỏi những mối đe dọa từ không gian mạng. Bài viết này của khothuthuat.net sẽ chỉ ra 7 thói quen xấu phổ biến về mật khẩu và hướng dẫn bạn cách khắc phục chúng để tăng cường bảo vệ cho các tài khoản số của mình.
7. Tái sử dụng mật khẩu cho nhiều tài khoản
Nhiều điểm rủi ro
Tôi phải thừa nhận rằng, bản thân tôi cũng từng mắc lỗi này. Mặc dù đã cải thiện đáng kể trong những năm gần đây bằng cách sử dụng mật khẩu riêng biệt cho từng tài khoản, nhưng vẫn còn một số tài khoản cũ mà tôi sử dụng chung mật khẩu. Mối nguy hiểm của việc tái sử dụng mật khẩu là khi một trong các tài khoản của bạn bị xâm phạm, tin tặc có thể dễ dàng sử dụng chính mật khẩu đó để tấn công các tài khoản khác.
Hãy tưởng tượng bạn sử dụng cùng một mật khẩu cho email, mạng xã hội và các dịch vụ phát trực tuyến. Kẻ tấn công chỉ cần xâm nhập được một trong các tài khoản này là có thể tiếp cận toàn bộ những tài khoản còn lại của bạn.
Nếu bạn đang sử dụng trình quản lý mật khẩu, bạn có thể kiểm tra xem có bao nhiêu tài khoản đang dùng chung một mật khẩu. Ví dụ, khi tôi chạy công cụ Kiểm tra mật khẩu (Password Checkup) của Google Password Manager, nó đã báo cáo hơn 200 mật khẩu bị tái sử dụng. Nhiều tài khoản trong số này đã có từ nhiều năm trước và là các dịch vụ tôi không còn dùng nữa. Do đó, tôi đã xem xét kỹ các tài khoản dùng chung mật khẩu, xóa chúng hoàn toàn hoặc đổi mật khẩu nếu không thể xóa.
Tất nhiên, sẽ có một số tài khoản bị gắn cờ không còn tồn tại nữa. Hoặc, nếu bạn tự host phần mềm, một số mật khẩu đã lưu này có thể là thông tin đăng nhập mặc định cho các ứng dụng đó.
Công cụ kiểm tra mật khẩu trong Google Password Manager phát hiện mật khẩu bị trùng lặp
6. Chia sẻ mật khẩu với người khác
Người khác có thể đặt mật khẩu của bạn vào nguy hiểm
Việc chia sẻ mật khẩu khá phổ biến khi bạn dùng chung một tài khoản với người khác, chẳng hạn như tài khoản dịch vụ phát trực tuyến. Tuy nhiên, với việc các trang web phát trực tuyến đang thắt chặt quy định về chia sẻ mật khẩu, ngày càng có ít lý do để biện minh cho hành động này. Lý do lớn nhất khiến việc này trở thành một rủi ro là nếu thiết bị của người khác bị xâm nhập hoặc họ có thói quen bảo mật kém, mật khẩu của bạn có thể bị lộ.
Nếu bạn đang chia sẻ một tài khoản với ai đó, hãy tìm cách chia sẻ quyền truy cập mà không cần phải cung cấp trực tiếp mật khẩu của bạn. Ví dụ, với tài khoản YouTube Premium Family, bạn có thể chia sẻ gói đăng ký bằng cách mời các tài khoản người dùng khác tham gia. Tương tự, Plex cũng cho phép bạn chia sẻ thư viện media của mình với một tài khoản khác, thay vì cấp quyền truy cập trực tiếp vào tài khoản của bạn.
Một số trình quản lý mật khẩu cũng cho phép bạn chia sẻ mật khẩu một cách an toàn với người khác mà không làm lộ thông tin đăng nhập tài khoản chính của bạn.
Tính năng chia sẻ thư viện media trên nền tảng Plex
5. Sử dụng đăng nhập bằng tài khoản mạng xã hội (Social Logins)
Không phải lúc nào cũng tránh được
Mặc dù việc đăng nhập bằng tài khoản mạng xã hội (đăng nhập vào các dịch vụ bằng một tài khoản trung tâm như Facebook hoặc Google) về mặt kỹ thuật giúp bạn truy cập các dịch vụ bên thứ ba mà không cần dùng mật khẩu riêng, nhưng nó có thể làm lộ thông tin nhạy cảm khác nếu bạn liên kết với một nền tảng không đáng tin cậy. Ngoài ra, còn có rủi ro về việc mã truy cập (access token) của bạn (thay vì mật khẩu) bị xâm phạm và được dùng để truy cập vào các tài khoản khác.
Trước đây, tôi từng thích liên kết các tài khoản của mình thông qua một lần đăng nhập duy nhất để tránh phải nhớ nhiều mật khẩu khác nhau. Tuy nhiên, sau này tôi nhận ra rằng điều này có thể làm lộ nhiều tài khoản nếu tài khoản trung tâm bị xâm phạm.
Tùy thuộc vào thông tin được chia sẻ giữa các tài khoản, điều này cũng có thể đặt dữ liệu và thông tin cá nhân khác vào rủi ro. Mặc dù vậy, không phải lúc nào bạn cũng có lựa chọn tạo một tài khoản riêng biệt cho mỗi dịch vụ mình sử dụng. Ví dụ, khi tôi thử nghiệm Tana, dịch vụ này chỉ cho phép tôi tạo tài khoản bằng tài khoản Google, Microsoft, GitHub hoặc Apple.
Mặc dù không phải lúc nào cũng có thể giữ các tài khoản của bạn hoàn toàn tách biệt, nhưng tốt nhất bạn nên tạo một tài khoản riêng với mật khẩu khác biệt bất cứ khi nào có thể. Theo thời gian, tôi đã giảm thiểu việc sử dụng đăng nhập xã hội càng nhiều càng tốt, đặc biệt là với tài khoản Facebook của mình.
Bạn có thể xem tổng quan về các tài khoản đã liên kết trong cài đặt tài khoản của mình trên các nền tảng lớn. Hãy đảm bảo rằng bạn cập nhật phương thức đăng nhập cho các tài khoản liên kết trước khi thu hồi quyền truy cập.
Trang tạo tài khoản Tana với các tùy chọn đăng nhập bằng tài khoản Google, Microsoft, GitHub hoặc Apple
4. Sử dụng mật khẩu dễ đoán
Một trong những thói quen xấu lâu đời nhất
Tôi từng nghĩ rằng xu hướng sử dụng mật khẩu yếu sẽ dần biến mất theo thời gian, nhưng mỗi khi các công ty an ninh mạng công bố danh sách mật khẩu phổ biến nhất, chúng lại chứng minh điều ngược lại. Nếu bạn đang sử dụng những mật khẩu như “password”, “123456” hoặc “qwerty”, bạn đang đặt dữ liệu của mình vào vòng nguy hiểm nghiêm trọng.
Khi tin tặc xâm nhập các tài khoản, họ có thể sử dụng các cuộc tấn công brute force (dò mật khẩu) và password spraying (thử một mật khẩu với nhiều tài khoản khác nhau) để thử lần lượt các mật khẩu phổ biến nhằm tìm ra cái nào khớp với thông tin đăng nhập tài khoản của bạn. Họ cũng có thể sử dụng các thông tin bị rò rỉ khác, chẳng hạn như ngày sinh hoặc tên.
Ngay cả khi bạn sử dụng một mật khẩu rất riêng tư mà tin tặc khó có thể đoán được, điều này vẫn khiến tài khoản của bạn dễ bị tổn thương bởi những người thân quen trong cuộc sống. Họ có thể dễ dàng đăng nhập vào máy tính và các thiết bị khác của bạn nếu có thông tin về bạn.
Minh họa mật khẩu yếu trong cài đặt tài khoản Google
3. Không cập nhật thông tin về các vụ rò rỉ dữ liệu
Việc cập nhật thông tin ngày càng dễ dàng
Trước đây, việc theo dõi các vụ rò rỉ và vi phạm dữ liệu rất khó khăn, nhiều người chỉ có thể biết mật khẩu của mình bị lộ khi một công ty hoặc dịch vụ liên hệ với khách hàng về thông tin đăng nhập bị rò rỉ. Nhưng nhờ các nền tảng như HaveIBeenPwned, cũng như tính năng tìm kiếm trên dark web của một số trình quản lý mật khẩu, bạn có thể dễ dàng cập nhật xem dữ liệu của mình có bị xâm phạm hay không.
Nếu bạn không có quyền truy cập vào tính năng tìm kiếm trên dark web thông qua trình quản lý mật khẩu của mình, tôi khuyên bạn nên đăng ký nhận thông báo cập nhật từ một trang web uy tín như HaveIBeenPwned.
Trang web HaveIBeenPwned hiển thị trạng thái tài khoản đã bị rò rỉ dữ liệu
2. Lưu trữ mật khẩu bằng phương pháp không an toàn
Phổ biến hơn bạn nghĩ
Với rất nhiều trình quản lý mật khẩu có sẵn ngày nay, bạn không nên lưu trữ mật khẩu của mình trong các tài liệu văn bản thuần túy hoặc bảng tính đơn giản. Nếu ai đó có quyền truy cập vào thiết bị của bạn hoặc tài khoản đám mây nơi bạn đang lưu trữ thông tin, họ sẽ có quyền truy cập vào thông tin đăng nhập của tất cả các tài khoản của bạn.
Đúng vậy, rất khó để nhớ một số lượng lớn mật khẩu – đó là lý do tại sao mọi người dựa vào các trình quản lý mật khẩu. Chúng lưu trữ mật khẩu của bạn đằng sau mã hóa, hoặc ít nhất là đằng sau mật khẩu thiết bị hoặc sinh trắc học nếu thiếu mã hóa. Bạn thậm chí có thể tự host trình quản lý mật khẩu của mình để tăng cường bảo mật.
Tôi nhận ra mọi người vẫn làm điều này một thời gian trước khi một công ty tôi làm việc cùng chia sẻ thông tin truy cập tài khoản của họ trong một bảng tính Google Spreadsheet. Nếu bạn vẫn đang làm điều này, tôi khuyên bạn nên sử dụng một trình quản lý mật khẩu thay thế ngay lập tức.
Ví dụ mật khẩu được lưu trữ dưới dạng văn bản thuần túy trong Google Sheets
1. Không thay đổi mật khẩu cũ
Mật khẩu nên có “hạn sử dụng”
Đây cũng là một thói quen xấu mà tôi từng mắc phải, nhưng tôi đã cải thiện nó nhờ các dịch vụ mà mật khẩu của bạn tự động hết hạn sau một khoảng thời gian nhất định. Mật khẩu cũ đặt dữ liệu của bạn vào rủi ro khi một dịch vụ bị xâm phạm, ngay cả nhiều năm sau khi bạn đã ngừng sử dụng dịch vụ đó. Nếu bạn kết hợp điều này với việc tái sử dụng mật khẩu trên nhiều tài khoản, rủi ro sẽ càng được khuếch đại.
Từ kinh nghiệm cá nhân của tôi, việc giữ nguyên mật khẩu cũ có nghĩa là tôi đã có một số tài khoản được liên kết với những mật khẩu rất yếu từ thời điểm tôi chưa hiểu nhiều về an ninh mạng. Mặc dù không có mật khẩu nào tệ như “12345”, nhưng chúng cũng không đủ mạnh mẽ như đáng lẽ phải có.
Thay đổi mật khẩu vài tháng một lần hoặc ít nhất mỗi năm một lần là một thói quen bảo mật tốt. Mặc dù việc cập nhật các tài khoản khác nhau có thể tốn một chút thời gian, nhưng nó giúp cải thiện an ninh tổng thể của bạn. Nó cũng có nghĩa là các vụ rò rỉ dữ liệu cũ sẽ không làm lộ mật khẩu hiện tại của bạn.
Cài đặt bảo mật tài khoản trong Payoneer
Loại bỏ thói quen xấu để giữ mật khẩu an toàn
Mặc dù một số thói quen này có thể khó bỏ và cần thời gian để khắc phục, nhưng việc làm đó sẽ nâng cao đáng kể mức độ bảo mật cho các tài khoản trực tuyến của bạn. Để tăng cường bảo mật hơn nữa, hãy cân nhắc thiết lập xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) cho những tài khoản quan trọng nhất của bạn. Bằng cách này, ngay cả khi mật khẩu của bạn bị xâm phạm, bạn vẫn sẽ nhận được thông báo về bất kỳ nỗ lực đăng nhập trái phép nào.
