Trong nhiều thập kỷ qua, mật khẩu máy tính đã trở thành công cụ bảo vệ thông tin không thể thiếu. Tuy nhiên, dường như vẫn còn rất nhiều sự nhầm lẫn về cách chọn một mật khẩu mạnh, những yếu tố cần có và liệu mật khẩu của bạn đã đủ an toàn hay chưa. Là một chuyên gia công nghệ tại trangtincongnghe.net, chúng ta hãy cùng làm rõ những lầm tưởng phổ biến về mật khẩu mạnh và cách bảo vệ tài khoản hiệu quả nhất.
Lầm Tưởng 1: Cụm Mật Khẩu (Passphrase) Vốn Không An Toàn
Cụm mật khẩu (passphrase) là chuỗi các từ thay vì các ký tự ngẫu nhiên, khác với mật khẩu truyền thống. Do được cấu thành từ các từ có nghĩa, đôi khi có sự hiểu lầm rằng passphrase dễ bị tấn công vét cạn (brute-force attack), đặc biệt là với các cuộc tấn công từ điển (dictionary attack). Tuy nhiên, điều này không hoàn toàn đúng. Miễn là bạn chọn passphrase một cách cẩn thận, một cụm mật khẩu gồm 4 từ có thể tạo ra hàng trăm triệu tỷ kết hợp khác nhau và mất hàng triệu hoặc thậm chí hàng tỷ năm để phá vỡ.
Rủi ro lớn nhất với passphrase là việc chọn những cụm từ quá phổ biến. Để đảm bảo an toàn, bạn nên tránh các cụm từ xuất hiện trong âm nhạc, chương trình truyền hình, phim ảnh, sách hoặc các phương tiện truyền thông khác. Tuyệt đối không sử dụng những câu nói yêu thích của người nổi tiếng. Với chỉ một lưu ý nhỏ này, passphrase mang lại một lợi ích lớn: chúng dễ nhớ hơn nhiều so với các mật khẩu ngẫu nhiên có độ dài tương đương. Ví dụ, “birdDandeLionTanktoeGlasses” dễ nhớ hơn nhiều so với “6dCV^skr%H4b6r9Xn8TAP5z86$6.”
Lầm Tưởng 2: Thay Đổi Mật Khẩu Định Kỳ Luôn Tăng Cường Bảo Mật
Nhiều dịch vụ yêu cầu người dùng thay đổi mật khẩu định kỳ. Tuy nhiên, trừ khi bạn đang tái sử dụng mật khẩu (điều bạn không bao giờ nên làm) hoặc đã xảy ra rò rỉ dữ liệu khiến mật khẩu của bạn bị lộ, việc thay đổi mật khẩu thường xuyên không thực sự mang lại lợi ích bảo mật đáng kể.
Việc tấn công vét cạn một mật khẩu có độ mạnh vừa phải có thể mất hàng tỷ năm, và đó là giả định tin tặc có thể thực hiện bao nhiêu lần thử tùy ý. Tuy nhiên, tất cả các hệ thống đăng nhập được thiết kế tốt đều có cơ chế ngăn chặn việc cố gắng đoán hàng triệu hoặc tỷ tổ hợp. Chúng sẽ tự động khóa tài khoản sau một vài lần thử không thành công.
Người đàn ông bí ẩn với áo hoodie đang thao tác trên laptop, tượng trưng cho hoạt động tấn công mạng hoặc tin tặc
Thời điểm duy nhất tin tặc có thể cố gắng phá vỡ mật khẩu của bạn theo cách đó là khi họ có được bản sao của cơ sở dữ liệu mật khẩu. Lý tưởng nhất là đơn vị thiết kế hệ thống đã thực hiện các biện pháp phòng ngừa thích hợp để đảm bảo mật khẩu được lưu trữ khó bị bẻ khóa.
Đáng tiếc, điều đó không phải lúc nào cũng xảy ra, và bạn nên thay đổi mật khẩu của mình nếu một cơ sở dữ liệu chứa mật khẩu của bạn bị đánh cắp. Nếu không, bạn có thể dễ bị tấn công bằng kỹ thuật “credential stuffing” (nhồi nhét thông tin đăng nhập).
Lầm Tưởng 3: Mật Khẩu Mạnh Bắt Buộc Phải Có Ký Tự Đặc Biệt
Ở khắp mọi nơi, khi bạn cố gắng chọn mật khẩu, bạn đều được thông báo rằng mỗi mật khẩu phải chứa hỗn hợp chữ cái viết hoa và viết thường, cộng với số và ký tự đặc biệt. Điều này khiến bạn tin rằng những yếu tố đó là những gì tạo nên một mật khẩu mạnh, nhưng thực tế phức tạp hơn nhiều.
Giao diện trình quản lý mật khẩu trên máy tính xách tay với ghi chú về mật khẩu mạnh, yếu và dễ đoán
Có hai yếu tố lớn quyết định độ mạnh của mật khẩu: độ dài và độ phức tạp.
- Độ phức tạp đề cập đến số lượng loại ký tự khác nhau bạn sử dụng (chữ cái, số và ký hiệu).
- Độ dài là số lượng ký tự bạn sử dụng.
Nhìn chung, mật khẩu mạnh nhất là những mật khẩu có số lượng phỏng đoán khả thi lớn nhất. Điều đó có nghĩa là mật khẩu của bạn cần phải sử dụng nhiều loại ký tự khác nhau, rất dài, hoặc cả hai.
Lầm Tưởng 4: Chỉ Độ Dài Mật Khẩu Là Quan Trọng Nhất
Mặt khác, đúng là mật khẩu (và passphrase) trở nên tốt hơn khi chúng dài hơn, nhưng độ mạnh không chỉ nằm ở độ dài. Ví dụ, bạn có thể tạo một mật khẩu dài 10 ký tự nhưng có thể bị phá vỡ gần như ngay lập tức: aaaaaaaaaa.
Độ mạnh thực sự của việc tăng độ dài chỉ áp dụng nếu mật khẩu là ngẫu nhiên, hoặc ít nhất là gần ngẫu nhiên. Các ký tự lặp lại hoặc các chuỗi chữ cái hoặc số phổ biến, như 12345 hoặc abcdef, khá dễ bị bẻ khóa.
Biểu tượng Windows 11 cùng với chìa khóa và các biểu tượng bảo mật khác như mật khẩu, bảo mật và nhận dạng khuôn mặt
Lầm Tưởng 5: Mật Khẩu Mạnh Có Thể Thay Thế Xác Thực Hai Yếu Tố (2FA)
Một lầm tưởng phổ biến khác là “Tôi không cần xác thực hai yếu tố (2FA), mật khẩu là đủ.” Điều này có thể đúng đối với các tài khoản không quan trọng, nhưng không bao giờ đúng với bất kỳ thứ gì có giá trị.
Thực tế đáng buồn là mật khẩu vốn là một hệ thống có lỗ hổng. Người dùng thường xuyên tái sử dụng mật khẩu và chọn mật khẩu yếu dễ bị vét cạn, mặc dù họ không nên làm vậy. Mật khẩu cũng dễ bị tấn công bởi các phần mềm độc hại như keylogger, có thể đánh cắp mật khẩu của bạn ngay khi bạn gõ chúng. Đó là chưa kể đến các cuộc tấn công lừa đảo (phishing), nơi một nạn nhân không nghi ngờ bị lừa để tự nguyện cung cấp mật khẩu của mình.
2FA bảo vệ bạn khỏi hầu hết các mối đe dọa này, miễn là bạn thực hiện các biện pháp phòng ngừa đúng đắn và nhớ rằng không bao giờ, trong bất kỳ trường hợp nào, cung cấp mã 2FA của bạn cho bất kỳ ai.
Nếu bạn cảm thấy việc ghi nhớ các mật khẩu hoặc passphrase dài và phức tạp là một nhiệm vụ khó khăn, lựa chọn tốt nhất của bạn là sử dụng trình quản lý mật khẩu – chúng sẽ giúp bạn xử lý phần khó khăn này.
Tất nhiên, mật khẩu tốt và 2FA chỉ là một phần của thói quen vệ sinh kỹ thuật số lành mạnh. Khi có thể, hãy sao lưu an toàn các tệp và thông tin quan trọng, và không tự đưa mình vào những rủi ro không cần thiết.
Để bảo vệ thông tin cá nhân và tài khoản trực tuyến của bạn, hãy áp dụng ngay những kiến thức này và chia sẻ bài viết để cùng nâng cao nhận thức bảo mật cộng đồng.
