3. Làm thế nào tạo và duy trì mật khẩu bảo mật

Mục lục

...Loading Table of Contents...

    Có rất nhiều dịch vụ bảo mật cho phép chúng ta áp dụng công nghệ kỹ thuật số một cách dễ dàng vào những lĩnh vực quan trọng. Từ việc đăng nhập vào máy tính, gửi và nhận thư điện tử tới việc mã hóa và ẩn giấu những dữ liệu tối mật, đều đòi hỏi chúng ta phải ghi nhớ một mật khẩu. Những cụm từ, câu, hay chuỗi ký tự lộn xộn được giữ bí mật này thường là rào cản đầu tiên, đôi khi là duy nhất đứng giữa dữ liệu của bạn và những kẻ tò mò muốn đọc, sao chép, sửa đổi hay phá hủy chúng dù không được sự cho phép của bạn. Có rất nhiều cách mà ai đó có thể dò biết được mật khẩu của bạn, tuy nhiên bạn có thể ngăn chặn hầu hết những cách đó bằng việc áp dụng một số sách lược cụ thể cũng như sử dụng một công cụ cơ sở dữ liệu bảo vệ mật khẩu, như phần mềm KeePass.

    Tình huống cơ bản

    Mansour và Magda là hai anh em ở một đất nước nói tiếng Ả rập. Họ có một trang web cá nhân nơi họ công bố một cách nặc danh những xâm phạm và các chiến dịch về nhân quyền nhằm tác động thay đổi chính trị. Magda gần đây có gắng truy cập vào hộp thư cá nhân của mình nhưng đã phát hiện ra rằng mật khẩu của cô đã bị thay đổi. Sau khi thiết lập lại mật khẩu của mình, cô có thể truy cập vào hộp thư nhưng khi mở hộp thư đến, cô phát hiện rằng một số thư mới bị đánh dấu là đã bị đọc. Cô nghi ngờ rằng có kẻ nội gián với động cơ chính trị đã dò biết được mật khẩu mà cô dùng chung cho nhiều tài khoản truy cập trang web khác nhau. Cô sẽ tìm gặp Mansour, người có ít kinh nghiệm về máy tính hơn cô để trao đổi về tình hình và đề cập điều cô quan ngại.

    Những điều bạn có thể học được từ chương này

    • Các thành phần tạo nên một mật khẩu bảo mật

    • Một vài mẹo giúp nhớ những mật khẩu dài và phức tạp

    • Sử dụng phần mềm quản lý mật khẩu KeePass để lưu giữ các mật khẩu thay vì phải ghi nhớ chúng

    Lựa chọn và duy trì mật khẩu bảo mật

    Nhìn chung, khi bạn muốn bảo vệ một thứ gì đó, bạn khóa nó bằng một chiếc chìa khóa. Nhà, xe ô tô hay xe đạp đều có những chiếc chìa khóa vật lý; những tệp được bảo vệ có những chìa khóa mã hóa; thẻ nhà băng có các mã cá nhân; và các tài khoản thư điện tử có các mật khẩu. Tất cả những khóa đó, vật l‎ý hay điện tử đều có một điểm chung: chúng mở những ổ khóa tương ứng như nhau khi nằm trong tay bất kỳ ai. Bạn có thể cài đặt các tường lửa tiên tiến, các tài khoản hộp thư được bảo mật, hay các ổ đĩa được mã hóa. Nhưng nếu mật khẩu của bạn không đủ mạnh, hoặc nếu bạn để nó lọt vào tay kẻ xấu, chúng cũng không giúp gì cho bạn.

    Các cấu thành của một mật khẩu mạnh

    Một mật khẩu mạnh cần phải đủ khó cho một chương trình máy tính muốn phá.

    • Tạo mật khẩu dài: Một mật khẩu càng dài thì càng ít khả năng chương trình máy tính có thể phá được trong khoảng thời gian đáng kể cho phép. Bạn nên tạo mật khẩu với độ dài từ mười k‎ý tự trở lên. Nhiều người thường sử dụng những mật khẩu gồm nhiều hơn một từ, có hoặc không có các ô trống giữa các từ, thường được gọi là các đoạn mật khẩu. Đây là một ý tưởng hay, một khi chương trình hay dịch vụ bạn sử dụng cho phép bạn chọn những mật khẩu đủ dài.

    • Tạo mật khẩu phức tạp: Ngoài độ dài, độ phức tạp của mật khẩu cũng giúp chống lại các phần mềm ‘phá khóa’ tìm cách dò đoán tổ hợp các k‎ý tự. Bất cứ khi nào có thể, bạn luôn nên sử dụng các k‎ý tự hoa, ký tự thường, số và các biểu tượng, ví dụ như dấu gạch ngang trong mật khẩu của mình.

    Một mật khẩu cần phải khó để người khác có thể tìm ra được.

    • Cần thực tế: Nếu bạn phải ghi mật khẩu của mình xuống đâu đó vì bạn không thể nhớ được nó, bạn có thể phải đối mặt với một loạt các nguy cơ dễ dàng bị mất mật khẩu vào tay những ai có thể nhìn vào bàn làm việc hay lẻn vào nhà, mở ví hoặc thậm chí lục thùng rác bên ngoài văn phòng làm việc của bạn. Nếu bạn không thể nghĩ ra một mật khẩu đủ dài và phức tạp nhưng vẫn có thể ghi nhớ được dễ dàng, mục Ghi nhớ mật khẩu bảo mật bên dưới đây có thể giúp đỡ phần nào. Nếu không thì bạn vẫn cần tạo một mật khẩu đủ an toàn, nhưng bạn có thể cần tới một phần mềm quản l‎ý mật khẩu như KeePass. Các loại tệp có mật khẩu bảo vệ, bao gồm cả các tài liệu Microsoft Word đều không đáng tin cậy cho mục đích này, do đa phần chúng đều dễ dàng bị phá trong vài giây bởi các công cụ có sẵn từ Internet.

    • Không tạo mật khẩu chứa những yếu tố cá nhân: Mật khẩu của bạn không nên chứa những yếu tố liên quan tới cá nhân bạn. Không nên chọn những từ hay những đoạn dựa trên những thông tin như họ tên, số chứng minh, số điện thoại, tên con, tên vật nuôi, ngày sinh của bạn hay những thứ tương tự mà một người khác có thể dò ra mật khẩu bằng các tìm hiểu các thông tin về cá nhân bạn.

    • Giữ bí mật: Không nên để lộ thông tin mật khẩu với bất kỳ ai trừ khi điều đó là thực sự cần thiết. Và nếu bạn phải chia sẻ mật khẩu của mình với một người bạn, một thành viên trong gia đình hay đồng nghiệp, bạn cần thay đổi nó sang một mật khẩu tạm thời, chia sẻ mật khẩu tạm thời này và thay đổi lại khi đã xong việc. Thông thường, có các giải pháp thay thế việc chia sẻ mật khẩu, như là tạo hai tài khoản riêng biệt cho từng cá nhân cần truy cập. Giữ bí mật mật khẩu cũng có nghĩa là bạn cần để xem liệu có ai có thể nhìn từ phía sau bạn lúc bạn gõ mật khẩu hay dò tìm trong cơ sở dữ liệu mật khẩu của bạn.

    Một mật khẩu được chọn sao cho nếu bị lọt vào tay ai đó thì thiệt hại là nhỏ nhất.

    • Mật khẩu riêng: Tránh việc dùng chung mật khẩu cho nhiều hơn một tài khoản. Nếu không thì ai đó biết được mật khẩu của bạn có thể truy cập nhiều thông tin mật của bạn. Điều này rất đúng vì có nhiều dịch vụ rất dễ dàng bị phá mật khẩu. Lấy ví dụ, nếu bạn sử dụng chung mật khẩu cho tài khoản đăng nhập Windows và tài khoản thư điện tử Gmail. Ai đó có thể truy cập máy tính của bạn để dò ra mật khẩu đăng nhập đầu tiên và sử dụng nó để truy cập vào tài khoản kia. Cùng lý do tương tự, điều nên tránh là quay vòng sử dụng mật khẩu giữa các tài khoản khác nhau.

    • Thay đổi mật khẩu: Luôn thường xuyên thay đổi mật khẩu của bạn, tốt nhất là cứ sau ba tháng thay đổi một lần. Nhiều người thường gắn chặt với một mật khẩu nào đó và không bao giờ thay đổi nó. Đây là một điều nên tránh ‎. Bạn giữ nguyên một mật khẩu càng lâu, người khác càng có cơ hội dò ra nó. Thêm nữa, nếu ai đó có thể sử dụng mật khẩu đánh cắp của bạn để lấy trộm thông tin mà bạn không hay biết, họ sẽ tiếp tục thực hiện được như vậy cho đến khi bạn thay đổi mật khẩu.

    Mansour: Nếu anh tin tưởng ai đó? Thì việc nói cho người đó mật khẩu cũng được, phải không?

    Magda: Trước hết, chỉ vì anh tin tưởng ai đó về mật khẩu của mình, không nhất thiết có nghĩa là anh tin tưởng họ sẽ giữ mật khẩu của anh cẩn thận, đúng không nào? Ngay cả khi tôi không dùng mật khẩu của anh vào việc xấu, tôi có thể sẽ ghi nó xuống đâu đó và đánh mất hay đại loại như vậy. Đó có thể là lý do em đang gặp vấn đề hiện tại. Thêm nữa, đây không phải là vấn đề lòng tin. Nếu anh là người duy nhất biết mật khẩu của mình, anh không phải phí thời gian để đổ lỗi cho ai nếu tài khoản của anh bị đột nhập. Ngay lúc này, lấy ví dụ, em cảm thấy khá chắc chắn rằng ai đó đã dò đoán ra mật khẩu của mình vì em không bao giờ ghi nó xuống hay tiết lộ cho ai cả.

    Ghi nhớ và lưu giữ mật khẩu bảo mật

    Xem lại danh sách các hướng dẫn phía trên, bạn có thể băn khoăn làm sao ai đó không có một trí nhớ điện tử lại có thể ghi nhớ được những mật khẩu dài, phức tạp và không mang ý nghĩa gì mà không phải ghi chúng xuống đâu đó. Tầm quan trọng của việc sử dụng các mật khẩu khác nhau cho những tài khoản khác nhau khiến cho việc này càng khó khăn hơn. Tuy nhiên, có một số mẹo có thể giúp bạn tạo ra những mật khẩu dễ dàng ghi nhớ nhưng cực kỳ khó để dò đoán, thậm chí đối với những chuyên gia được trang bị phần mềm phá khóa tiên tiến. Bạn cũng có thêm sự lựa chọn lưu trữ các mật khẩu sử dụng phần mềm quản l‎ý mật khẩu KeePass được tạo riêng cho mục đích này.

    Ghi nhớ các mật khẩu bảo mật

    Việc sử dụng các loại ký tự khác nhau khi tạo mật khẩu rất quan trọng. Điều này có thể đạt được theo nhiều cách khác nhau:

    • Thay đổi việc sử dụng chữ hoa, ví dụ: ‘TêN tÔI khÔNg pHải là NGàI ViP’

    • Thay thế giữa số và k‎ý tự, ví dụ: ‘ch1 l4m vi3c v4 k50ng vu1 chơ1’

    • Sử dụng những k‎ý tự đặc biệt: ví dụ: ‘c@(he1Rnthery3’

    • Sử dụng trộn lẫn nhiều ngôn ngữ, ví dụ ‘Tôi loVe Ni, You aI wo Ma?’

    Tất cả những cách này có thể giúp bạn tăng độ khó của một mật khẩu đáng ra là khá dễ dò đoán, và cho phép bạn lựa chọn một mật khẩu có độ bảo mật cao mà không phải từ bỏ việc nó có thể ghi nhớ dễ dàng. Một số sự thay thế (như việc sử dụng số 0 thay cho chữ o hay k‎ý tự @ thay cho chữ a) từ lâu đã được đưa vào trong các phần mềm phá khóa, tuy nhiên việc dùng chúng vẫn là ý tưởng tốt. Chúng làm tăng thời gian mà các công cụ đó cần để phá mật khẩu của bạn và trong trường hợp không được trang bị những công cụ loại này thì việc dò đoán sẽ gặp khó khăn.

    Các mật khẩu cũng có thể sử dụng ưu điểm của các cách thức ghi nhớ gợi nhớ truyền thống, như phương thức sử dụng từ đầu tiên của mỗi chữ. Điều này cho phép các đoạn dài trở thành những chữ giống như ngẫu nhiên và rất phức tạp:

    • ‘To be or not to be? That is the question’ trở thành ‘2Bon2B?TitQ’

    • ‘We hold these truths to be self-evident: that all men are created equal’ trở thành: ‘WhtT2bs-e:taMac=’

    • ‘Are you happy today?’ trở thành: ‘rU:-)2d@y?

    Trên đây chỉ là một số ví dụ để giúp bạn tự có những phương án riêng để mã hóa các từ và câu để khiến chúng trở lên phức tạp nhưng lại dễ nhớ.

    Ghi nhớ mật khẩu một cách an toàn

    Chỉ một chút sáng tạo có thể giúp bạn ghi nhớ tất cả các mật khẩu của mình, sự cần thiết của việc thay đổi chúng một cách thường xuyên có thể khiến bạn không sáng tạo kịp. Có thể thay thế bằng cách bạn tạo ra các mật khẩu có tính ngẫu nhiên và độ an toàn cho hầu hết các tài khoản của bạn và từ bỏ việc phải ghi nhớ tất cả chúng. Thay vào đó bạn có thể lưu trữ chúng trong một cơ sở dữ liệu mật khẩu bảo mật bằng mã hóa, như phần mềm KeePass.

    Thực hành: Hãy bắt đầu với Hướng dẫn sử dụng KeePass

    Tất nhiên, nếu bạn sử dụng phương pháp này, một điều rất quan trọng là bạn tạo và ghi nhớ một mật khẩu có tính bảo mật rất cao dùng cho KeePass, hay bất kỳ công cụ lưu trữ mật khẩu nào khác mà bạn sẽ dùng. Bất kỳ lúc nào cần nhập mật khẩu cho một tài khoản nào, bạn có thể tìm thấy nó và chỉ phải sử dụng duy nhất một mật khẩu chính, điều này khiến cho việc tuân theo các hướng dẫn trên trở nên dễ dàng hơn.

    KeePass là phần mềm ‘chạy không cần cài đặt’, nghĩa là bạn có thể lưu cơ sở dữ liệu mật khẩu trong một thẻ nhớ USB lưu động trong trường hợp bạn cần tìm một mật khẩu trong khi bạn di chuyển khỏi chiếc máy tính chính của mình.

    Tuy đây có thể là sự lựa chọn tốt nhất cho những ai cần quản l‎ý một số lượng lớn các tài khoản, có một số nhược điểm khi sử dụng phương pháp này. Đầu tiên là việc bạn có thể mất hay lỡ xóa đi bản duy nhất của dữ liệu mật khẩu, bạn sẽ không có cách nào truy cập vào các tài khoản bằng những mật khẩu này nữa. Do vậy việc sao lưu cơ sở dữ liệu KeePass là vô cùng quan trọng. Xem Chương 5: Làm sao để khôi phục dữ liệu bị mất để biết thêm về các phương thức sao lưu dữ liệu. Rất may mắn là cơ sở dữ liệu mật khẩu của KeePass được mã hóa nên bạn không phải lo lắng nếu lỡ đánh mất thẻ nhớ USB hay ổ dự phòng có chứa bản sao lưu của nó.

    Nhược điểm lớn thứ hai thậm chí có thể nghiêm trọng hơn. Nếu bạn quên mất mật khẩu chính để mở KeePass, không có cách nào khôi phục lại được nó hay nội dung của cơ sở dữ liệu mật khẩu. Vì vậy, hãy chắc chắn rằng bạn chọn một mật khẩu gồm cả hai yếu tố: mạnh và dễ nhớ!

    Mansour: Đợi một phút, Nếu KeePass sử dụng một mật khẩu chính để quản l‎ý tất cả các mật khẩu khác thì làm sao nó lại bảo mật tốt hơn là việc sử dụng chung một mật khẩu cho tất cả các tài khoản của mình? ý anh là nếu một kẻ xấu nào đó biết được mật khẩu chính thì hắn cũng sẽ truy cập vào được mọi thứ, đúng không?

    Magda: Đây là một suy nghĩ hay, và anh đúng khi nói việc bảo vệ mật khẩu chính là vô cùng quan trọng, nhưng ở đây có một số điểm khác nhau cơ bản. Trước hết, ‘kẻ xấu’ này không chỉ cần riêng mật khẩu của anh, mà còn cần cả tệp cơ sở dữ liệu KeePass nữa. Nếu anh chỉ dùng chung một mật khẩu cho tất cả các tài khoản của anh, khi đó hắn sẽ chỉ cần đến mỗi mật khẩu mà thôi. Hơn thế nữa, chúng ta biết rằng KeePass được thiết kế có tính bảo mật rất cao, phải không? trong khi đó, các chương trình hay trang web có thể là ngược lại. Một số có khá hơn các chương trình hay trang web khác, và anh không muốn ai đó tấn công vào một trang web có độ bảo mật thấp và sử dụng chính mật khẩu hắn dò ra được để truy cập các chương trình và trang web có độ bảo mật cao hơn. Và còn một điều nữa, KeePass khiến cho việc thay đổi mật khẩu chính dễ dàng hơn nhiều nếu anh thấy cần thiết. Em đáng lẽ sẽ may mắn hơn! Em phải dành cả ngày hôm nay để thay đổi tất cả mật khẩu của mình.

    Đọc thêm