Tạo và lưu trữ mật khẩu mạnh

Cập nhật28 March 2024

Mục lục

...Đang tải mục lục...

    Mật khẩu là công cụ quan trọng để giữ an toàn cho dữ liệu và danh tính của bạn. Điều không may là những kẻ tấn công mạng cũng biết điều này và họ có nhiều thủ thuật để tìm ra mật khẩu của bạn.

    Nhưng bạn có thể chống lại các chiêu thức đó bằng cách áp dụng một vài công cụ và chiến thuật quan trọng.

    Bảo vệ mật khẩu của bạn

    • Always use a secure, updated, protected and trusted device to access your accounts and manage your sensitive information, including passwords. Read the guides on Phones and Computers to learn how to make sure your device is secure.
    • Sử dụng trình quản lý mật khẩu. Không có bộ não con người nào đủ khả năng phát triển và ghi nhớ mật khẩu đủ dài, ngẫu nhiên và duy nhất để giữ cho tất cả các thiết bị và tài khoản của họ an toàn. Trình quản lý mật khẩu giúp tạo và lưu trữ các mật khẩu này cho bạn, bảo vệ chúng bằng công nghệ mã hóa. Hãy tìm hiểu thêm về những trình quản lý mật khẩu bạn có thể sử dụng và cách sử dụng chúng trong Hướng dẫn của chúng tôi về Trình quản lý mật khẩu.
    • Sử dụng xác thực hai yếu tố (2FA hoặc MFA). Xác thực hai yếu tố (2FA), còn được gọi là Xác thực đa yếu tố (MFA) sẽ bổ sung yếu tố xác thực thứ hai trong hệ thống đăng nhập của bạn. Bằng cách sử dụng 2FA, bạn có thể đảm bảo rằng ngay cả khi ai đó có thể đoán được mật khẩu của bạn, họ cũng không thể đăng nhập vì họ vẫn cần một yếu tố thứ hai mà họ khó có được. Để tìm hiểu cách sử dụng 2FA một cách an toàn nhất, hãy đọc Hướng dẫn của chúng tôi về Xác thực hai yếu tố.

    Đọc các phần sau để tìm hiểu thêm về cách bảo vệ mật khẩu và tài khoản của bạn khỏi các cuộc tấn công phổ biến nhất.

    Tạo mật khẩu mạnh hơn

    Tóm lại, chúng tôi khuyên bạn nên tạo tất cả các mật khẩu bạn cần với trình quản lý mật khẩu ngoại tuyến và chuẩn bị một vài cụm từ mật khẩu đủ dài mà bạn có thể nhớ để mở khóa thiết bị nơi bạn đã cài đặt trình quản lý mật khẩu và cơ sở dữ liệu của trình quản lý mật khẩu.

    Nếu bạn muốn tạo tất cả mật khẩu của mình theo cách thủ công, thì sau đây là những điều tối thiểu bạn nên làm để đảm bảo mật khẩu của bạn đủ mạnh:

    • Tạo mật khẩu dài - bạn nên tạo mật khẩu có ít nhất 12 ký tự, hoặc 14 ký tự thì còn tốt hơn nữa.
    • Sử dụng chữ cái, số, và ký tự đặc biệt.
    • Xin lưu ý rằng các mẹo sau KHÔNG làm cho mật khẩu của bạn an toàn. Tuy nhiên, bạn có thể sử dụng những mẹo này để làm cho mật khẩu của bạn trở nên phức tạp hơn.
      • Thay thế các chữ cái bằng ký tự đặc biệt hoặc số tương tự (ví dụ: thay "a" bằng "@" hoặc thay "e" bằng "3"). Tuy nhiên, đây là một mẹo rất quen thuộc với những người biết cách bẻ khoá mật khẩu.
      • Thêm dấu chấm than, số hoặc dấu câu vào cuối mật khẩu - đây cũng là một mẹo mà ai đó đang cố gắng bẻ khóa mật khẩu của bạn có thể đoán được.
      • Bắt Đầu Mỗi Từ Bằng Chữ Cái Viết Hoa - đây cũng là một mẹo khá dễ đoán khi bẻ khoá mật khẩu.

    Bạn cũng nên ghi nhớ những khuyến cáo sau:

    • Không sử dụng những từ ngữ có trong từ điển.
    • Không sử dụng các cụm từ thông dụng, chẳng hạn như những câu trích dẫn hoặc câu nổi tiếng trong lời bài hát và bài thơ.
    • Không sử dụng các từ ngữ hoặc số có liên quan đến bạn hoặc những người và tổ chức xung quanh bạn, ví dụ:
      • tên của người, thú cưng hoặc tổ chức,
      • ngày sinh, những ngày kỷ niệm hoặc ngày lễ quan trọng,
      • số điện thoại hoặc địa chỉ,
      • hoặc bất cứ điều gì mà một người có thể tìm ra bằng cách tìm hiểu về bạn và những người xung quanh bạn.
    • Hãy nhớ rằng bạn không phải thay đổi mật khẩu thường xuyên. Để quyết định thời điểm thay đổi mật khẩu, bạn hãy đọc thêm về Thời điểm nên thay đổi mật khẩu của bạn.

    Ghi nhớ một vài mật khẩu an toàn

    Ngay cả khi sử dụng trình quản lý mật khẩu, bạn vẫn cần ghi nhớ một số mật khẩu an toàn để mở khóa thiết bị mà bạn đã cài đặt trình quản lý mật khẩu và để mở khóa cơ sở dữ liệu của trình quản lý mật khẩu nơi bạn lưu trữ các mật khẩu mạnh và duy nhất của mình.

    • Sử dụng phương pháp diceware để tạo mật khẩu mạnh mà bạn có thể ghi nhớ:
      1. Tải danh sách các từ được đánh số và 5 viên xúc xắc.
      2. Đổ 5 viên xúc xắc để được số có năm chữ số (ví dụ: 6,2,5,1,1).
      3. Sử dụng từ trong danh sách với số tương ứng.
      4. Lặp lại sáu lần. Sử dụng sáu từ để tạo thành "cụm từ mật khẩu".
        • Không sử dụng lại cụm từ mật khẩu này ở bất kỳ tài khoản nào khác.
      5. Tiếp theo tự tạo một hình ảnh gì đó trong đầu bạn có sử dụng những từ trong cụm từ mật khẩu của bạn, theo đúng thứ tự. Làm theo cách này sẽ giúp bạn ghi nhớ được cụm từ mật khẩu.
      6. Thực hành nhập các mật khẩu này thường xuyên, mới đầu hãy nhập hàng ngày và sau đó nhập ít nhất một lần một tuần. Việc lặp lại sẽ giúp bạn ghi nhớ những mật khẩu này.
    • Nếu bạn không có xúc xắc và cần tạo một mật khẩu dễ ghi nhớ thì bạn có thể tạo mật khẩu bằng KeePassXC.
    • Alternatively, you can use the "book method":
      1. Chọn một quyển sách ngẫu nhiên, không liên quan đến hoạt động chính của bạn.
      2. Mở một trang bất kỳ của quyển sách.
      3. Nhắm mắt lại rồi đặt ngón tay lên trang sách đang mở để chọn một từ ngẫu nhiên.
      4. Lặp lại quá trình này 6 lần để có được mật khẩu gồm 6 từ ngẫu nhiên.
        • Lưu ý rằng phương pháp này kém an toàn hơn, đặc biệt nếu bạn sử dụng một cuốn sách có sẵn trong văn phòng vì sẽ nó tạo ra cụm mật khẩu ít ngẫu nhiên hơn. Tuy nhiên, nếu bạn không muốn cài đặt phần mềm và sử dụng một cuốn sách hoặc tạp chí ngẫu nhiên thì đây có thể là một cách thay thế tốt để tạo một cụm mật khẩu dài mà bạn có thể nhớ.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Sẽ có một số mật khẩu bạn phải ghi nhớ, bao gồm mật khẩu để đăng nhập vào thiết bị mà bạn đã cài đặt trình quản lý mật khẩu và mật khẩu chính của trình quản lý mật khẩu. Phương pháp diceware có thể giúp bạn tạo các cụm mật khẩu dễ nhớ nhưng cực kỳ khó đoán, ngay cả đối với kẻ tấn công có nhiều thời gian, kỹ năng và biết sử dụng phần mềm "bẻ khóa mật khẩu".

    Nếu bạn cần chia sẻ mật khẩu

    • Tránh chia sẻ mật khẩu bất cứ khi nào có thể:
      • Nếu bạn phải chia sẻ mật khẩu với bạn bè, người thân trong gia đình hoặc đồng nghiệp, hãy đổi mật khẩu thành mật khẩu tạm thời và chia sẻ mật khẩu đó. Sau đó, hãy đổi lại thành mật khẩu an toàn hơn sau khi họ sử dụng xong.
      • Hãy cân nhắc việc tạo các tài khoản riêng cho từng cá nhân cần quyền truy cập; có rất nhiều dịch vụ có thể thực hiện được điều này. Bạn có thể giới hạn những điều mà người sử dụng các tài khoản này được phép thực hiện và những gì họ có thể xem.
      • If you need to share access to your device, consider creating a separate account for that device. See the basic security guides for Android, Linux, macOS, and Windows for instructions on how to do this.
        • On iOS devices this option is not available, unless you are using an iPad. See Shared iPad overview to learn how this works.
    • Nếu bạn thực sự muốn chia sẻ mật khẩu với người khác, bạn có thể thiết lập KeePassXC để có thể cùng nhau sử dụng. Đọc thêm về tài liệu KeePassXC để biết cách thực hiện.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Mỗi lần bạn chia sẻ mật khẩu, điều này gần giống như bạn đã tạo một bản sao chìa khóa nhà của mình rồi đưa cho người khác và chấp nhận rủi ro là người đó có thể làm mất chìa. Trên thực tế, rủi ro còn cao hơn thế, vì sau đó "ngôi nhà" của bạn có thể dễ dàng bị các thiết bị ở xa truy cập mà bạn không hề hay biết. Giảm "bề mặt tấn công" này bằng cách tránh chia sẻ mật khẩu bất cứ khi nào có thể.

    Tìm hiểu xem mật khẩu của bạn đã bị tấn công hay chưa

    • Tìm kiếm website Haveibeenpwned để biết liệu tài khoản của bạn có nằm trong danh sách bị lộ không.
    • Ngay cả khi không có tài khoản nào của bạn hiển thị ở đây, bạn vẫn nên làm theo hướng dẫn này vì có rất nhiều tài khoản bị lộ nhưng không được báo cáo.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Các tin tặc thường tìm kiếm các mật khẩu đã bị lộ và có sẵn trên mạng. Họ sẽ thử mật khẩu cho tài khoản của bạn cho đến khi tìm thấy mật khẩu chính xác để đăng nhập. Do đó, việc tái sử dụng mật khẩu sẽ đặc biệt nguy hiểm. Hãy thử tìm trên ';--have i been pwned? để xem có mật khẩu nào của bạn nằm trong danh sách mà tin tặc đã từng thử qua hay chưa.

    Hãy nhận biết cách tin tặc có thể đoán mật khẩu của bạn

    Dưới đây là những cách phổ biến nhất mà tin tặc sử dụng để dò mật khẩu của bạn:

    1. Họ có thể đoán mật khẩu của bạn bằng cách:
      • Sử dụng thông tin cá nhân của bạn như ngày tháng hoặc tên quan trọng, hoặc cả những câu nói, bài hát hoặc tác giả nổi tiếng mà bạn thích,
      • Sử dụng từ điển,
      • Thử thay đổi một vài ký tự trong mật khẩu bạn từng sử dụng,
      • Sử dụng phần mềm để thử tất cả mật khẩu có thể để mở khóa tài khoản của bạn.
    2. Họ có thể tìm kiếm:
      • Khi bạn viết ra mật khẩu của mình (ví dụ ở trên giấy đặt quanh bàn làm việc),
      • Các phím bạn sử dụng khi nhập mật khẩu,
      • Các mật khẩu đã bị lộ và công khai trên mạng.
    3. Họ có thể gài bẫy bạn bằng cách:
      • Cài đặt phần mềm độc hại trên thiết bị của bạn để lén ghi lại mật khẩu,
      • Yêu cầu bạn nhập mật khẩu vào các trang web giả mạo qua hình thức phishing,
      • Cung cấp mật khẩu hoặc thông tin khác của bạn bằng cách giả vờ là người hỗ trợ hoặc người mà bạn biết (còn được gọi là tấn công phi kỹ thuật).
      • Đọc thêm về cách nhận biết những chiêu lừa đảo khiến bạn bị ép phải hành động nhanh chóng hoặc đánh vào tâm lý của bạn trong hướng dẫn của chúng tôi về phần mềm độc hại.
    4. Tin tặc có thể khai thác lỗ hổng bằng cách:
      • Tấn công vào trang web nơi họ muốn đăng nhập bằng mật khẩu của bạn,
      • Đánh cắp mật khẩu nếu nó được lưu trữ trong trình duyệt của bạn,
      • Đánh cắp mật khẩu của bạn qua các ứng dụng bạn sử dụng trên điện thoại.

    Không cung cấp mật khẩu của bạn khi ai đó gửi email, gọi điện hoặc nhắn tin cho bạn

    • Hãy truy cập ứng dụng hoặc trang web của dịch vụ được cho là đã gửi tin nhắn cho bạn để xác minh yêu cầu.
    • Nếu có vẻ như đó là một người hoặc một tổ chức mà bạn biết đang gửi thư cho bạn, hãy liên hệ với họ qua một kênh khác để xác minh xem có đúng là họ đã đưa ra yêu cầu hay không.
      • Ví dụ: nếu họ gửi email cho bạn, thì bạn hãy gọi lại cho họ.
      • Không kích vào liên kết trong email hoặc gửi phản hồi.
    • Xin lưu ý rằng khi một tin nhắn cố gắng làm bạn sợ hãi, khiến bạn tò mò, khiến bạn cảm thấy mình sẽ bỏ lỡ cơ hội hoặc khiến bạn phải hành động gấp gáp mà không cần suy nghĩ thì đó có thể là một chiêu lừa đảo. Hãy tạm dừng hành động, giữ bình tĩnh và tìm cách xác minh những tin nhắn như thế này.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Những kẻ tấn công thường giả vờ là một người nào đó, chẳng hạn như đại diện ngân hàng hoặc hỗ trợ kỹ thuật, để thuyết phục chúng ta cung cấp thông tin nhạy cảm. Những kẻ tấn công cũng thường lợi dụng cảm xúc và bản chất con người để khiến chúng ta cung cấp mật khẩu cho chúng vào những lúc chúng ta không lường trước được.

    Nếu bạn nhận được cuộc gọi, email hoặc tin nhắn yêu cầu cung cấp mật khẩu hoặc thông tin nhạy cảm khác; hoặc nếu một email hoặc văn bản chứa đường link liên kết ngoài và yêu cầu bạn nhấp vào liên kết đó để cung cấp thông tin thì rất có thể ai đó đang cố tình lừa bạn.

    Đọc thêm về cách nhận biết những chiêu lừa đảo khiến bạn bị ép phải hành động nhanh chóng hoặc đánh vào tâm lý của bạn trong hướng dẫn của chúng tôi về phần mềm độc hại.

    Tìm hiểu thêm về các mánh khoé lừa đảo trong Hướng dẫn phòng tránh lừa đảo.

    Khi nào cần thay đổi mật khẩu của bạn

    Bạn hãy đổi mật khẩu ngay lập tức khi:

    • It appears your account, devices or colleagues and people around you have been victims of a data breach.
    • You entered your password on an untrusted, shared or public device (it might have malicious code installed).
    • Bạn lo ngại rằng ai đó đã theo dõi bạn nhập mật khẩu.

    Giảm thiểu thiệt hại bằng cách cảnh báo những người cũng có thể bị ảnh hưởng.

    Also consider changing your password if you get a credible warning from the services you use that there was an attempt to log in from an unauthorized device or location. In such cases, go through the following steps to figure out whether your password may actually be compromised:

    • Look for news reports about data breaches.
    • If you received the alert through an email or chat message, double-check on the service provider's own website that they sent the alert. Never click links in emails, SMS messages or chat messages.

    Xem hướng dẫn của chúng tôi về mạng xã hội và các hướng dẫn bảo mật cơ bản dành cho Android, iOS, Linux, macOS, và Windows để biết cách thay mật khẩu cho thiết bị của bạn.

    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Nghiên cứu cho thấy việc thay đổi mật khẩu thường xuyên không đồng nghĩa với bảo mật hơn. Khi mọi người được yêu cầu thay đổi mật khẩu thường xuyên, họ có xu hướng chỉ thực hiện những thay đổi nhỏ đối với mật khẩu thay vì nghĩ ra một mật khẩu hoàn toàn mới. Đọc thêm về nghiên cứu này trong bài viết của Bruce Schneier về lý do tại sao thay đổi mật khẩu thường xuyên là một ý tưởng bảo mật tồi.

    Điều quan trọng hơn là phải thay đổi mật khẩu của bạn khi thiết bị hoặc tài khoản bị tấn công. Vì không phải lúc nào chúng ta cũng biết khi nào dữ liệu bị rò rỉ nên chúng tôi khuyên bạn nên thay đổi mật khẩu, đặc biệt đối với các dịch vụ trực tuyến, vài tháng đến một năm một lần hoặc ngay lập tức khi bạn nghi ngờ tài khoản của mình đã bị tấn công.

    Hãy lưu ý bạn đang ở đâu và ai có thể thấy bạn nhập mật khẩu

    • Nếu bạn đang ở nơi công cộng và nhập mật khẩu của mình, hãy lưu ý xem liệu bạn có thể bị nhìn thấy hoặc bị lén ghi lại từ sau lưng hay không.
    • Kiểm tra xem có ai đang nhìn bàn phím hoặc điện thoại của bạn trong khi bạn nhập mật khẩu không.
    • Sử dụng màn hình bảo vệ sự riêng tư để người khác khó có thể nhìn thấy những gì bạn đang nhập.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Adversaries can monitor and record you entering a password. If a mobile device is confiscated by the authorities, and they don't have the password to unlock it, they can, for example, study the daily routines of the owner of the device to find a CCTV that may have filmed the owner and the screen of the device while they were typing the password to unlock the device.

    Tránh sử dụng mở khóa bằng vân tay hoặc nhận diện khuôn mặt (sinh trắc học)

    • Nếu thiết bị của bạn được cài đặt để mở khóa bằng khuôn mặt hoặc vân tay, hãy thay đổi cài đặt này và sử dụng mở khóa bằng mật khẩu.
    • Xem hướng dẫn bảo mật cơ bản dành cho Android, iOS, Linux, macOS, và Windows để biết cách làm.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Sinh trắc học có thể giúp truy cập thiết bị của bạn nhanh hơn bằng cách sử dụng các tính năng cá nhân như dấu vân tay hoặc khuôn mặt của bạn. Tuy nhiên, nhìn chung tính năng này kém an toàn hơn. Không giống như mật khẩu, bạn không thể thay đổi dấu vân tay của mình bất cứ khi nào bạn muốn. Nhiều người được yêu cầu cung cấp thông tin sinh trắc học tại sân bay, văn phòng chính phủ, v.v. Điều này tiềm ẩn nguy cơ ai đó có thể truy cập vào tài khoản của bạn mà không có sự đồng ý của bạn. Nếu đối thủ của bạn bắt giữ bạn, họ có thể mở khóa thiết bị của bạn dễ dàng hơn so với khi bạn khóa thiết bị của mình bằng mật khẩu.

    Cân nhắc cách thức và thời điểm sử dụng mật mã

    Một số nền tảng trực tuyến có thể đề xuất bạn sử dụng mật mã thay vì tên người dùng và mật khẩu.

    Mật mã cung cấp khả năng bảo vệ mạnh mẽ hơn trước mánh khoé lừa đảo nhưng phụ thuộc nhiều vào sinh trắc học và chia sẻ đám mây. Chúng tôi khuyên bạn không nên sử dụng những tính năng này cho bất kỳ mục đích nhạy cảm nào, chưa kể đến thông tin xác thực để đăng nhập vào tài khoản của bạn. Tuy nhiên, nếu bạn cho rằng mình có thể gặp phải các vụ tấn công lừa đảo nâng cao, bạn có thể chọn tự bảo vệ mình trước mối đe dọa này bằng mật mã và sử dụng chúng mà không cần sinh trắc học hoặc chia sẻ đám mây.

    Những gì bạn cần để kích hoạt mật mã là trình quản lý mật khẩu có hỗ trợ mật khẩu, khóa bảo mật hoặc chip bảo mật công nghệ cao được tích hợp trong máy tính hoặc điện thoại của bạn. Trong hầu hết các trường hợp, mọi người sẽ mở khóa mật mã của họ bằng cách sử dụng trình quản lý mật khẩu dựa trên đám mây hoặc phương pháp khóa thiết bị của họ, cũng có thể dựa trên sinh trắc học như dấu vân tay hoặc nhận dạng khuôn mặt của bạn.

    Nhưng điều này không thực sự cần thiết: trong hầu hết các trường hợp, bạn có thể lưu trữ mật mã của mình theo những cách an toàn hơn, bằng khóa bảo mật vật lý hoặc trong chip bảo mật công nghệ cao được tích hợp trong máy tính hoặc điện thoại của bạn. Chúng tôi khuyên bạn nên khóa thiết bị bằng cụm từ mật khẩu thay vì sử dụng sinh trắc học.

    Bạn có thể lưu trữ mật mã với KeePassXC bằng cách tích hợp KeePassXC trên trình duyệt, nhưng vì cách này phải sử dụng trình duyệt và trình duyệt có thể bị tấn công nên nó được coi là kém an toàn hơn so với các giải pháp khác dựa trên thiết bị phần cứng và chip bảo mật cao.

    Thiết lập câu hỏi khôi phục tài khoản bảo mật hơn

    Nhiều dịch vụ web yêu cầu "câu hỏi bảo mật" hoặc "câu hỏi khôi phục" khi bạn tạo tài khoản. Để giảm khả năng ai đó đoán được câu trả lời, bạn có thể sử dụng các chiến lược sau:

    • Cung cấp các thông tin giả, không liên quan khi trả lời câu hỏi.
    • Bạn thậm chí có thể sử dụng một mã ngẫu nhiên, duy nhất khác được tạo bởi trình quản lý mật khẩu của bạn.
    • Đảm bảo lưu câu trả lời của bạn trong trình quản lý mật khẩu để không bị quên các câu hỏi khôi phục dẫn dến tài khoản bị khóa.
    Tìm hiểu vì sao chúng tôi đề xuất điều này

    Các câu hỏi khôi phục tài khoản rất quan trọng khi các dịch vụ cần xác minh danh tính của bạn nếu họ nghi ngờ ai đó đang cố truy cập vào tài khoản của bạn. Bạn có thể sử dụng những câu trả lời này để thay đổi mật khẩu của mình trong trường hợp bạn mất quyền truy cập vào tài khoản của mình. Vấn đề là câu trả lời của bạn cho những câu hỏi như "Bạn sinh ra ở thành phố nào?" hoặc "Tên thú cưng của bạn là gì?" có thể dễ dàng tìm thấy trên mạng. Bằng cách đưa ra câu trả lời không có thật, bạn có thể khiến kẻ tấn công khó chiếm đoạt tài khoản của bạn hơn.

    Đọc thêm