Trong thời đại số hóa, mật khẩu là tuyến phòng thủ đầu tiên và quan trọng nhất để bảo vệ thông tin cá nhân và tài sản trực tuyến của chúng ta. Mặc dù hầu hết mọi người đều nhận thức được tầm quan trọng của việc bảo mật mật khẩu cơ bản, nhưng thực tế đáng buồn là nhiều người trong chúng ta vẫn mắc phải ít nhất một số thói quen xấu, vô tình đặt mật khẩu và tài khoản của mình vào tình trạng rủi ro cao. Có nhiều cách để mật khẩu của bạn có thể bị lộ, và thậm chí còn có những thiết bị công nghệ mới được tích hợp mật khẩu mặc định cực kỳ tệ hại.
Một số thói quen xấu này có thể được khắc phục dễ dàng, nhưng số khác đòi hỏi sự thay đổi hành vi nghiêm túc hơn. Tuy nhiên, việc loại bỏ những thói quen này chắc chắn sẽ giúp mật khẩu của bạn an toàn hơn rất nhiều, qua đó tăng cường bảo mật cho toàn bộ đời sống số của bạn.
1. Tái Sử Dụng Mật Khẩu Cho Nhiều Tài Khoản
Rủi ro gia tăng điểm lộ dữ liệu
Việc tái sử dụng mật khẩu là một trong những thói quen bảo mật tệ hại nhất mà nhiều người mắc phải. Nguy hiểm của việc tái sử dụng mật khẩu nằm ở chỗ, nếu một trong các tài khoản của bạn bị xâm phạm, tin tặc có thể sử dụng cùng mật khẩu đó để nhắm mục tiêu vào các tài khoản khác của bạn. Hãy hình dung bạn sử dụng chung một mật khẩu cho email, mạng xã hội và các dịch vụ phát trực tuyến. Kẻ tấn công chỉ cần xâm nhập được một trong số đó là có thể chiếm đoạt toàn bộ các tài khoản còn lại.
Nếu bạn đang sử dụng một trình quản lý mật khẩu, bạn có thể kiểm tra xem có bao nhiêu tài khoản của mình đang dùng chung mật khẩu. Chẳng hạn, khi chạy công cụ Kiểm tra mật khẩu của Google Password Manager, nó đã cảnh báo về hơn 200 mật khẩu được sử dụng lại. Nhiều trong số này là các tài khoản đã cũ, không còn được sử dụng. Vì vậy, việc rà soát và xóa các tài khoản cũ hoặc thay đổi mật khẩu là điều cần thiết. Tất nhiên, cũng có những tài khoản được đánh dấu nhưng không còn tồn tại, hoặc là thông tin đăng nhập mặc định cho các ứng dụng tự host.
Màn hình kiểm tra mật khẩu trong Google Password Manager
Màn hình ứng dụng Passwords trên iPhone
2. Chia Sẻ Mật Khẩu Với Người Khác
Nguy cơ từ thói quen bảo mật của người khác
Chia sẻ mật khẩu là một thói quen phổ biến khi bạn dùng chung tài khoản với người khác, chẳng hạn như tài khoản dịch vụ phát trực tuyến. Tuy nhiên, với việc các trang web phát trực tuyến đang siết chặt quy định về chia sẻ tài khoản, ngày càng có ít lý do để biện minh cho việc này. Rủi ro lớn nhất là nếu thiết bị của người được chia sẻ mật khẩu bị xâm nhập hoặc họ có thói quen bảo mật kém, mật khẩu của bạn có thể bị lộ.
Nếu bạn cần chia sẻ quyền truy cập vào một dịch vụ, hãy tìm cách thực hiện mà không cần chia sẻ trực tiếp mật khẩu của mình. Ví dụ, với tài khoản YouTube Premium Family, bạn có thể mời các tài khoản người dùng khác vào gói đăng ký chung. Tương tự, Plex cho phép bạn chia sẻ thư viện media với một tài khoản khác mà không cần cấp quyền truy cập trực tiếp vào tài khoản chính của bạn. Một số trình quản lý mật khẩu tiên tiến cũng cung cấp tính năng chia sẻ mật khẩu an toàn, giúp bạn kiểm soát và bảo vệ thông tin tốt hơn.
Tính năng chia sẻ thư viện trên Plex
Giao diện trình quản lý mật khẩu tích hợp trong trình duyệt Firefox
3. Sử Dụng Đăng Nhập Bằng Mạng Xã Hội (Social Logins)
Không phải lúc nào cũng tránh được, nhưng cần cân nhắc
Đăng nhập bằng tài khoản mạng xã hội (Social Login), như đăng nhập bằng Facebook hoặc Google, cho phép bạn truy cập các dịch vụ bên thứ ba mà không cần tạo mật khẩu riêng. Tuy nhiên, phương pháp này có thể khiến các thông tin nhạy cảm khác bị lộ nếu bạn liên kết với một nền tảng không đáng tin cậy. Ngoài ra, còn có nguy cơ token truy cập của bạn (thay vì mật khẩu) bị xâm phạm và được sử dụng để truy cập vào các tài khoản khác.
Trước đây, tôi từng rất thích liên kết các tài khoản của mình thông qua một lần đăng nhập duy nhất để tránh phải nhớ nhiều mật khẩu. Tuy nhiên, sau này tôi nhận ra rằng điều này có thể làm ảnh hưởng đến nhiều tài khoản nếu tài khoản trung tâm bị vi phạm. Tùy thuộc vào thông tin được chia sẻ giữa các tài khoản, việc này cũng có thể đặt dữ liệu và thông tin cá nhân khác vào tình trạng rủi ro.
Mặc dù vậy, không phải lúc nào cũng có thể tạo một tài khoản riêng biệt cho mỗi dịch vụ bạn sử dụng. Ví dụ, khi tôi thử dùng Tana, dịch vụ này chỉ cho phép tôi tạo tài khoản bằng cách sử dụng tài khoản Google, Microsoft, GitHub hoặc Apple. Dù không phải lúc nào cũng có thể giữ các tài khoản của bạn hoàn toàn riêng biệt, tốt nhất là nên tạo một tài khoản riêng với mật khẩu khác bất cứ khi nào có thể. Theo thời gian, tôi đã giảm thiểu việc sử dụng đăng nhập bằng mạng xã hội nhiều nhất có thể, đặc biệt là đối với tài khoản Facebook của mình. Bạn có thể xem tổng quan về các tài khoản đã liên kết trong cài đặt tài khoản trên các nền tảng lớn. Hãy đảm bảo bạn cập nhật phương thức đăng nhập cho các tài khoản liên kết trước khi thu hồi quyền truy cập.
Trang tạo tài khoản Tana yêu cầu đăng nhập bằng tài khoản mạng xã hội
Trang đăng nhập Discord trên MacBook Air, minh họa việc sử dụng trình quản lý mật khẩu
4. Sử Dụng Mật Khẩu Dễ Đoán
Một trong những thói quen xấu lâu đời nhất
Tôi từng nghĩ rằng xu hướng sử dụng mật khẩu yếu sẽ dần biến mất theo thời gian, nhưng mỗi khi các công ty an ninh mạng công bố danh sách những mật khẩu phổ biến nhất, họ lại chứng minh tôi sai. Nếu bạn đang sử dụng những mật khẩu như “password”, “123456” hoặc “qwerty”, bạn đang đặt dữ liệu của mình vào nguy hiểm nghiêm trọng.
Khi tin tặc xâm nhập các tài khoản, họ có thể sử dụng các cuộc tấn công vét cạn (brute force attacks) và tấn công thử mật khẩu (password spraying) để thử nghiệm hàng loạt mật khẩu phổ biến nhằm tìm ra thông tin đăng nhập khớp với tài khoản của bạn. Họ cũng có thể sử dụng các thông tin bị rò rỉ khác, chẳng hạn như ngày sinh hoặc tên. Ngay cả khi bạn sử dụng một mật khẩu rất riêng tư mà tin tặc khó có thể đoán được, điều này vẫn khiến tài khoản của bạn dễ bị tổn thương bởi những người xung quanh bạn. Họ có thể dễ dàng đăng nhập vào máy tính và các thiết bị khác của bạn chỉ bằng những thông tin quen thuộc về bạn.
Tài khoản Google hiển thị mật khẩu văn bản thuần túy minh họa mật khẩu yếu
Ảnh chụp màn hình Firefox và Chrome hiển thị các trang tiện ích mở rộng Bitwarden
5. Không Cập Nhật Về Các Vụ Lộ Dữ Liệu
Việc nắm thông tin giờ đây dễ dàng hơn bao giờ hết
Trước đây, việc theo dõi các vụ rò rỉ và vi phạm dữ liệu rất khó khăn. Nhiều người chỉ có thể biết mật khẩu của mình bị xâm phạm khi công ty hoặc dịch vụ liên hệ với khách hàng về thông tin đăng nhập bị lộ. Tuy nhiên, nhờ các nền tảng như HaveIBeenPwned, cũng như tính năng tìm kiếm trên dark web trong các trình quản lý mật khẩu, bạn có thể dễ dàng cập nhật liệu dữ liệu của mình có bị xâm phạm hay không.
Nếu bạn không có quyền truy cập vào các tính năng kiểm tra dark web thông qua trình quản lý mật khẩu của mình, tôi khuyên bạn nên đăng ký nhận thông báo từ một trang web như HaveIBeenPwned. Việc chủ động nắm bắt thông tin sẽ giúp bạn phản ứng nhanh chóng, thay đổi mật khẩu kịp thời và giảm thiểu thiệt hại nếu dữ liệu của bạn không may bị lộ.
Trang web HaveIBeenPwned hiển thị trạng thái tài khoản bị lộ
Một người đang cầm Galaxy S23 với giao diện Google Password Manager
6. Lưu Trữ Mật Khẩu Bằng Các Phương Pháp Không An Toàn
Phổ biến hơn bạn nghĩ
Với rất nhiều trình quản lý mật khẩu đáng tin cậy hiện nay, bạn không nên lưu trữ mật khẩu của mình trong các tài liệu văn bản đơn giản hoặc bảng tính. Nếu ai đó có quyền truy cập vào thiết bị của bạn hoặc tài khoản đám mây nơi bạn đang lưu trữ thông tin đó, họ sẽ có quyền truy cập vào thông tin đăng nhập của tất cả các tài khoản của bạn.
Đúng là rất khó để nhớ một số lượng lớn mật khẩu phức tạp – nhưng đó chính là lý do tại sao mọi người dựa vào trình quản lý mật khẩu. Chúng lưu trữ mật khẩu của bạn đằng sau lớp mã hóa, hoặc ít nhất là đằng sau mật khẩu thiết bị hoặc bảo mật sinh trắc học. Bạn thậm chí có thể tự host trình quản lý mật khẩu của mình để có quyền kiểm soát tối đa. Tôi nhận ra mọi người vẫn làm điều này một thời gian trước khi một công ty tôi làm việc cùng chia sẻ thông tin truy cập tài khoản của họ trong một Google Spreadsheet. Nếu bạn vẫn đang làm điều này, tôi khuyên bạn nên chuyển sang sử dụng trình quản lý mật khẩu ngay lập tức.
Ví dụ về mật khẩu yếu được lưu trữ dưới dạng văn bản thuần túy trong Google Sheets
Giao diện Bitwarden tích hợp với NAS Synology
7. Không Thay Đổi Mật Khẩu Cũ
Mật khẩu nên có hạn sử dụng
Đây cũng là một thói quen xấu mà tôi từng mắc phải, nhưng tôi đã cải thiện được nhờ các dịch vụ tự động yêu cầu đổi mật khẩu sau một khoảng thời gian nhất định. Mật khẩu cũ đặt dữ liệu của bạn vào rủi ro khi một dịch vụ bị xâm phạm, ngay cả nhiều năm sau khi bạn ngừng sử dụng nó. Nếu bạn kết hợp thói quen này với việc tái sử dụng mật khẩu trên nhiều tài khoản, nguy cơ sẽ được khuếch đại lên gấp bội.
Từ kinh nghiệm cá nhân, việc giữ nguyên các mật khẩu cũ đồng nghĩa với việc tôi có một số tài khoản liên kết với những mật khẩu rất yếu từ thời điểm tôi chưa có nhiều kiến thức về an ninh mạng. Mặc dù không đến mức tệ như “12345”, nhưng chúng cũng không đủ mạnh mẽ như đáng lẽ phải có.
Thực hành bảo mật tốt là thay đổi mật khẩu của bạn vài tháng một lần hoặc ít nhất mỗi năm một lần. Mặc dù việc này có thể tốn một chút thời gian để cập nhật trên các tài khoản khác nhau, nhưng nó sẽ cải thiện tổng thể tính bảo mật của bạn. Nó cũng có nghĩa là các vụ lộ dữ liệu cũ sẽ không làm ảnh hưởng đến mật khẩu hiện tại của bạn.
Cài đặt bảo mật trong Payoneer, minh họa việc cập nhật mật khẩu
Lý do sử dụng trình quản lý mật khẩu Bitwarden
Phá Bỏ Thói Quen Xấu Để Giữ Mật Khẩu Của Bạn An Toàn
Mặc dù một số thói quen này có thể khó từ bỏ và cần thời gian để khắc phục, nhưng việc thực hiện sẽ tăng cường đáng kể tính bảo mật cho các tài khoản trực tuyến của bạn. Để có thêm lớp bảo mật, hãy cân nhắc thiết lập xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) cho các tài khoản quan trọng nhất của bạn. Bằng cách này, ngay cả khi mật khẩu của bạn bị xâm phạm, bạn vẫn sẽ nhận được thông báo về bất kỳ nỗ lực đăng nhập nào không mong muốn. Đây là bước quan trọng để bảo vệ dữ liệu cá nhân trong thế giới kỹ thuật số ngày nay.