Mật khẩu, thứ công cụ bảo mật tưởng chừng đơn giản, lại có lịch sử lâu đời hơn bạn nghĩ. Theo dấu từ thời La Mã với những “khẩu hiệu” để phân biệt bạn thù, mật khẩu kỹ thuật số chính thức ra đời vào năm 1961 bởi giáo sư khoa học máy tính Fernando Corbato tại MIT. Ban đầu, nó chỉ là một tính năng chia sẻ thời gian trên máy tính, nhưng từ hạt mầm đó, mật khẩu đã phát triển thành bức tường bảo vệ quyền riêng tư cho mọi thứ chúng ta sử dụng ngày nay trên không gian mạng.
Gần 65 năm kể từ khi ra đời, mật khẩu máy tính khiêm tốn này vẫn chưa sẵn sàng để “nghỉ hưu”. Trong suốt khoảng thời gian đó, chúng ta đã chứng kiến sự tiến hóa vượt bậc: từ mật khẩu đơn giản đến những chuỗi ký tự đặc biệt phức tạp, hay passkey loại bỏ hoàn toàn nhu cầu gõ mật khẩu, và gần đây là passphrase – những chuỗi từ thông thường dễ nhớ hơn. Cùng với sự phát triển này, vô số lời khuyên về những điều nên và không nên khi tạo mật khẩu đã được đưa ra. Một số vẫn còn giá trị đến ngày nay, nhưng không ít đã trở thành những “lời đồn đại” được làm theo mà không rõ nguyên nhân. Nhiều lầm tưởng trong số đó chỉ là sản phẩm của một thời đại trước, không còn phù hợp với bối cảnh an ninh mạng hiện đại. Đã đến lúc chúng ta cùng nhau giải mã và phá bỏ một số “truyền thuyết” nổi tiếng về độ mạnh của mật khẩu.
1. Ký tự đặc biệt và số là điều bắt buộc
Chúng không “thần kỳ” làm mật khẩu khó đoán hơn đối với các chương trình máy tính
Việc sử dụng số và ký tự đặc biệt trong mật khẩu thường mang ý nghĩa tâm lý nhiều hơn là một yếu tố bảo mật thực tế. Một mật khẩu như M@tKh4u!@ có vẻ an toàn hơn MatKhau, và điều đó khiến người dùng cảm thấy yên tâm hơn về lựa chọn của mình. Nếu không có danh sách các yêu cầu về ký tự, bản chất con người có xu hướng chọn mật khẩu ngắn hơn, dẫn đến những chuỗi phổ biến như 123456 hay asdfgh.
Người dùng cầm điện thoại Galaxy S23 với ứng dụng Google Password Manager
Một vấn đề khác là mật khẩu của bạn được lưu trữ trong cơ sở dữ liệu, và hầu hết các công ty đều có quy trình “sanitizing input” (làm sạch dữ liệu đầu vào) không tốt. Đây là lý do tại sao nhiều dịch vụ chỉ cho phép bạn sử dụng một vài loại ký tự đặc biệt nhất định chứ không phải tất cả các ký tự có trên bàn phím của bạn. Những ký tự không được phép thường có thể phá vỡ cơ sở dữ liệu và thậm chí là xâm nhập để lấy cắp thông tin bí mật.
2. Mật khẩu phức tạp luôn tốt hơn
Chiều dài, chứ không phải độ rộng, quan trọng hơn nhiều
Khi chọn một mật khẩu mới, người dùng thường có cảm giác rằng một mật khẩu phức tạp sẽ mạnh hơn một mật khẩu đơn giản nhưng dài hơn. Điều này không đúng bởi các chương trình bẻ khóa hiện đại có thể xử lý độ phức tạp một cách nhanh chóng. Với nhiều dịch vụ yêu cầu mật khẩu tối thiểu tám ký tự, những mật khẩu này có thể bị bẻ khóa trong vòng chưa đầy 3 giờ nếu chúng chứa số, chữ hoa, chữ thường và ký hiệu.
Kiểm tra độ mạnh mật khẩu ABC123
Tuy nhiên, nếu bạn tăng chiều dài lên 13 ký tự trong khi vẫn giữ nguyên sự kết hợp phức tạp, thời gian bẻ khóa sẽ tăng lên đến 3 triệu năm. Và nếu bạn có 15 ký tự, bạn chỉ cần chữ hoa và chữ thường để có được 2 triệu năm bẻ khóa. Độ phức tạp là tiện dụng, nhưng chiều dài của mật khẩu mới thực sự mang lại sức mạnh bảo mật vượt trội.
Ví dụ: DiCongNgheMoiNgayDeHocHoiThemNhieuDieuHay mạnh hơn rất nhiều so với M@tkhau2024!. Không phải vì độ phức tạp, mà vì nó dài hơn đáng kể, ngay cả khi không có ký tự đặc biệt và chỉ sử dụng chữ cái. Hãy sử dụng một câu dễ nhớ hoặc tận dụng trình quản lý mật khẩu của bạn – đó là mục đích chúng được tạo ra.
3. Mật khẩu phải dễ nhớ
Có thể đúng, nhưng điều đó không có nghĩa chúng nên ngắn
Việc cố gắng ghi nhớ tất cả thông tin đăng nhập kỹ thuật số là điều gần như không thể, trừ khi bạn có trí nhớ siêu phàm. Cố gắng làm vậy cũng giống như việc cố gắng ghi nhớ toàn bộ danh bạ điện thoại vậy. Tốt hơn hết là bạn không nên thử. Hãy sử dụng một trình quản lý mật khẩu để lưu trữ chúng cho bạn. Và nếu bạn buộc phải sử dụng mật khẩu có thể nhớ được, ví dụ như mật khẩu chính cho trình quản lý mật khẩu của mình, hãy chọn một cụm mật khẩu (passphrase) dài ít nhất 20 ký tự để làm cho việc tấn công vét cạn (brute force) trở nên cực kỳ khó khăn.
Kiểm tra độ mạnh mật khẩu 123456
Điều này nghe có vẻ hiển nhiên, nhưng tôi vẫn muốn nhấn mạnh: đừng bao giờ sử dụng mật khẩu chính của trình quản lý mật khẩu của bạn ở bất kỳ nơi nào khác. Bạn sẽ không để chìa khóa nhà hoặc chìa khóa xe của mình vương vãi khắp nơi; đừng làm điều tương tự với “chìa khóa kỹ thuật số” của bạn.
4. Nên thay đổi mật khẩu thường xuyên
Lầm tưởng này xuất phát từ các yêu cầu mật khẩu của chính phủ
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) có một tài liệu lớn về các thực hành tốt nhất cho mật khẩu, được cập nhật định kỳ khi bối cảnh bảo mật thay đổi. Tài liệu đó là nguyên nhân trực tiếp của nhiều lầm tưởng được đề cập ở đây, bởi vì vào thời điểm đó, nó được cho là cách tốt nhất để giữ an toàn. Nhưng các tiêu chuẩn phát triển theo thời gian, cũng như các thực hành bảo mật, và bạn không cần phải đặt lại mật khẩu của mình thường xuyên để giữ an toàn.
Màn hình đăng nhập Windows 11 hiển thị tùy chọn đặt lại mật khẩu tài khoản cục bộ
Lời khuyên này xuất phát từ thời điểm người dùng chỉ có một vài mật khẩu để lo lắng, và người ta tin rằng việc đặt lại thường xuyên sẽ giúp bạn an toàn hơn bằng cách hạn chế các vụ rò rỉ, ngăn chặn truy cập dài hạn nếu ai đó hack hoặc lừa đảo mật khẩu của bạn, và hạn chế phạm vi của các phần mềm ghi lại thao tác bàn phím (keystroke logger). Tuy nhiên, đây cũng là một tàn dư có thể được loại bỏ an toàn, vì thực hành tốt nhất hiện nay là có mật khẩu độc nhất cho mỗi tài khoản. Như vậy, nếu bạn gặp phải một vụ rò rỉ, chỉ một tài khoản bị xâm phạm và bạn có thể dễ dàng thay đổi mật khẩu đó.
5. Không cần xác thực đa yếu tố (MFA hoặc 2FA)
Ngay cả với mật khẩu mạnh, bảo mật nhiều lớp luôn là câu trả lời đúng đắn
Ngay cả khi sử dụng một mật khẩu độc đáo và dài, đôi khi nó vẫn có thể bị rò rỉ. Đôi khi tin tặc có thể lấy được session cookie (dữ liệu phiên đăng nhập) mà bạn đã sử dụng trong quá trình đăng nhập và dùng nó để buộc tài khoản mở ra. Bất kể lỗ hổng là gì, một kẻ tấn công quyết tâm sẽ tìm ra nó, trừ khi bạn có thêm các lớp bảo mật. Sử dụng Xác thực Đa Yếu tố (MFA) hoặc Xác thực Hai Yếu tố (2FA) là một trong những lớp đó, và bạn nên sử dụng ứng dụng chuyên biệt cho việc này, chứ không phải SMS.
Cài đặt xác thực hai yếu tố cho Apple ID trên iPhone
Lý do là thẻ SIM điện thoại quá dễ bị chiếm đoạt (SIM hijacking), và mã SMS có thể bị gửi đến nơi khác. Trừ khi kẻ tấn công có điện thoại của bạn và đã mở khóa nó, các ứng dụng 2FA sẽ mang lại cho tài khoản của bạn cơ hội tốt hơn để không bị chiếm đoạt.
6. Chia sẻ mật khẩu với người đáng tin cậy là an toàn
Một bí mật không còn là bí mật nếu có nhiều hơn một người biết nó
Sẽ có những tình huống bạn muốn chia sẻ mật khẩu của mình với bạn bè hoặc gia đình, nhưng đó là một ý tưởng tồi. Nhiều hơn một người biết mật khẩu của bạn là quá nhiều, và bạn không thể biết người đó đã đăng nhập vào bao nhiêu thiết bị và quên đăng xuất. Nếu bạn muốn chia sẻ Wi-Fi tại nhà, hãy thiết lập một mạng khách (guest network) thay thế, chia sẻ mật khẩu cho quyền truy cập đó, và sau đó thay đổi mật khẩu khi họ đã rời đi. Càng ít thiết bị đăng nhập vào Wi-Fi của bạn càng tốt. Đừng chia sẻ mật khẩu Netflix hoặc các dịch vụ phát trực tuyến khác, nếu không tài khoản của bạn có thể bị nhà cung cấp dịch vụ chặn.
Điện thoại Samsung Galaxy S22 hiển thị logo XDA và mã QR minh họa tính năng chia sẻ mật khẩu Wi-Fi trên Android
7. Tái sử dụng mật khẩu là chấp nhận được
Không, không, không! Lầm tưởng này đáng lẽ phải được loại bỏ ngay từ những ngày đầu tiên của kỷ nguyên số. Mọi tài khoản bạn có đều nên sở hữu một mật khẩu độc nhất, dài và khó đoán, được lưu trữ an toàn trong một trình quản lý mật khẩu chuyên dụng. Việc tái sử dụng mật khẩu giữa các tài khoản khác nhau sẽ làm tăng đáng kể nguy cơ tất cả tài khoản của bạn bị tấn công. Điều tồi tệ hơn là hầu hết mọi người đều biết điều này, nhưng vẫn tái sử dụng mật khẩu chỉ vì nó dễ dàng hơn.
8. Không cần trình quản lý mật khẩu
Bạn cần nó, và bạn nên sử dụng nó cho mọi thứ
Nếu việc sử dụng mật khẩu dài, độc đáo là tuyến phòng thủ đầu tiên chống lại tin tặc, và việc sử dụng MFA hoặc 2FA là tuyến thứ hai, thì sử dụng trình quản lý mật khẩu chính là tuyến thứ ba. Những trình quản lý tốt nhất sẽ tự động tạo mật khẩu cho bạn, lưu chúng một cách an toàn và giúp bạn điền chúng vào trang web hoặc ứng dụng vào lần tiếp theo bạn truy cập. Bạn cần một trình quản lý mật khẩu vì, trừ khi bạn muốn bàn làm việc của mình tràn ngập giấy nhớ Post-it, hàng trăm mật khẩu bạn có cần được lưu ở một nơi nào đó. Và đó chỉ là con số trung bình, với những người dùng internet nặng hoặc các lập trình viên còn phải đối mặt với số lượng mật khẩu gấp nhiều lần. Hãy sắm cho mình một trình quản lý mật khẩu, tốt nhất không phải là trình quản lý được tích hợp sẵn trong trình duyệt web của bạn, và sử dụng nó mọi lúc.
9. Viết mật khẩu ra giấy là không an toàn
Thật ra, nó tốt hơn việc sử dụng mật khẩu không an toàn cho mọi tài khoản
Lời khuyên kinh điển về việc không viết mật khẩu ra giấy là sai. Tôi không có ý nói rằng bạn nên dán mật khẩu trên giấy nhớ lên màn hình máy tính của mình (vì ai cũng từng làm vậy), nhưng việc viết chúng vào một cuốn sổ được cất giữ an toàn trong ngăn kéo bàn làm việc không khác gì việc sử dụng một trình quản lý mật khẩu kỹ thuật số được mã hóa hoàn toàn.
Một chút bảo mật vẫn tốt hơn không có gì, và một số người sẽ không sử dụng trình quản lý mật khẩu vì nhiều lý do khác nhau. Nhưng họ thường sẽ dùng một cuốn sổ và bút, và việc ghi nhớ mật khẩu ở một nơi an toàn chính là mục đích của việc có trình quản lý mật khẩu. Tuy nhiên, có một vài điều cần lưu ý: mật khẩu được viết ra của bạn vẫn nên dài ít nhất 16 ký tự, hoặc tốt hơn nữa, là một cụm mật khẩu mà bạn có thể ghi nhớ nếu cố gắng. Và nó cần được khóa lại khi không sử dụng, điều này khiến việc sử dụng trở nên hơi bất tiện, nhưng là cần thiết.
10. Việc tấn công mật khẩu rất khó
Với số lượng các vụ rò rỉ mật khẩu hàng năm, hãy cho rằng mọi thứ đều có thể bị xâm phạm
Khoa học về bẻ khóa mật khẩu đã được hiểu rất rõ ràng ở thời điểm hiện tại, và ngay cả phần cứng máy tính khiêm tốn cũng có thể xử lý các cuộc tấn công như vét cạn (brute force), bảng cầu vồng (rainbow tables), nhồi nhét mật khẩu (password stuffing) và các cách khác để truy cập vào tài khoản trực tuyến. Điều này càng được hỗ trợ bởi hàng terabyte dữ liệu thông tin đăng nhập bị rò rỉ đang tràn lan trên internet, đã được thu thập trong nhiều năm. Nếu bạn nghĩ mật khẩu độc nhất của mình thực sự là duy nhất, rất có thể không phải vậy và nó đã có mặt trong một trong những tệp dữ liệu rò rỉ được tổng hợp đó.
Việc tải xuống một bot và thiết lập nó để cố gắng tấn công các tài khoản trực tuyến không hề khó. Tôi thường xuyên thấy điều này trong nhật ký tài khoản Microsoft không mật khẩu của mình, nơi các thông tin đăng nhập cũ được thử lại sau mỗi 30 phút. Nó không đủ để thông báo cho tôi hoặc khóa tài khoản, nhưng đôi khi nó hỏi tôi có đang cố gắng đăng nhập hay không, hoặc gửi một email với mật khẩu dùng một lần cho một thiết bị duy nhất. Quá trình này phần lớn là tự động và không tốn công sức một khi đã được thiết lập. Các nỗ lực hack bạn thấy trên các phương tiện truyền thông phổ biến thường là sự xuyên tạc nghiêm trọng về mức độ nỗ lực cần thiết hoặc sự thú vị của việc hack, bởi vì phần lớn thời gian nó rất tẻ nhạt.
Cho đến khi một giải pháp thay thế mật khẩu hiệu quả xuất hiện, đã đến lúc chúng ta ngừng tin vào những lầm tưởng về bảo mật này
Chúng tôi hiểu rằng việc quản lý mật khẩu có thể gây choáng ngợp. Với trung bình khoảng 100 mật khẩu cần xử lý, đây thực sự là một công việc tẻ nhạt. Sử dụng một trình quản lý mật khẩu tự động để lưu, cất giữ và tự động điền mật khẩu là cách dễ nhất để giữ an toàn cho các mật khẩu dài và độc nhất của bạn. Các trình quản lý mật khẩu tốt nhất còn có thể lưu trữ ghi chú, chi tiết thẻ tín dụng và các thông tin khác, tất cả đều được mã hóa để không ai ngoài bạn có thể nhìn thấy. Bạn thậm chí có thể sử dụng chúng để chia sẻ mật khẩu với bạn bè đáng tin cậy mà không cần tiết lộ mật khẩu thực tế, điều này cực kỳ hữu ích để giữ an toàn cho tài khoản của bạn.
