Lịch sử của mật khẩu, với mục đích bảo mật, có thể truy ngược về thời La Mã, khi những “mật ngữ” được sử dụng để phân biệt bạn bè với kẻ thù. Tuy nhiên, mật khẩu số mà chúng ta quen thuộc ngày nay đã xuất hiện sớm hơn bạn nghĩ, ra đời vào năm 1961 bởi giáo sư khoa học máy tính Fernando Corbato tại MIT. Ban đầu, nó không phải là một tính năng bảo mật mà chủ yếu phục vụ mục đích chia sẻ thời gian sử dụng máy tính. Nhưng đó chính là hạt mầm đã phát triển thành hệ thống mật khẩu số phức tạp, bảo vệ mọi thông tin và dữ liệu cá nhân của chúng ta trong thế giới kỹ thuật số hiện đại.
Gần 65 năm kể từ khi ra đời, mật khẩu máy tính quen thuộc vẫn chưa sẵn sàng để “nghỉ hưu”. Trong khoảng thời gian đó, chúng ta đã chứng kiến sự phát triển từ những mật khẩu đơn giản đến những mật khẩu yêu cầu ký tự đặc biệt, sau đó là passkey loại bỏ hoàn toàn nhu cầu gõ mật khẩu, và gần đây là passphrase – những cụm từ dài dễ nhớ hơn. Cùng với sự tiến hóa này, vô số lời khuyên về những gì nên và không nên có trong mật khẩu đã được đưa ra. Một số lời khuyên vẫn còn giá trị đến ngày nay, nhưng nhiều lời khuyên khác đã trở thành huyền thoại, được mọi người tuân theo mà không hiểu rõ lý do ban đầu. Hầu hết những lầm tưởng về mật khẩu an toàn này chỉ là sản phẩm của một thời đại đã qua và không còn phù hợp với bối cảnh bảo mật hiện tại. Hãy cùng chúng tôi chấm dứt một vài “câu chuyện cổ tích” nổi tiếng về độ mạnh của mật khẩu.
10 Lầm Tưởng Phổ Biến Về Mật Khẩu
1. Cần ký tự đặc biệt và số để mật khẩu mạnh hơn
Việc sử dụng số và ký tự đặc biệt trong mật khẩu mang tính tâm lý nhiều hơn là một yếu tố bảo mật thực sự. Một mật khẩu như Passw0rd!@ trông có vẻ an toàn hơn Password, và điều đó khiến mọi người cảm thấy yên tâm hơn về lựa chọn của mình. Nếu không có danh sách các yếu tố bắt buộc, bản năng con người thường hướng đến những mật khẩu ngắn hơn, dẫn đến các lựa chọn phổ biến như 123456 hoặc asdfgh.
Người dùng đang sử dụng Google Password Manager trên điện thoại Samsung Galaxy S23 để quản lý mật khẩu an toàn
Một vấn đề khác là mật khẩu của bạn được lưu trữ trong cơ sở dữ liệu, và hầu hết các công ty đều có quy trình “sanitizing” (lọc và làm sạch) đầu vào không tốt. Đây là lý do tại sao nhiều dịch vụ chỉ cho phép một vài loại ký tự đặc biệt nhất định chứ không phải tất cả các ký tự trên bàn phím. Những ký tự không được phép có xu hướng làm hỏng cơ sở dữ liệu và thậm chí có thể bị lợi dụng để đánh cắp thông tin bí mật.
2. Mật khẩu phức tạp sẽ tốt hơn
Khi chọn một mật khẩu mới, chúng ta thường có cảm giác rằng một mật khẩu càng phức tạp thì càng mạnh hơn so với một mật khẩu đơn giản nhưng dài hơn. Tuy nhiên, các chương trình bẻ khóa mật khẩu hiện đại có thể xử lý độ phức tạp một cách nhanh chóng. Với nhiều dịch vụ yêu cầu mật khẩu tối thiểu tám ký tự, những mật khẩu này có thể bị bẻ khóa trong vòng chưa đầy 3 giờ nếu chúng bao gồm số, chữ hoa, chữ thường và ký hiệu.
Giao diện kiểm tra độ mạnh mật khẩu hiển thị mật khẩu "ABC123" với mức độ yếu, minh họa tầm quan trọng của độ dài
Nhưng nếu bạn tăng độ dài lên 13 ký tự trong khi vẫn giữ nguyên sự phức tạp, thời gian để bẻ khóa sẽ tăng lên đến 3 triệu năm. Và nếu bạn có 15 ký tự, bạn chỉ cần chữ hoa và chữ thường để đạt được con số 2 triệu năm. Độ phức tạp là hữu ích, nhưng độ dài của mật khẩu có tác động mạnh mẽ hơn rất nhiều. Ví dụ, một mật khẩu như RaceDrabCorridorUndertakeVotingStrongboxFlagstoneFlintRenditionRouting mạnh hơn nhiều so với summer2022!, không phải vì sự phức tạp mà vì nó dài hơn rất nhiều, ngay cả khi không có ký tự đặc biệt và chỉ sử dụng chữ cái. Hãy sử dụng một câu hoặc cụm từ dài nếu bạn có thể ghi nhớ, hoặc tốt nhất là dùng trình quản lý mật khẩu vì đó là công dụng chính của chúng.
3. Mật khẩu nên dễ nhớ
Việc cố gắng quản lý các thông tin đăng nhập kỹ thuật số bằng cách ghi nhớ chúng là một nhiệm vụ bất khả thi, trừ khi bạn có trí nhớ siêu phàm. Thật vậy, việc này giống như cố gắng ghi nhớ một cuốn danh bạ điện thoại, và tốt hơn hết bạn không nên thử. Thay vào đó, hãy sử dụng một trình quản lý mật khẩu để lưu trữ chúng cho bạn. Nếu bạn bắt buộc phải dùng những mật khẩu có thể nhớ được, ví dụ như mật khẩu chính cho trình quản lý mật khẩu của mình, hãy sử dụng một passphrase có ít nhất 20 ký tự để khó bị tấn công vét cạn (brute force).
Màn hình kiểm tra độ mạnh mật khẩu cho thấy "123456" là một mật khẩu cực kỳ yếu, dễ bị bẻ khóa
Mặc dù điều này là hiển nhiên, tôi vẫn muốn nhấn mạnh: đừng sử dụng mật khẩu chính của trình quản lý mật khẩu của bạn ở bất kỳ nơi nào khác. Bạn sẽ không bao giờ để chìa khóa nhà hoặc chìa khóa ô tô của mình lung tung; vậy nên đừng làm điều tương tự với “chìa khóa kỹ thuật số” của bạn.
4. Nên đặt lại mật khẩu thường xuyên
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) có một tài liệu khổng lồ về các phương pháp hay nhất về mật khẩu, được cập nhật định kỳ khi bối cảnh bảo mật thay đổi. Tài liệu đó là nguyên nhân trực tiếp của nhiều lầm tưởng ở đây, vì tại thời điểm đó, nó được cho là cách tốt nhất để giữ an toàn. Nhưng các tiêu chuẩn và thực hành bảo mật luôn phát triển theo thời gian, và bạn không nhất thiết phải đặt lại mật khẩu của mình thường xuyên để giữ an toàn.
Màn hình đăng nhập Windows 11 hiển thị tùy chọn đặt lại mật khẩu tài khoản cục bộ, minh họa cho lầm tưởng về việc đổi mật khẩu thường xuyên
Lời khuyên này xuất phát từ thời điểm người dùng chỉ có một vài mật khẩu cần lo lắng, và nó được cho là giúp bạn an toàn hơn bằng cách hạn chế các vụ vi phạm, ngăn chặn truy cập dài hạn nếu ai đó hack hoặc lừa đảo mật khẩu của bạn, và hạn chế phạm vi của các phần mềm ghi lại thao tác bàn phím (keylogger). Nhưng đây cũng là một tàn tích có thể được loại bỏ an toàn, vì phương pháp hay nhất hiện nay là có mật khẩu duy nhất cho mỗi tài khoản. Điều này đảm bảo rằng nếu một tài khoản bị lộ do vi phạm dữ liệu, chỉ tài khoản đó bị ảnh hưởng, và bạn có thể dễ dàng thay đổi mật khẩu đó mà không ảnh hưởng đến các tài khoản khác.
5. Không cần Xác thực đa yếu tố (MFA hoặc 2FA)
Ngay cả khi sử dụng mật khẩu duy nhất và dài, đôi khi chúng vẫn có thể bị rò rỉ. Đôi khi tin tặc lấy được “session cookie” mà bạn đã sử dụng trong quá trình đăng nhập và dùng nó để truy cập tài khoản. Dù lỗ hổng là gì, một kẻ tấn công quyết tâm sẽ tìm ra nó, trừ khi bạn có nhiều lớp bảo mật hơn. Sử dụng Xác thực Đa yếu tố (MFA) hoặc Xác thực Hai yếu tố (2FA) là một trong những lớp bảo mật đó, và bạn nên sử dụng ứng dụng chuyên dụng cho việc này, thay vì tin nhắn SMS.
Cài đặt xác thực hai yếu tố (2FA) cho Apple ID trên iPhone, minh họa tầm quan trọng của việc bổ sung lớp bảo mật
Lý do là SIM điện thoại quá dễ bị chiếm quyền kiểm soát (SIM swap), và các mã SMS có thể bị gửi đến nơi khác. Trừ khi kẻ tấn công có điện thoại của bạn và mở khóa được, các ứng dụng 2FA sẽ giúp tài khoản của bạn có cơ hội tốt hơn để không bị chiếm đoạt.
6. Chia sẻ mật khẩu với người tin cậy là được
Sẽ có những tình huống bạn muốn chia sẻ mật khẩu của mình với bạn bè hoặc gia đình, nhưng đây là một ý tưởng tồi. Mật khẩu không còn là bí mật nếu có nhiều hơn một người biết nó, và bạn không thể biết người đó đã đăng nhập vào bao nhiêu thiết bị và quên đăng xuất. Nếu bạn muốn chia sẻ Wi-Fi gia đình, hãy thiết lập một mạng khách thay thế và chia sẻ mật khẩu truy cập mạng đó, sau đó thay đổi mật khẩu khi họ đã rời đi. Càng ít thiết bị đăng nhập vào Wi-Fi của bạn càng tốt. Đừng chia sẻ mật khẩu Netflix hoặc các dịch vụ streaming khác, nếu không tài khoản của bạn có thể bị nhà cung cấp dịch vụ chặn.
Điện thoại Samsung Galaxy S22 hiển thị mã QR để chia sẻ mật khẩu Wi-Fi, minh họa rủi ro khi chia sẻ mật khẩu trực tiếp
7. Tái sử dụng mật khẩu là ổn
Không, tuyệt đối không! Lầm tưởng này nên bị loại bỏ từ những ngày đầu tiên của Internet và không bao giờ xuất hiện trở lại. Mỗi tài khoản bạn sở hữu nên có một mật khẩu duy nhất, dài, khó đoán và được lưu trữ an toàn trong một trình quản lý mật khẩu. Việc tái sử dụng mật khẩu giữa các tài khoản làm tăng đáng kể nguy cơ tất cả tài khoản của bạn bị tấn công. Điều tồi tệ hơn là hầu hết mọi người đều biết điều này nhưng vẫn tái sử dụng mật khẩu vì cho rằng nó tiện lợi hơn.
8. Không cần trình quản lý mật khẩu
Nếu sử dụng mật khẩu dài và duy nhất là tuyến phòng thủ đầu tiên chống lại tin tặc, và sử dụng MFA hoặc 2FA là tuyến phòng thủ thứ hai, thì sử dụng trình quản lý mật khẩu là tuyến phòng thủ thứ ba. Những trình quản lý tốt nhất sẽ tạo mật khẩu cho bạn, tự động lưu chúng và giúp bạn nhập chúng vào trang web hoặc ứng dụng vào lần truy cập tiếp theo. Bạn cần một trình quản lý mật khẩu bởi vì, trừ khi bạn muốn bàn làm việc của mình tràn ngập những ghi chú Post-it, hàng trăm mật khẩu bạn có cần được lưu ở một nơi nào đó. Đó chỉ là con số trung bình, với những người dùng internet chuyên sâu hoặc lập trình viên có thể có số lượng mật khẩu gấp nhiều lần. Hãy tải một trình quản lý mật khẩu (tốt nhất là không phải loại đi kèm trình duyệt web của bạn) và sử dụng nó mọi lúc.
9. Viết mật khẩu ra giấy là không an toàn
Lời khuyên kinh điển về việc không nên viết mật khẩu ra giấy thực ra là sai. Tôi không có ý rằng bạn nên dán mật khẩu trên một ghi chú Post-it dán vào màn hình máy tính của mình (vì chúng ta đều từng làm điều đó), nhưng việc ghi chúng vào một cuốn sổ tay được cất giữ an toàn trong ngăn kéo bàn làm việc không khác gì việc bạn có một trình quản lý mật khẩu kỹ thuật số với mọi thứ được mã hóa.
Một số biện pháp bảo mật vẫn tốt hơn là không có gì, và một số người sẽ không sử dụng trình quản lý mật khẩu vì nhiều lý do khác nhau. Nhưng họ thường sẽ sử dụng một cuốn sổ và cây bút, và việc giữ mật khẩu được ghi nhớ ở một nơi an toàn là toàn bộ mục đích của việc có trình quản lý mật khẩu. Tuy nhiên, có một vài điều cần lưu ý: mật khẩu được viết ra của bạn vẫn nên có ít nhất 16 ký tự, hoặc tốt hơn nữa, là một passphrase mà bạn có thể ghi nhớ nếu cố gắng. Và nó cần được khóa lại khi không sử dụng, điều này khiến việc sử dụng hơi bất tiện nhưng là cần thiết.
10. Bẻ khóa mật khẩu rất khó
Khoa học bẻ khóa mật khẩu đã được hiểu rất rõ ở thời điểm hiện tại, và ngay cả phần cứng máy tính khiêm tốn cũng có thể thực hiện các cuộc tấn công như vét cạn (brute force), bảng cầu vồng (rainbow tables), nhồi nhét mật khẩu (password stuffing) và các cách khác để truy cập vào tài khoản trực tuyến. Điều này được hỗ trợ bởi hàng terabyte thông tin đăng nhập mật khẩu bị rò rỉ đang tràn lan trên internet, đã được thu thập trong nhiều năm. Nếu bạn nghĩ mật khẩu duy nhất của mình thực sự là duy nhất, rất có thể nó không phải vậy và đã nằm trong một trong những tệp dữ liệu bị rò rỉ đã được tổng hợp.
Không khó để tải xuống một con bot và thiết lập nó để cố gắng tấn công các tài khoản trực tuyến. Tôi thấy điều này liên tục trong nhật ký tài khoản Microsoft không mật khẩu của mình, nơi các thông tin đăng nhập cũ được thử lại khoảng 30 phút một lần. Điều này không đủ để thông báo cho tôi hoặc khóa tài khoản, nhưng đôi khi nó hỏi liệu tôi có đang cố gắng đăng nhập hay không, hoặc gửi một email với mật khẩu dùng một lần cho một thiết bị duy nhất. Hầu hết quá trình này được tự động hóa và không tốn công sức sau khi đã thiết lập. Những nỗ lực hack mà bạn thấy trên các phương tiện truyền thông phổ biến là một sự trình bày sai lệch nghiêm trọng về mức độ nỗ lực cần thiết hoặc sự thú vị của việc hack, vì hầu hết thời gian nó rất tẻ nhạt.
Đến khi một giải pháp tốt hơn thay thế mật khẩu xuất hiện, đã đến lúc ngừng tin vào những lầm tưởng bảo mật này
Chúng tôi hiểu rằng việc quản lý mật khẩu là một gánh nặng thực sự, và với khoảng 100 mật khẩu trung bình cần xử lý, đó là một công việc nhàm chán. Sử dụng trình quản lý mật khẩu tự động để lưu, trữ và tự động điền mật khẩu là cách dễ nhất để giữ an toàn cho mật khẩu dài và độc nhất của bạn. Những trình quản lý mật khẩu tốt nhất cũng sẽ lưu trữ ghi chú, chi tiết thẻ tín dụng và các thông tin khác, tất cả đều được mã hóa để không ai ngoài bạn có thể nhìn thấy. Bạn thậm chí có thể sử dụng chúng để chia sẻ mật khẩu với những người bạn tin cậy mà không cần tiết lộ mật khẩu thực tế, điều này cực kỳ tuyệt vời để giữ an toàn cho tài khoản của bạn.
