Mục lục:
Chúng tôi đã khuyên bạn nhiều lần rằng cách an toàn duy nhất để lưu trữ và sử dụng mật khẩu là dựa vào trình quản lý mật khẩu, nhưng một số bạn không nghe. Trong một khảo sát về PCMag về mật khẩu, chỉ có 24 phần trăm bạn báo cáo bằng trình quản lý mật khẩu. Phần còn lại của bạn đang làm gì? Sử dụng mật khẩu dễ dàng như mật khẩu hoặc 12345678? Ghi nhớ một mật khẩu phức tạp và sử dụng nó ở mọi nơi? Lắng nghe, chăm sóc bảo mật mật khẩu không phải là vấn đề nhỏ, nhưng với quy mô lớn về rủi ro, như minh họa trong vụ vi phạm Bộ sưu tập số 1 gần đây, đã phơi bày 773 triệu địa chỉ email bị tấn công, bạn cần làm mọi cách để giữ mật khẩu của mình an toàn
Ngay cả khi bạn đang sử dụng trình quản lý mật khẩu tốt nhất, điều đó cũng không đảm bảo an toàn cho tài khoản của bạn, nếu không, bạn sử dụng trình quản lý mật khẩu để ghi nhớ những mật khẩu cũ, mệt mỏi đó. Bạn phải xuống trong các chiến hào và chuyển các mật khẩu xấu cho những mật khẩu mới, mạnh hơn.
Cuộc khảo sát được đề cập ở trên cho thấy 35% người đọc PCMag không bao giờ thay đổi mật khẩu của họ, trừ khi bị buộc phải làm như vậy do vi phạm. Nói chung, đó không phải là một điều xấu. Viện Tiêu chuẩn và Công nghệ Quốc gia không còn khuyến nghị thay đổi mật khẩu cứ sau 90 ngày. NIST hiện khuyên bạn nên sử dụng các cụm mật khẩu dài như "Correct-Horse-Pin-Staple" và chỉ thay đổi chúng khi cần thiết. Nhưng nếu bạn đang sử dụng mật khẩu khủng khiếp, "khi cần thiết" có nghĩa là ngay bây giờ .
Điều gì làm cho một mật khẩu xấu? Chúng tôi sẽ xem xét một số thuộc tính của mật khẩu khủng, và sau đó chúng tôi sẽ cung cấp cho bạn một số gợi ý về cách thực hiện mật khẩu đúng cách.
Tránh xa từ điển
Cứ sau vài tháng, một cửa hàng tin tức hoặc một bài đăng khác lại liệt kê một mật khẩu tồi tệ nhất. Chúng tôi thấy rất nhiều tùy chọn dễ gõ, như 123456 và 12345678 và qwerty. Dễ dàng cho bạn? Chắc chắn rồi. Nhưng cũng dễ dàng cho tin tặc bẻ khóa. Các mật khẩu phổ biến (và nghèo) khác bao gồm các từ trong từ điển đơn giản. Chúng ta đã thấy bóng chày, khỉ và starwars trong danh sách các mật khẩu tồi tệ nhất. Những cái này cũng vậy, rất dễ bị nứt.
Một số trang web bảo mật bị khóa sau một số lần thử mật khẩu sai, nhưng nhiều trang thì không. Đối với những người không có khóa xấu, tin tặc có thể vượt qua một danh sách các địa chỉ email với một danh sách các mật khẩu phổ biến và thiết lập một quy trình tự động để tiếp tục thử kết hợp cho đến khi chúng xâm nhập.
Một trang web được bảo mật đúng cách không lưu trữ mật khẩu của bạn ở bất cứ đâu. Thay vào đó, nó chạy mật khẩu thông qua thuật toán băm, một loại mã hóa một chiều. Cùng một đầu vào luôn tạo ra cùng một đầu ra, nhưng không có cách nào để lấy lại mật khẩu ban đầu từ hàm băm kết quả. Nếu mật khẩu bạn nhập băm đến cùng giá trị được lưu trữ, bạn có quyền truy cập. Ngay cả khi tin tặc chiếm được dữ liệu người dùng của trang web, chúng không nhận được mật khẩu, chỉ băm.
Nhưng tin tặc thông minh có thể bẻ khóa mật khẩu yếu ngay cả khi chúng bị băm, nếu chúng biết chức năng băm nào mà trang web sử dụng. Họ bắt đầu bằng cách chạy một từ điển lớn các mật khẩu phổ biến thông qua chức năng băm. Sau đó, họ tìm kiếm các giá trị băm trong dữ liệu đã chụp. Mỗi trận đấu là một mật khẩu bị bẻ khóa. Các trang web có bảo mật tốt nhất tăng cường chức năng băm bằng một kỹ thuật gọi là tạo muối, làm cho loại bẻ khóa dựa trên bảng này không thể thực hiện được, nhưng tại sao phải mạo hiểm? Chỉ cần ở ngoài từ điển.
Nghĩ khác
Một người bạn đã từng nói với tôi mật khẩu hoàn hảo của cô ấy: 1qaz2wsx3edc4rfv. Cô có thể "gõ" nó chỉ bằng cách trượt một ngón tay xuống bốn cột nghiêng của bàn phím. Thật là hoàn hảo, cô ấy đã sử dụng nó ở khắp mọi nơi. Và đó là một sai lầm lớn.
Hầu như một tuần trôi qua mà không có tin tức về việc vi phạm tại một số công ty hoặc trang web, làm lộ ra hàng ngàn hoặc hàng triệu tên người dùng và mật khẩu. Nạn nhân thông minh thay đổi mật khẩu của họ ngay lập tức. Những người bỏ qua vấn đề có thể thấy mình bị khóa tài khoản của chính họ sau khi tin tặc đặt lại mật khẩu.
Những tin tặc biết rằng tất cả quá nhiều người tái chế mật khẩu của họ. Khi họ tìm thấy một cặp tên người dùng và mật khẩu đang hoạt động, họ thử cùng thông tin đăng nhập trên các trang web khác. Bạn có thể không quá lo lắng về việc mất quyền truy cập vào tài khoản Club Penguin của mình, nhưng nếu bạn sử dụng cùng một thông tin đăng nhập trên trang web của ngân hàng, bạn đã gặp rắc rối lớn.
Nó trở nên tồi tệ hơn. Nếu người khác kiểm soát tài khoản email của bạn, trước tiên họ có thể khóa bạn bằng cách thay đổi mật khẩu. Sau đó, họ có thể xâm nhập vào các tài khoản khác của bạn bằng cách liên kết đặt lại mật khẩu được gửi qua email đến tài khoản đó. Lo lắng chưa?
Đừng nhận cá nhân
Sử dụng thông tin cá nhân làm cơ sở cho mật khẩu của bạn rất hấp dẫn, nhưng đó là một ý tưởng tồi. Rất có thể tên con chó của bạn xuất hiện trong từ điển mà tin tặc sử dụng cho các cuộc tấn công vũ phu. Các khả năng khác như tên viết tắt và ngày sinh của một thành viên trong gia đình có thể sẽ không rơi vào một cuộc tấn công vũ phu, nhưng nếu ai đó muốn hack tài khoản của bạn một cách cụ thể, dữ liệu cá nhân đó có thể gây ra một cuộc tấn công đoán lỗi và thử.
Đừng suy nghĩ trong một phút rằng các chi tiết cá nhân của bạn là riêng tư. Có hàng tá trang web mọi người có thể sử dụng để tìm thông tin chi tiết về bất kỳ ai: địa chỉ, ngày sinh, tình trạng hôn nhân, v.v. Các bài đăng trên phương tiện truyền thông xã hội của bạn có thể là một nguồn thông tin cá nhân khác, đặc biệt là nếu bạn không bảo mật đúng cách các tài khoản của mình. Một hacker xác định (hoặc một người hàng xóm tò mò) có thể đoán bất kỳ mật khẩu nào bạn xây dựng dựa trên dữ liệu của riêng bạn.
Đóng cửa sau
Nếu bạn không sử dụng trình quản lý mật khẩu, chắc chắn bạn đã quên việc quên mật khẩu cho một trang web. Tất cả đều quá phổ biến, đó là lý do tại sao hầu như mọi trang đăng nhập đều bao gồm "Quên mật khẩu của bạn?" liên kết. Một số trang web gửi liên kết đặt lại đến địa chỉ email của bạn, trong khi các trang web khác cho phép bạn đặt lại mật khẩu sau khi trả lời các câu hỏi bảo mật của bạn. Và điều đó mở ra một cánh cửa trở lại cho bất cứ ai muốn hack tài khoản của bạn.
Hầu hết các trang web cung cấp tùy chọn sâu cho các câu hỏi bảo mật. Tên thời con gái của mẹ bạn là gì? Bạn đã đi học trung học ở đâu? Công việc đầu tiên của bạn là gì? Như đã lưu ý, cuộc sống cá nhân của bạn là một cuốn sách mở cho bất kỳ ai có kỹ năng tìm kiếm trên internet. Khi có thể, bỏ qua các câu hỏi đặt trước. Tạo câu hỏi của riêng bạn, với một câu trả lời độc đáo mà bạn sẽ luôn nhớ nhưng không ai có thể đoán được.
Khó hơn khi trang web không cho phép bạn xác định câu hỏi của riêng mình. Trong trường hợp đó, cách tốt nhất của bạn là sử dụng một câu trả lời đáng nhớ đó là một lời nói dối hoàn toàn. Tên thời con gái của mẹ tôi là Obama. Tôi đã đi đến trường tại Trung học Liệt sĩ Cộng sản. Đối với công việc đầu tiên của tôi, tôi là một người thuần phục sư tử. Có một yếu tố rủi ro, vì bạn có thể quên lời nói dối mà bạn đã chọn. Tôi sẽ đề nghị lưu trữ các câu trả lời kỳ quặc này dưới dạng ghi chú an toàn trong trình quản lý mật khẩu của bạn, nhưng nếu bạn đang sử dụng trình quản lý mật khẩu thì nó sẽ nhớ mật khẩu cho bạn.
Làm gì bây giờ mà bạn quan tâm
Tôi hy vọng tôi đã thuyết phục bạn rằng sử dụng mật khẩu phổ biến là một ý tưởng tồi tệ, vì xây dựng mật khẩu từ thông tin cá nhân. Và ngay cả mật khẩu ngẫu nhiên, mạnh nhất cũng trở thành một trách nhiệm nếu bạn sử dụng nó ở mọi nơi. Nếu bạn đã sẵn sàng hành động, đây là một số điểm bắt đầu:
- Sử dụng một trình quản lý mật khẩu.
- Chuyển sang một trình quản lý mật khẩu tốt hơn.
- Ghi nhớ mật khẩu chính an toàn tuyệt đối cho trình quản lý mật khẩu của bạn.
- Tận dụng một trình tạo mật khẩu ngẫu nhiên để nâng cấp mật khẩu cũ, xấu của bạn.
- Bạn thậm chí có thể tạo trình tạo mật khẩu ngẫu nhiên của riêng bạn trong Excel.
- Cho phép xác thực hai yếu tố bất cứ nơi nào có sẵn.
Nếu một trang web an toàn không quan tâm đến bảo mật, bạn vẫn có thể mất thông tin đăng nhập của trang đó vì vi phạm dữ liệu, nhưng bằng cách làm cho tất cả mật khẩu của bạn dài, mạnh và duy nhất, bạn đã làm mọi thứ có thể để bảo vệ tài khoản trực tuyến của mình.
Và này! Bây giờ bạn đang sử dụng, bảo mật, hãy cân nhắc thêm mạng riêng ảo hoặc VPN. Sử dụng mật khẩu mạnh cho các trang web an toàn có nghĩa là những người khác không thể xâm nhập vào tài khoản của bạn; thêm VPN có nghĩa là không có bất kỳ ai có thể chặn kết nối của bạn với các trang web an toàn đó.
