Cùng với sự phổ biến của công nghệ và Internet, ngày nay mật khẩu được sử dụng thường xuyên và đóng vai trò quan trọng trong việc bảo mật thông tin người dùng.
Chuyên gia Lê Hoàng Việt, mentor Đại học trực tuyến FUNiX, mentor môn học Trở thành công dân số chia sẻ một số thông tin giúp bạn đọc hiểu đúng về mật khẩu, cách đặt mật khẩu mạnh và đảm bảo an toàn cho mật khẩu của mình.
Hai lỗi dùng mật khẩu phổ biến
Dùng mật khẩu quá đơn giản là lỗi đầu tiên nhiều người mắc phải. Họ chưa ý thức được tầm quan trọng của việc đặt mật khẩu mạnh để đảm bảo an toàn mà vẫn dùng mật khẩu đơn giản như "123456", tên, ngày sinh nhật, số điện thoại...
Dùng chung mật khẩu cho tất cả các tài khoản cũng là một việc thiếu an toàn. Ngày nay, do phải dùng nhiều dịch vụ mạng mà ngại ghi nhớ nên nhiều người chọn cách sử dụng chung một mật khẩu cho hầu hết các tài khoản. Theo cách này, nếu bị đánh cắp mật khẩu, hàng loạt tài khoản của bạn có thể bị lộ.
Đổi mật khẩu định kỳ nhưng chưa hẳn hiệu quả
Nhiều tổ chức yêu cầu thay đổi định kỳ mật khẩu các tài khoản, thậm chí mật khẩu mới không trùng với 2-3 mật khẩu dùng trước đó. Cách làm này nhằm ngăn việc mật khẩu của bạn bị lộ khi ai đó theo dõi trong một thời gian dài trước khi họ hành động
Tuy nhiên, quy định này hiện nay chưa thực sự hiệu quả. Nhiều người cảm thấy phiền phức, mất thời gian, đối phó.
Các tổ chức lớn hiện áp dụng phương pháp bảo mật 2 lớp để bảo vệ tài khoản cho người dùng và chỉ yêu cầu khách hàng đổi mật khẩu khi có một sự kiện bảo mật xảy ra như có sự cố trên toàn hệ thống hoặc khi hệ thống cập nhật tính năng mới.
Bí quyết bảo vệ mật khẩu
Luôn sử dụng mật khẩu và đặt mật khẩu mạnh
Mật khẩu mạnh là mật khẩu nên có tối thiểu 8 ký tự, kết hợp giữa chữ cái (hoa và thường), chữ số và các ký tự đặc biệt, ví dụ: !@#$%^&*().
Có nhiều cách để đặt mật khẩu mạnh, ví dụ đặt mật khẩu từ những câu đơn giản, sau đó thay thế một vài ký tự bằng ký tự đặc biệt. Ví dụ dùng tên bài hát "Nguoilaoi" làm mật khẩu, bạn nên thay đổi một số ký tự để có mật khẩu mạnh như: "Ngu0ila0i" hoặc "Ngu0ila0!"…
Đặt mật khẩu riêng cho từng dịch vụ
Bạn nên tạo nhiều mật khẩu mạnh, nhất là các dịch vụ quan trọng như email, ngân hàng, đồng thời áp dụng các biện pháp như bảo mật 2 lớp cho các dịch vụ có tính năng này.
Bảo vệ hai lớp khi lưu mật khẩu trên máy tính
Khi sử dụng nhiều mật khẩu và mật khẩu có độ phức tạp, nhiều người dùng chức năng nhớ mật khẩu trên trình duyệt như Chrome, Safari… để lưu trữ các mật khẩu đã đăng nhập. Nếu làm điều này, bạn cần nhớ chỉ lưu mật khẩu tại thiết bị cá nhân, không lưu tại máy tính công cộng. Bạn cũng cần đặt cả mật khẩu cho máy tính, điện thoại để nếu không may bị mất thiết bị, bạn vẫn còn một lớp bảo vệ nữa cho những mật khẩu đã lưu ở trình duyệt.
Nâng cao ý thức bảo mật
Con người là mắt xích yếu nhất trong hệ thống bảo mật. Một trong những cách tấn công phổ biến nhất vào mắt xích này là bằng các biện pháp tâm lý xã hội (social hacking). Nếu người dùng sơ hở trong bảo mật thì sử dụng mật khẩu mạnh hay bảo mật 2 lớp cũng không có tác dụng.
Dưới đây là 2 tình huống bị lừa lấy mật khẩu do rơi vào "bẫy" tâm lý kiểu này.
Trường hợp 1: Khách hàng gặp vấn đề khi thanh toán với một ví điện tử và vào trang Facebook của Ví điện tử để khiếu nại. Tài khoản Facebook có tên "Hỗ trợ" với ảnh đại diện là logo Ví điện tử kết bạn với khách hàng đề nghị giúp đỡ. Tài khoản này yêu cầu khách hàng gửi thông tin tài khoản (số điện thoại, mật khẩu) rồi đề nghị khách hàng thoát ra, đăng nhập lại. Tài khoản tiếp tục yêu cầu khách hàng gửi mã OTP để kiểm tra trên hệ thống.
Ở đây, hacker đã đánh trúng tâm lý mong được hỗ trợ nhanh chóng của khách hàng để chiếm tài khoản. Sau khi cung cấp cả tài khoản, mật khẩu và mã OTP cho hacker, tiền trong tài khoản của khách hàng bị đánh cắp.
Trường hợp 2: Chị B - một đại lý bán vé máy bay cá nhân được khách hàng chat Facebook đề nghị mua vé và thanh toán qua dịch vụ nhận tiền từ nước ngoài. Chị B nhận được tin nhắn từ tổng đài Info của dịch vụ nhận tiền, thông báo đã có tiền chuyển về, kèm theo liên kết yêu cầu xác nhận tài khoản ngân hàng để nhận tiền.
Sau khi click vào liên kết, đăng nhập vào tài khoản ngân hàng và nhận được mã OTP, chị B được yêu cầu tiếp tục gửi mã OTP để khách hàng hoàn tất chuyển tiền. Ở tình huống này, chị B bị đánh trúng tâm lý chiều khách, đồng thời do không có kinh nghiệm nhận tiền từ dịch vụ nước ngoài nên đã bị hacker giả mạo tổng đài, chiếm tài khoản, mật khẩu qua link giả, sau đó sử dụng mã OTP để đánh cắp tiền từ tài khoản ngân hàng của chị B.
Còn rất nhiều tình huống đánh cắp mật khẩu khác như gửi email cảnh báo virus giả mạo, gửi tin nhắn thông báo trúng thưởng… Bạn không chia sẻ thông tin nhạy cảm (mật khẩu, mã OTP, mã xác minh 2 bước) cho bất kỳ ai, trong bất kỳ tình huống nào dù họ có đưa ra các lý do, mục đích hợp lý như thế nào đi chăng nữa.
Quỳnh Anh