Phương pháp bảo vệ mật khẩu

13:50 | 28/06/2018
Đình Quán (Ngân hàng BIDV)

Bài báo giới thiệu về một số cách sử dụng mật khẩu không tốt mà người dùng không nên mắc phải.

Mật khẩu – chiếc chìa khóa vạn năng

Một ngôi nhà thường được bảo vệ với hàng rào, cửa sắt… tuy nhiên kẻ trộm thường không chọn cách khó khăn như phá hàng rào, cửa sắt hay phá ngôi nhà để lấy tài sản của bạn, mà tìm cách lấy được chiếc chìa khóa. Khi có được chìa khóa, việc xâm nhập và đánh cắp tài sản trở nên dễ dàng hơn bao giờ hết.

Mật khẩu là thành phần không thể thiếu để bảo vệ thông tin trước nguy cơ đánh cắp của kẻ xấu. Mật khẩu được sử dụng như là biện pháp bảo vệ bước đầu và rất hiệu quả trong việc bảo vệ tài khoản, thông tin của bạn trên môi trường internet. Do đó, bạn cần phải có ý thức bảo vệ mật khẩu của mình giống như (thậm chí hơn) bảo vệ chiếc chìa khóa nhà bạn.

Những cách tạo và sử dụng “chìa khóa vạn năng”

Dưới đây là một số ví dụ về cách sử dụng mật khẩu không tốt mà người dùng không nên mắc phải:

1. Sử dụng một mật khẩu đơn giản (mật khẩu yếu), điều này cũng giống như bạn sử dụng một chiếc chìa khóa đơn giản cho ngôi nhà của mình. Mật khẩu yếu là mật khẩu được nhiều người sử dụng (thông dụng), dễ dò đoán. Theo thống kê của một số hãng nghiên cứu bảo mật, các mật khẩu thông dụng vẫn được sử dụng rất nhiều, bất chấp những cảnh báo về vấn đề an toàn bảo mật.

Dưới đây là 25 mật khẩu thông dụng (thống kê năm 2017 và 2016), người dùng không nên sử dụng bất kỳ mật khẩu nào giống (hoặc gần giống) với các mật khẩu trong danh sách này.


Bảng 1. Danh sách 25 mật khẩu thông dụng (theo SplashData)

2. Sử dụng chung một mật khẩu cho nhiều tài khoản khác nhau, điều này cũng giống như sử dụng chung một chiếc chìa khóa để mở cửa tất cả các phòng trong nhà, thậm chí dùng để mở cả két an toàn. Do số lượng tài khoản quá nhiều, vượt quá khả năng ghi nhớ của hầu hết mọi người, nên việc chỉ ghi nhớ “một” mật khẩu sẽ dễ dàng hơn. Nhưng người dùng không nên sử dụng cách “ghi nhớ” này.


Biểu đồ 1. Thống kê những mật khẩu được sử dụng nhiều nhất tại Việt Nam
(Thông tin được phân tích từ cơ sở dữ liệu 163 triệu tài khoản Zing ID)

3. Nếu người dùng không thể ghi nhớ được trong đầu vì các lý do: mật khẩu quá phức tạp, quá dài hoặc quá nhiều mật khẩu, thì cách đơn giản là ghi ra đâu đó (tờ giấy, cuốn sổ tay, hay một file được lưu trên máy tính và ẩn giấu nó ở đâu đó). Điều này cũng giống như việc đang giấu chiếc chìa khóa nhà ở chỗ kín nào đó trong nhà… tưởng chừng như an toàn, nhưng ai đó đó thể “vô tình” nhìn thấy nó, khi đó chiếc chìa khóa và cánh cửa trở nên vô dụng trong việc bảo vệ ngôi nhà.

Những rủi ro khi sử dụng mật khẩu yếu

Việc sử dụng mật khẩu theo những cách trên tồn tại rủi ro rất lớn về an toàn bảo mật thông tin, khiến máy tính của tổ chức/cá nhân mất an toàn trước các cuộc tấn công.…

Với sức mạnh tính toán của các hệ thống công nghệ thông tin hiện nay, thì việc tiến hành một cuộc tấn công dò đoán mật khẩu (brute-force attack, dictionary attack) là khá dễ dàng. Nếu người dùng sử dụng mật khẩu yếu, thì kẻ tấn công có thể tìm ra mật khẩu chỉ trong thời gian vài phút.

Mật khẩu cũng rất dễ dàng bị mất, hoặc bị lợi dụng mà người dùng không biết và chỉ biết khi phải xử lý hậu quả do ai đó đã đăng nhập vào tài khoản và thực hiện các hành vi phá hoại.

Sử dụng mật khẩu như thế nào?

Người dùng nên:

- Tạo một mật khẩu mạnh (strong password).

- Đổi mật khẩu ngay ở lần đăng nhập đầu tiên sau khi mật khẩu được cấp mới, hoặc nghi ngờ mật khẩu bị lộ.

- Thay đổi định kỳ mật khẩu sau một khoảng thời gian sử dụng (thông thường là 90 ngày).

Người dùng không nên:

- Không sử dụng lại các mật khẩu cũ khi đổi mật khẩu.

- Không dùng chung một mật khẩu cho nhiều tài khoản, nên phân loại mức độ quan trọng của tài khoản để thiết lập mức độ khó của mật khẩu khác nhau.

- Không chia sẻ hay cung cấp mật khẩu cho bất kỳ ai.

- Không viết mật khẩu ra giấy, ra file (dạng rõ), lưu trong máy tính.

Thế nào là một mật khẩu mạnh?

Mật khẩu mạnh (strong password) theo khuyến cáo của các chuyên gia bảo mật, cần đáp ứng các yêu cầu sau:

- Độ dài tối thiểu: 8 ký tự.

- Có đủ 4 loại ký tự gồm: Chữ hoa, chữ thường, chữ số và ký tự đặc biệt.

- Không dùng, hoặc chứa các mật khẩu yếu, mật khẩu thông dụng, ví dụ như: 123456, password, abc@123, 123abc.

- Mật khẩu không nên sử dụng các từ ngữ trong từ điển, hoặc các thông tin cá nhân (tên người, ngày/tháng/năm sinh, số điện thoại, địa chỉ, …) của người sở hữu để tạo mật khẩu.