Nếu bạn sử dụng password ngắn, hoặc có chứa thông tin cá nhân, bạn chẳng khác gì đang mời chào người khác hack mình. Trong bài viết này, chúng ta sẽ điểm qua những sai lầm nghiêm trọng mọi người cần tránh khi đặt password.
Password yếu là một vấn đề rất phổ biến mà nhiều người gặp phải nhưng vấn mặc kệ, dù rằng nó khiến bạn đứng trước những nguy cơ bảo mật rất lớn, và bạn thực sự nên đưa ra những lựa chọn nghiêm túc khi đặt password.
Bảo vệ tài khoản trực tuyến bằng những password yêu giống như ra khỏi nhà nhưng không khoá cửa. Có thể bạn may mắn chưa bị trộm ghé thăm, nhưng không có nghĩa bạn nên bỏ qua "tấm khiên bảo vệ" mà các loại ổ khoá mang lại.
Mỗi năm, các công ty bảo mật lại công bố dữ liệu về những password phổ biến nhất thế giới. Họ thu được thông tin này từ các vụ xâm nhập dữ liệu, và điều đó cho phép họ biết được những thông tin mà lẽ ra phải được người dùng cất giấu thật kỹ.
Thứ tự về mức độ phổ biến của các password thay đổi mỗi năm, nhưng có những password rất phổ biến luôn hiện diện:
Rõ ràng, những password nêu trên quá lộ liễu. Sử dụng chúng chẳng khác gì không đặt password! Bất kỳ ai muốn bẻ khoá tài khoản của bạn cũng sẽ thử những password đơn giản như vậy trước tiên - hợp lý thôi, đó là những password phổ biến nhất mà.
Tuy nhiên, nếu bạn nghĩ mình an toàn vì password đã đặt không nằm trong danh sách, đừng vội mừng. Những password trên được xem là yếu bởi chúng là điển hình của những password dễ bị hack, và hoàn toàn có khả năng password của chính bạn cũng vậy.
Nhiều trong số các password phổ biến nhất là các biến thể của dãy số liên tiếp. Những password như 123456 và thậm chí là 1234567890 đều không hề bảo mật. Có lẽ người ta sử dụng những password này bởi chúng rất dễ gõ, chỉ cần chạy ngón tay từ trái sang phải, dọc theo hàng phím số là xong.
Điều tương tự cũng đúng với các password như qwerty và qwertyuiop. Không, đó không phải một chuỗi ký tự ngẫu nhiên, mà là một dãy phím trên bàn phím của bạn đấy.
Nên nhớ dù một password có thể dễ nhớ với bạn, chúng không nên dễ đoán như vậy. Rất nhiều người quên mất điều này và không nghĩ rằng sử dụng một password chỉ mất 5 giây để đoán ra sẽ chẳng được ích lợi gì.
Đối với các password phổ biến như vậy, hacker không cần đến bất kỳ phần mềm crack, hay cũng không cần đánh cắp password của bạn từ một vụ xâm nhập. Nếu ai đó dò ra password của bạn từ danh sách 50 password phổ biến nhất, thì password đó xứng đáng bị bỏ đi.
Thật đáng ngạc nhiên khi password password được sử dụng khá rộng rãi. Rất nhiều thiết bị, như các router không dây, sử dụng password làm password mặc định. Tuy nhiên, hầu hết các thiết bị này cũng đưa cảnh báo rằng bạn cần thay đổi password mặc định thành thứ gì đó bảo mật hơn một khi đã đăng nhập xong.
Nhưng nhiều người khá lười, hoặc quên mất việc phải thay đổi password mặc định. Nếu bạn sử dụng password mặc định, chỉ mất vài giây để người khác xâm nhập được vào mạng Wi-Fi nhà bạn. Trên internet hiện có khá nhiều website chuyên đăng tải password mặc định của các mẫu router, cho phép mọi người truy cập và xem miễn phí.
Do đó, mỗi khi mua một thiết bị hay tài khoản mới và được trao một username và password mặc định (như admin/password), hãy tự bảo vệ lấy mình và thay đổi nó ngay lập tức nhé. Các password mặc định giống như những chiếc ổ khoá han gỉ mà ai cũng có thể tháo ra khỏi cánh cổng nhà bạn!
Một trong những đặc tính quan trọng nhất của một password mạnh là độ dài của nó. Mỗi ký tự thêm vào - dù là chữ, số, hay ký hiệu - đều góp phần làm password trở nên khó đoán hơn và khó bị hack hơn.
Hãy hình dung một cách đơn giản như thế này: nếu ai đó có một password chỉ 1 ký tự và bạn có vô số cơ hội để bẻ khoá, thì có lẽ bạn chỉ cần vài phút để thử mọi lựa chọn trên bàn phím. Tăng số ký tự lên 2, bạn sẽ phải tốn thêm thời gian để tìm ra cả hai ký tự. Và bởi có hàng ngàn cách kết hợp các ký tự với nhau, bạn sẽ mất rất rất lâu mới có thể tự mình bẻ khoá một password nhiều ký tự.
Điều tương tự cũng đúng với các biện pháp bẻ khoá password cao cấp. Một người có phần mềm để bẻ khoá password theo kiểu brute-force (thử mọi cách kết hợp ký tự có thể) sẽ có khả năng bẻ khoá một password ngắn từ 6 - 8 ký tự khá nhanh gọn. Tuy nhiên, với một password 16 ký tự hoặc hơn, sẽ tốn nhiều thời gian hơn hẳn để phần mềm chạy hết mọi cách kết hợp ký tự khả thi.
Nếu có thể, hãy đặt password thật dài, tối thiểu 12 ký tự, hoặc dài hơn nếu được phép. Bằng cách này, bạn sẽ khiến thủ thuật bẻ khoá password bằng brute-force trở nên vô hiệu.
Nếu có thể, hãy đặt password thật dài, tối thiểu 12 ký tự.
Độ dài password không phải là yếu tố quan trọng duy nhất quyết định độ mạnh của nó. Thêm vào các ký tự viết hoa và viết thường, cùng số và ký hiệu, sẽ giúp bạn tối đa hoá số lựa chọn khả thi đối với mỗi ký tự trong password.
Nếu bạn chỉ sử dụng các ký tự viết thường, bạn có 26 lựa chọn khả thi đối với mỗi ký tự. Với một password 8 ký tự, số cách kết hợp khả thi là 26^8 (khoảng 208,8 tỷ).
Tuy nhiên, nếu bạn sử dụng các ký tự viết thường, ký tự viết hoa, và số, thì số lựa chọn khả thi đối với mỗi ký tự sẽ là 62. Cũng với một password 8 ký tự, số cách kết hợp khả thi sẽ tăng lên đến 62^8 (khoảng 218,3 nghìn tỷ).
Đó là một sự khác biệt cực cực cực kỳ lớn, và đừng quên rằng bạn còn hàng tá ký hiệu có thể đưa vào password nữa!
Nhìn lại danh sách các password phổ biến nhất ở trên, không password nào có ký hiệu cả, và đó chẳng phải điều trùng hợp đâu. Kết hợp đủ loại ký tự, password của bạn sẽ rất khó bị bẻ bằng brute-force. Nếu cần giúp đỡ, hãy sử dụng một công cụ kiểm tra độ mạnh của password như Security.org cung cấp để xem máy tính mất bao lâu mới bẻ được password của bạn.
Kết hợp đủ loại ký tự, password của bạn sẽ rất khó bị bẻ bằng brute-force.
Khi bạn thêm số và ký hiệu vào password, có một vấn đề bạn cần chú ý. Nếu password có chứa những từ hoàn chỉnh, đừng bao giờ tráo ký tự bằng những con số hoặc những ký hiệu đơn giản.
Ví dụ: nếu password của bạn là cableCABLE, đừng thay a bằng @, I bằng 1, A bằng 4, và E bằng 3. Bạn có thể cho rằng password thu được (c@b1eC4BL3) sẽ mạnh hơn nhiều so với password gốc, nhưng có thể bạn sai rồi.
Những kẻ chuyên bẻ khoá password biết bạn thích làm điều đó, vì vậy nếu ai đó tìm cách xâm nhập vào tài khoản của bạn, chúng sẽ thử cách tráo ký tự nói trên. Đó là lý do tại sao bạn nên đặt password với cấu trúc càng ngẫu nhiên càng tốt.
Ví dụ: một cấu trúc password phổ biến với 8 ký tự sẽ là 1 ký tự viết hoa, tiếp đó là 5 ký tự viết thường, và cuối cùng là 2 con số. Password Daniel87 có cấu trúc phổ biến này. Dù nó không thực sự mạnh bởi bao gồm tên người trong đó, nhưng nếu chuyển thành dan8iEl7, mọi chuyện sẽ khác, bởi lúc này cấu trúc password đã không còn đoán được nữa.
Ở các phần trên, chúng ta chủ yếu tập trung vào cách bảo vệ password của bạn khỏi bị người khác bẻ khoá. Tuy nhiên, password của bạn vẫn có thể bị can thiệp bằng cách...đoán.
Chính vì vậy, mỗi khi bạn định đặt password mới, đừng bao giờ đưa thông tin cá nhân vào đó. Một password tốt sẽ không có bất kỳ mối liên hệ nào với người đặt. Rất nhiều người sử dụng password bao gồm thông tin cơ bản về bản thân, như năm sinh, tên thú cưng, hay thứ gì đó mà họ thích.
Những password như vậy vô tình trở nên cực kỳ dễ đoán nếu kẻ xấu là ai đó mà bạn biết (hoặc tìm bạn trên mạng xã hội). Hãy nghĩ lại xem bạn đã chia sẻ bao nhiêu thông tin về chính mình lên mạng, và bạn chắc chắn sẽ giật mình khi quyết định sử dụng những chi tiết đã được nhiều người biết đến đó làm "lá chắn" bảo vệ các tài khoản trực tuyến của mình.
Dù mới nhìn qua, chúng có vẻ phức tạp, những password đặt theo cách bố trí các phím trên bàn phím thực sự không hề mạnh. Bạn không nên sử dụng những mẫu đơn giản quá mức, như 1qaz2wsx, 123qweasd, hay tương tự vậy. Những password này không hề có tính ngẫu nhiên, khiến chúng trở thành một lựa chọn dễ dàng khác cho những người tìm cách đoán password của bạn.
Tuy nhiên, bạn có thể lợi dụng những mẫu password này. Với trí nhớ tốt, bạn có thể nhớ những pasword dài, khó hiểu, không có chút ý nghĩa gì. Chỉ cần đảm bảo chúng đã được "nguỵ trang" và không tuân theo một cách bố trí dễ nhận ra nào trên bàn phím.
Lời khuyên này càng quan trọng hơn trong những tình huống đòi hỏi mã PIN chỉ gồm các con số. Dù bạn dùng mã PIN để bảo vệ smartphone hay thẻ ATM, đừng sử dụng những mẫu cơ bản như 1379 (4 góc của bàn phím số), hay 2580 (cột giữa của bàn phím số).
Một mã PIN 4 số chỉ có 10.000 cách kết hợp, do đó bạn nên chọn một mã PIN dài hơn nếu có thể. Nhưng trong bất kỳ trường hợp nào, đừng sử dụng một khuôn mẫu quá dễ nhận diện để bảo mật tài khoản.
Rất khó để làm theo mọi quy tắc đã nêu trên đối với mọi tài khoản bạn cần bảo vệ. Đây là lúc xuất hiện một vấn đề phổ biến khác khi đặt password: sử dụng cùng một password cho nhiều tài khoản. Nếu ai đó đoán ra được password của bạn trên một website, họ sẽ thử nó ở khắp mọi nơi!
Giải pháp tốt nhất là sử dụng một trình quản lý password. Những ứng dụng này cho phép bạn tạo ra những password hoàn toàn ngẫu nhiên, với độ dài theo ý thích, và khoá chúng lại trong một "két sắt" mà chỉ có bạn mới mở được bằng một password chính duy nhất. Chỉ cần đặt password chính đủ mạnh, và bạn sẽ không cần nhớ thêm bất kỳ password nào khác.
Một trình quản lý password sẽ giúp bạn trút bỏ mọi lo lắng khi cố gắng tìm ra những password đủ mạnh mà vẫn dễ nhớ.
Tìm hiểu những vấn đề phổ biến nhất khi đặt password, bạn sẽ có thể cải thiện được kỹ năng đặt password của chính mình. Hãy tránh phạm phải những sai lầm đã khiến nhiều người phải "ngậm đắng nuốt cay" vì password bị bẻ khoá, từ đó giúp bản thân không gặp số phận tương tự.
Và nên nhớ rằng, kể cả những password mạnh mẽ nhất cũng sẽ không thể bảo vệ được tài khoản của bạn nếu nó xui xẻo là nạn nhân của một lỗ hổng bảo mật. Đó là lý do tại sao bạn nên sử dụng xác thực hai yếu tố ở mọi nơi có thể để tạo thêm cho mình một bức tường phòng thủ nữa.