Mật khẩu yếu hoặc lạm dụng việc tái sử dụng mật khẩu hoàn toàn có thể gây hậu quả nghiêm trọng nếu tài liệu của người dùng bị tiến công ngay cả khi sử dụng mật khẩu mạnh. Ví dụ, những tổ chức triển khai / doanh nghiệp đã báo cáo giải trình 5.183 vụ rò rỉ thông tin năm 2019, bật mý thông tin cá thể như thông tin đăng nhập và địa chỉ nhà, từ đó tạo thời cơ cho kẻ xấu lừa đảo hoặc đánh cắp danh tính người dùng. Trong năm 2017, tin tặc đã công bố 555 triệu mật khẩu bị đánh cắp lên trang web đen ( dark web ), mà tội phạm hoàn toàn có thể sử dụng để xâm nhập thông tin tài khoản của người dùng .
Việc bảo vệ an toàn cho mật khẩu hoàn toàn có thể không trọn vẹn ngăn ngừa tài liệu của người dùng bị rò rỉ, nhưng đó là cách trong thực tiễn nhất giúp người dùng giảm thiểu rủi ro tiềm ẩn xảy ra rủi ro đáng tiếc. Dưới đây là 9 quy tắc để tạo, quản trị, bảo vệ an toàn cho mật khẩu và cách nhận ra biết thông tin tài khoản có bị đánh cắp hay không.
Quy tắc 1: Sử dụng trình quản lý mật khẩu để theo dõi mật khẩu
Mật khẩu mạnh có đặc thù dài hơn 8 ký tự, khó đoán, chứa nhiều loại ký tự, số và ký hiệu đặc biệt quan trọng. Những mật khẩu tốt hoàn toàn có thể khó nhớ, đặc biệt quan trọng nếu người dùng sử dụng thông tin đăng nhập riêng không liên quan gì đến nhau cho những website khác nhau ( giải pháp được khuyến nghị ). Đây là nguyên do mà trình quản trị mật khẩu sinh ra. Trình quản trị mật khẩu đáng đáng tin cậy như 1P assword hoặc LastPass hoàn toàn có thể tạo và tàng trữ những mật khẩu dài, mạnh và an toàn cho người dùng, ngay cả trên máy tính hay điện thoại thông minh. Một chú ý quan tâm nhỏ là người dùng vẫn cần ghi nhớ một mật khẩu chính duy nhất để mở khóa tổng thể những mật khẩu khác. Do vậy, hãy bảo vệ rằng mật khẩu chính là mạnh nhất hoàn toàn có thể ( dưới đây sẽ có những hướng dẫn đơn cử ). Thực tế, trình duyệt như Chrome và Firefox cũng có trình quản trị mật khẩu. Tuy nhiên, trang tin TechRepublic lại bày tỏ sự quan ngại về cách những trình duyệt này bảo vệ an toàn cho những mật khẩu tàng trữ và khuyến khích sử dụng ứng dụng chuyên sử dụng thay thế sửa chữa. Các trình quản trị mật khẩu với duy nhất một mật khẩu là tiềm năng lôi cuốn tin tặc và tất yếu những trình quản trị cũng không hề hoàn hảo nhất. LastPass đã vá một lỗ hổng vào tháng 9/2019 hoàn toàn có thể dẫn đến rò rỉ thông tin đăng nhập của người mua. Để giữ uy tín, công ty đã công khai minh bạch minh bạch khai thác này và những bước cần thực thi trong trường hợp bị tiến công.
Quy tắc 2: Ghi thông tin đăng nhập ra giấy
Đề xuất này trông có vẻ như như đi ngược lại với những gì được nghe về bảo mật thông tin trực tuyến. Tuy nhiên, không phải ai cũng muốn sử dụng trình quản trị mật khẩu. Ngay cả những chuyên gia bảo mật số 1 như tổ chức triển khai quốc tế bảo vệ quyền lợi và nghĩa vụ số ( Electronic Frontier Foundation – EFF ) đã khuyến nghị rằng, giữ thông tin đăng nhập trên giấy hoặc sổ ghi chú là một cách hữu hiệu để theo dõi thông tin đăng nhập. Lưu ý, giấy được nhắc đến là giấy thực sự theo cách truyền thống cuội nguồn, không phải tài liệu điện tử như tệp Word hay bảng tính Google, chính bới nếu một ai đó truy vấn máy tính hay thông tin tài khoản trực tuyến của người dùng, họ cũng hoàn toàn có thể truy vấn những file điện tử ghi thông tin mật khẩu. Tất nhiên, cũng hoàn toàn có thể có người đột nhập và lấy được mật khẩu ghi trên giấy, nhưng điều này thường ít xảy ra hơn. Ở công ty hay ở nhà, cần giữ giấy ghi mật khẩu ở nơi an toàn. Giới hạn số người biết nơi để giấy ghi mật khẩu, đặc biệt quan trọng là thông tin đăng nhập những website kinh tế tài chính. Nếu tiếp tục phải đi lại, việc mang theo giấy ghi mật khẩu sẽ mang lại rủi ro đáng tiếc lớn nếu để nhầm hoặc đánh mất.
Quy tắc 3: Phát hiện mật khẩu đã bị rò rỉ hay chưa
Người dùng khó hoàn toàn có thể trọn vẹn ngăn ngừa việc mật khẩu khỏi rò rỉ ra ngoài, hoàn toàn có thể là qua sự cố rò rỉ thông tin, hoặc qua một tiến công ô nhiễm. Nhưng người dùng hoàn toàn có thể kiểm tra những tín hiệu cho thấy thông tin tài khoản hoàn toàn có thể bị xâm phạm bất kể khi nào. Công cụ Firefox Monitor của Mozilla và Password Checkup của Google hoàn toàn có thể cho thấy địa chỉ email và mật khẩu nào của người dùng hoàn toàn có thể bị xâm nhập trong những sự cố rò rỉ thông tin. Từ đó, người dùng biết khi nào cần có những giải pháp hành vi thích hợp. Công cụ Have I Been Pwned cũng hoàn toàn có thể cho biết liệu email và mật khẩu của người dùng đã bị rò rỉ hay chưa.
Quy tắc 4: Tránh những từ và tổ hợp ký tự phổ biến trong mật khẩu
Mục đích trong việc tạo mật khẩu mạnh là để thiết lập một mật khẩu mà không ai khác hoàn toàn có thể biết hoặc thuận tiện đoán được, như tránh xa những cụm từ thông dụng như ” password “, ” mypassword ” và những dãy kí tự dễ đoán như ” qwerty ” hay ” thequickbrownfox “. Ngoài ra, tránh sử dụng tên, biệt danh của chính mình, tên thú cưng, ngày sinh hay ngày kỷ niệm, tên đường phố hay bất kỳ thứ gì tương quan đến người dùng mà ai đó hoàn toàn có thể tìm thấy từ phương tiện đi lại truyền thông online, hay từ những cuộc trò chuyện giữa người dùng với một người lạ.
Quy tắc 5: Sử dụng ít 8 ký tự cho mật khẩu mạnh
8 ký tự là số lượng ít nhất để hoàn toàn có thể tạo một mật khẩu mạnh, nhưng càng dài thì càng tốt. Tổ chức EFF cùng với chuyên gia bảo mật người Mỹ Brian Krebs và nhiều chuyên viên khác, đã khuyến nghị người dùng sử dụng một cụm mật khẩu từ 3 hoặc 4 từ ngẫu nhiên nhằm mục đích tăng tính bảo mật thông tin. Tuy nhiên, cụm mật khẩu dài chứa những từ không có tính liên kết sẽ khiến khó nhớ. Đó là nguyên do mà người dùng nên xem xét sử dụng trình quản trị mật khẩu.
Quy tắc 6: Không tái sử dụng mật khẩu
Cần luôn chú ý quan tâm rằng, việc tái sử sụng mật khẩu cho nhiều thông tin tài khoản khác nhau là một điều nguy cơ tiềm ẩn. Nếu ai đó có được mật khẩu tái sử dụng trên một thông tin tài khoản của người dùng, họ hoàn toàn có thể sử dụng cho những thông tin tài khoản khác mà người dùng tái sử dụng mật khẩu đó. Việc sửa đổi mật khẩu gốc bằng cách thêm tiền tố hoặc hậu tố cũng sẽ dẫn đến mối rình rập đe dọa tựa như. Ví dụ như PasswordOne, PasswordTwo, cả hai mật khẩu này đều kém an toàn. Bằng cách sử dụng một mật khẩu riêng không liên quan gì đến nhau với mỗi thông tin tài khoản, thì tin tặc hoàn toàn có thể xâm nhập một thông tin tài khoản nhưng không hề sử dụng nó với những thông tin tài khoản còn lại của người dùng.
Quy tắc 7: Tránh sử dụng mật khẩu đã bị đánh cắp
Tin tặc hoàn toàn có thể thuận tiện sử dụng những mật khẩu bị đánh cắp hoặc rò rỉ trước đó với công cụ tự động hóa đăng nhập, được gọi là kỹ thuật nhồi thông tin đăng nhập ( credential stuffing ) để xâm nhập thông tin tài khoản. Nếu muốn kiểm tra xem liệu mật khẩu mà người dùng đang có dự tính sử dụng đã bị công khai minh bạch trong web đen trước đó hay chưa, người dùng hoàn toàn có thể truy vấn trang Have I Been Pwned và tìm kiếm.
Quy tắc 8: Không cần thiết lập lại mật khẩu theo định kỳ
Nhiều năm qua, việc biến hóa mật khẩu sau 60 hoặc 90 ngày là một giải pháp được khuyến nghị rất nhiều, với nguyên do đây là thời hạn thiết yếu để mở khóa một mật khẩu. Tuy nhiên, hiện tại, Microsoft đã khuyến nghị rằng, người dùng không cần đổi khác mật khẩu định kỳ trừ khi hoài nghi rằng mật khẩu hoàn toàn có thể đã bị rò rỉ. Lý do là vì phần đông người dùng, nếu bị bắt buộc phải đổi khác mật khẩu vài tháng một lần, sẽ dẫn đến thói quen nguy hại là tạo những mật khẩu dễ nhớ hoặc viết chúng lên giấy ghi chú và dính lên màn hình hiển thị máy tính.
Quy tắc 9: Sử dụng xác thực 2 yếu tố (2FA) nhưng tránh mã tin nhắn văn bản
Nếu tin tặc đánh cắp được mật khẩu, người dùng vẫn hoàn toàn có thể ngăn ngừa tin tặc chiếm quyền truy vấn thông tin tài khoản bằng xác nhận 2 yếu tố ( cũng được gọi là xác định hai bước hoặc 2FA ). Đây là một giải pháp bảo mật thông tin an toàn, nhu yếu người dùng điền thông tin thứ 2 mà chỉ người dùng mới có ( thường là mã dùng một lần ) trước khi ứng dụng hoặc dịch vụ được cho phép người dùng đăng nhập.
Với biện pháp này, ngay cả khi tin tặc có được mật khẩu nhưng không có thiết bị tin tưởng của người dùng (như điện thoại) và mã xác minh để chứng thực rằng đó là người dùng, thì tin tặc sẽ không thể truy cập được vào tài khoản.
Mặc dù, việc nhận mã bằng tin nhắn văn bản trên điện thoại di động hoặc bằng cách gọi điện trực tiếp trên điện thoại thông minh cố định và thắt chặt là thông dụng và thuận tiện, thì việc tin tặc đánh cắp số điện thoại cảm ứng qua kỹ thuật gian lận trao đổi SIM ( SIM swap fraud ) là đơn thuần, từ đó hoàn toàn có thể chặn bắt mã xác nhận. Một cách an toàn hơn nhiều để nhận mã xác nhận là người dùng tự tạo và lấy chúng bằng cách dùng ứng dụng xác nhận như Authy, Google Authentication hoặc Microsoft Authentiacator. Khi đã thiết lập xong, người dùng hoàn toàn có thể chọn ĐK thiết bị hoặc trình duyệt, từ đó người dùng không cần phải xác nhận mỗi lần đăng nhập. Khi nói đến bảo vệ an toàn mật khẩu, thì sự dữ thế chủ động bảo vệ của người dùng là giải pháp tốt nhất, trong đó cần biết được liệu email và mật khẩu của người dùng đã bị rò rỉ hay chưa. Và nếu đã phát hiện tài liệu của mình bị rò rỉ, bài viết sau sẽ hướng dẫn người dùng điều cần triển khai khi tin tặc có được quyền truy vấn thông tin tài khoản ngân hàng nhà nước hoặc thẻ tín dụng thanh toán của người dùng.
Source: https://mindovermetal.org
Category: Ứng dụng hay