Chuyên gia bảo mật Hiếu PC khuyến cáo cách đặt mật khẩu an toàn

Chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC)

Đặt mật khẩu quá dễ đoán

Theo nghiên cứu gần đây nhất được công bố năm 2024 của công ty an ninh mạng NordPass, thông qua phân tích các vụ lộ lọt dữ liệu tại 44 quốc gia, thì các mật khẩu được người dùng thường xuyên sử dụng: 123456, 111111, 123123...

Nhìn vào danh sách công bố, có thể thấy phần lớn các mật khẩu đều sử dụng chuỗi ký tự theo thứ tự xuất hiện trên bàn phím. Cách đặt mật khẩu này là sai lầm nghiêm trọng, gần như chắc chắn sẽ khiến hacker dễ dàng đoán ra mật khẩu và xâm nhập đánh cắp dữ liệu.

Đây là những điều đầu tiên mà hacker sẽ thử khi cố gắng truy cập vào một tài khoản. Trên thực tế, hacker thường sở hữu các tập lệnh tự động mà chúng có thể sử dụng như một cuộc tấn công brute-force (thử các chuỗi mật khẩu để tìm ra mật khẩu đúng - PV ) với tất cả các mật khẩu phổ biến nhất chỉ trong vài giây.

Các xu hướng đặt mật khẩu phổ biến khác

Cũng theo NordPass, người dùng có xu hướng sử dụng tên động vật hoặc các môn thể thao để đặt mật khẩu, chẳng hạn như khỉ, rồng và kỳ lân; bóng chày, bóng bầu dục và bóng đá.

Ngoài các từ và số thông dụng, mọi người có xu hướng sử dụng thông tin nhận dạng trong mật khẩu của họ. Điều này có thể bao gồm một phần tên của họ, thành phố hiện tại hoặc nơi sinh, ngày sinh hoặc năm sinh của họ.

Chuyên gia bảo mật khuyến cáo

Ảnh minh họa

Theo chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), người dùng không nên đặt mật khẩu kiểu như 123456, password, tên người thân, ngày sinh hay số điện thoại. Những mật khẩu này rất dễ bị kẻ xấu dò ra chỉ trong vài giây bằng công cụ tự động.

Khi đặt mật khẩu, người dùng nên đặt mật khẩu dài và ngẫu nhiên. Một mật khẩu mạnh nên có ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Ví dụ: dR8^mK3!pV7z@qW0.

Cũng theo chuyên gia Hiếu PC, người dùng không nên sử dụng chung một mật khẩu cho nhiều tài khoản. Khi một dịch vụ bị lộ dữ liệu, kẻ xấu có thể dùng mật khẩu đó để truy cập vào các tài khoản khác của người dùng. Đây gọi là “credential stuffing”, một trong các kỹ thuật tấn công phổ biến hiện nay.

Chuyên gia khuyến cáo người dùng nên sử dụng xác thực hai yếu tố (2FA). Dù mật khẩu có mạnh tới đâu, nếu không bật 2FA thì vẫn có nguy cơ bị đánh cắp. Sử dụng Google Authenticator, Authy, Microsoft Authenticator để thực hiện xác thực hai yếu tố thay vì tin nhắn SMS.

Ngoài ra, nên sử dụng các phần mềm quản lý mật khẩu như Bitwarden, 1Password, Dashlane, KeePassXC. Các phần mềm này sẽ giúp người dùng tạo và lưu trữ hàng trăm mật khẩu mạnh, khác nhau cho từng dịch vụ; Tự động điền mật khẩu an toàn, tránh gõ tay hoặc copy-paste; Đồng bộ dữ liệu an toàn giữa nhiều thiết bị.

Cuối cùng, chuyên gia Hiếu PC khuyến cáo người dùng không lưu mật khẩu trong trình duyệt hay lưu vào ứng dụng ghi chú trong điện thoại, bởi vì trình duyệt có thể bị khai thác, còn ghi chú thì không được mã hóa.

Người dùng có thể vào trang https://haveibeenpwned.com/ để kiểm tra email của họ có nằm trong các vụ lộ dữ liệu hay không, và thay mật khẩu nếu cần.

Đăng Khoa