Trước tình trạng nền bảo mật trên thế giới đang ngày càng bị các tin tặc đe dọa nghiêm trọng, thói quen sử dụng một mật khẩu cho tất cả các tài khoản mà bạn đang nắm giữ là một thói quen cực kì nguy hiểm.
Chỉ cần một lần đãng trí không thoát tài khoản khi truy cập mạng ở một địa điểm công cộng hoặc một lần vô tình kích hoạt vi rút, toàn bộ thông tin của bạn rất có thể đã rơi vào tay một tin tặc. Khi đã nắm được mật khẩu của một tài khoản nào đó của bạn, tin tặc sẽ lập tức truy cập và ăn cắp các thông tin trong các tài khoản khác như email, mạng xã hội, diễn đàn, thẻ tín dụng, thẻ ghi nợ, mật khẩu máy tính... Thực sự là một thảm họa !
1. Phần mềm quản lí mật khẩu
KeePass là một ứng dụng điển hình trong số các phần mềm quản lí mật khẩu tốt nhất hiện nay. KeePass là một phần mềm mã nguồn mở hoàn toàn miễn phí cho phép lưu trữ tất cả các mật khẩu bảo mật hiện có của bạn. Toàn bộ dữ liệu sẽ được mã hóa bằng các thuật toán mạnh nhất hiện nay. Việc của bạn là chỉ cần tạo ra một mật khẩu phức tạp nhất có thể cho KeePass và nhớ nó, quá đơn giản và tiện lợi.
Phần mềm: KeePass
Phiên bản: 2.13. Giấy phép: Tự do, Miễn phí
HĐH: Windows 2000/XP/Vista/7/Mobile, OS X, Linux/Unix , HĐH khác/mobile khác, Symbian
Trang chủ: keepass.info
2. Quản lí mật khẩu trực tuyến
Bạn có thể quản lí mật khẩu của mình bằng một ứng dụng trực tuyến mà LastPass là sự lựa chọn số một. LastPass là một ứng dụng miễn phí có hỗ trợ Tiếng Việt. Ứng dụng trực tuyến này sử dụng tốt trên tất cả các hệ điều hành, trình duyệt, thiết bị di động phổ biến hiện nay. Tương tự KeePass, bạn chỉ cần nhớ một mật khẩu đăng nhập duy nhất cho LastPass, toàn bộ dữ liệu của bạn sẽ được bảo mật một cách tốt nhất.
3. Tạo ra một quy luật mật khẩu cho riêng mình
Hai giải pháp quản lí mật khẩu vừa trình bày phía trên chắc chắn sẽ giúp bạn cải thiện rất nhiều độ an toàn cho các mật khẩu của bạn. Tuy nhiên nó vẫn chưa thực sự hoàn hảo. Các mật khẩu hoàn hảo là các mật khẩu mà bạn không bao giờ cần phải viết ra, không bao giờ giống nhau và thậm chí là không bao giờ có sẵn trước khi bạn đăng kí một tài khoản mới.
Không có gì là hoàn hảo tuyệt đối được cả! Tuy nhiên sau đây là phương pháp đặt mật khẩu hoàn hảo hơn rất nhiều so với các cách thông thường mà bạn vẫn làm. Đó là tạo ra một quy luật cho mật khẩu của mình.
Đầu tiên bạn cần tạo một mật khẩu cơ bản bao gồm cả chữ cái, chữ số và kí tự đặc biệt. Hãy bảo đảm rằng mật khẩu cơ bản này có tối thiểu 8 kí tự và tránh các thông tin quen thuộc của bạn như là tên tuổi, quê quán...
Ở đây, xin ví dụ mật khẩu cơ bản là: Th0ngT!nC0ngNghe - Một biến tấu của cụm từ ThongTinCongNghe với chữ "o" đổi thành số "0", chữ "i" đổi thành dấu chấm than "!". Khá phức tạp mà lại rất dễ nhớ với người tạo ra nó.
Tiếp theo là bước tạo ra một quy luật sao cho với mỗi website hoặc dịch vụ khác nhau ta có các mật khẩu khác nhau. Tùy vào khả năng của mỗi người mà chúng ta tạo ra những quy luật có độ phức tạp khác nhau. Trong trường hợp này xin ví dụ một quy luật sau: ghép chữ cái đầu tiên và chữ cái thứ ba của tên miền mà bạn đang đăng kí lại, sau đó đặt nó vào giữa mật khẩu cơ bản.
Cụ thể là đối với website thongtincongnghe.com, ghép chữ cái đầu tiên và thứ ba của tên miền lại ta có cụm từ "to". Đặt cụm từ này vào giữa mật khẩu cơ bản ta có mật khẩu cuối cùng là "Th0ngT!ntoC0ngNghe". Áp dụng quy luật trên, ta sẽ có mật khẩu của facebook.com sẽ là "Th0ngT!nfcC0ngNghe", mật khẩu softvnn.com sẽ là "Th0ngT!nsfC0ngNghe".
Quy luật của bạn có thể là ghép các chữ cái 1-2-3, 1-3-5, 2-4-6 hoặc phức tạp hơn nữa tùy vào khả năng tư duy của bạn. Phương pháp này tuy rằng nghe có vẻ đơn giản nhưng sẽ giúp bạn bảo mật cực kì hiệu quả mà lại rất dễ nhớ đối người tạo ra quy luật. Ít ra, nó gần như là hoàn hảo so với cách đặt một mật khẩu cho tất cả mà chúng ta thường làm.
Theo PC World
Bình luận
Phần mềm Keepass có rồi thì phải?
Minh đã dùng KeePass, 1password (khi chuyển sang Mac) và giờ là Lastpass. Đều rất tốt. Còn về đặt mật khẩu, chỉ cần dài là đủ, và đừng chọn cụm từ có nghĩa. Thí dụ "nuoc thong nghe troi" cực kì an toàn (hơn cả mk 8 kí tự có cả chữ, số và kí tự đặc biệt)
Thực ra cụm từ Thong Tin Cong Nghe có nghĩa chỉ với người Việt, còn ngoài ra nó là vô nghĩa với bất cứ từ điển dò pass nào khác nên cũng rất an toàn.
Hôm qua mình vừa viết bài này, sáng nay đã thấy tin LassPass bị hacker ghé thăm
"thong tin cong nghe" là 2 từ ghép lại, nên dùng nó thì kém an toàn hơn là dùng 4 từ ngẫu nhiên
Dù sao vẫn an toàn hơn là mật khẩu "aGs4$xw" (ngồi tính là ra).
LastPass bị hacker thăm hôm kia, làm mình loay hoay với vụ mật khẩu
"thong tin cong nghe" đúng là do 2 từ ghép lại thật nhưng không có phần mềm nào dò pass theo từ điển TV nên mật khẩu này coi như 4 từ vô nghĩa ghép lại
Nếu so sánh thì "thong tin cong nghe" làm sao an toàn bằng "th0ng t!n c@ng ngh3"
Mà theo mình nghĩ chẳng có mật khẩu nào là hoàn hảo được cả
kể cả các thiết bị tạo pass OTP của ngân hàng, kiểu gì nó cũng phải có quy luật đặt pass chứ. Mà đã có quy luật thì tức là có thể tìm ra được quy luật.
@Che Chơn, sao lại không có mật khẩu hoàn hảo nhỉ? Nếu đặt ra một quy luật không giống ai thì mật khẩu của bạn hoàn hảo rồi còn gì? (quy luật không giống ai rồi thì tìm ra kiểu gì).
Như mình đã nói ở trên, đã có quy luật tức là sẽ có cách tìm ra quy luật. Hiểu một cách đơn giản thì một bài toán mà không vô nghiệm thì kiểu gì cũng tìm được nghiệm, tuỳ vào trình độ người giải bài toán mà thôi.
Đến OTP hacker còn tìm ra được quy luật để phá được nữa là các loại password thông thường
Mình nghĩ dùng Vietkey gõ Pass thì rất ok, đặt pass mà có dấu tiếng Việt thì khi dò pass nó hiện ra cũng chẳng biết chữ gì.Bon nước ngoài thì nó chẳng biết của nước nào luôn
Đa phần các site chỉ cho đặt mật khẩu giới hạn trong các chữ cái, chữ số và kí tự latinh. Chứ nếu như tất cả các tài khoản trên thế giới đều không giới hạn ký tự thì mình bốc mỗi kí tự của một nước cho đủ 8 thì tìm đến mấy kiếp sau mới ra
VD: áðա이הдबñ
???
Giải pháp bảo vệ mật khẩu mà toàn là dùng phần mềm thứ 3 và gom tất cả mật khẩu vào cái phần mềm chỉ có 1 mật khẩu đó, nếu bị mất mật khẩu đăng nhập vào phần mềm thì không phải là mất hết tất cả sao ?
Mật khẩu thì chỉ cần dài khoảng 10-15 ký tự, gồm chữ, số và ký tự đặt biệt là đủ "strong" rồi. Nhớ hôm trước có đọc bài "Hacker mất bao lâu để phá mật khẩu", các bác tính hộ xem hacker mất bao lâu để phá mật khẩu như trên ?
"Hacker mất bao lâu để phá mật khẩu" - article/22148
Bạn chưa hiểu vấn đề rồi
Nếu theo ý bạn là sử dụng 1 mật khẩu an toàn cho tất cả các tài khoản trực tuyến thì chính là cách đặt mật khẩu thông thường hiện nay và là phương pháp bảo mật cấp thấp. Có rất nhiều rủi ro cho cách này, mình đơn cử một trường hợp là bất cứ admin site nào cũng có thể ăn cắp mật khẩu của bạn nếu cần, mất 1 là bạn mất hết. Hoặc gần đây bạn có nghe nói đến vụ scandal Sony bị hack tới 77 triệu tài khoản người dùng không ? Họ đang cong mông lên đổi từng cái mật khẩu chỉ vì đặt giống nhau đấy.
Chưa kể đặt giống nhau có cái bất tiện riêng, ví dụ đôi khi vì một lý do sức khỏe hay vắng mặt mà bạn bắt buộc phải bàn giao tài khoản cho một ai đó để nhờ check mail làm một việc gì đó. Trong khi ngay cả vợ con mình còn có những điều giữ kín và khó nói nữa là người ngoài, sao có thể trao cho họ một chiếc chìa khó có thể mở được tất cả đời tư của mình ?
Sử dụng phần mềm thứ 3 có rất lợi.
1. Nó lưu tất tần tật các mật khẩu khác nhau của các tài khoản của bạn vào một vị trí. Bạn không phải lo lắng mỗi khi cần share cho ai một password nào đó hoặc không phải lo lắng khi một tài khoản nào đó bị hack.
2. Phần mềm bên thứ 3 (ví dụ như LastPass) có addon hỗ trợ mọi hệ điều hành, mọi trình duyệt, mọi thiết bị di động, bạn sẽ được đăng nhập tự động vào các site dù ở bất cứ nơi đâu.
3. Phần mềm bên thứ 3 sử dụng các biện pháp mã hóa và bảo mật mạnh nhất hiện tại. Bạn không phải lo lắng về hack.
4. Chuyện mất mật khẩu master (mật khẩu của phần mềm thứ 3) là rất khó vì phần mềm thứ 3 luôn có bản portable và các addon hỗ trợ.
Dĩ nhiên là nó cũng có khuyết điểm nhưng mình cũng đã nói, không có phương pháp nào là hoàn hảo cả :)
???
Cái tiêu đề của bác là "bảo vệ" nhưng nội dung chả tí gì là bảo vệ, nếu bác để "lưu trữ" thì có vẻ hợp lý hơn.
1. Bác bảo mật khẩu an toàn là chưa từng được viết ra mà cái phần mềm thì nó hiển thị ra (dù được mã hoá) rồi còn đâu, còn tự nhớ trong đầu thì có phải là "chưa từng được viết ra" không ? Cái nữa là em không nói dùng 1 mật khẩu cho tất cả tài khoản, mà chỉ cần đặt mật khẩu theo kiểu chữ + số + ký tự đặt biệt là đủ an toàn rồi, cần quái gì phần mềm cho mệt, còn quy tắc đặt như thế nào là tuỳ người.
2. Tự động đăng nhập thì càng dễ chết, cho thằng bạn mượn cái máy tính hay điện thoại, vô tình nó vào tài khoản của mình luôn. Đó là nói về khía cạnh bảo mật ấy nhé, vì tất nhiên thằng bạn thì không làm như thế rồi.
3. Biện pháp mã hoá và bảo mật "mạnh nhất hiện tại" là cái nào, bác nói em nghe thử xem. MD5 hay SHA1 hay RSA hay DSA, .... em cũng biết sơ sơ vài cái nhưng chưa biết cái nào "mạnh nhất" hiện tại, hy vọng được bác chỉ giáo. Bác cho em cái website nói về cơ chế bảo mật của mấy phần mềm này càng tốt.
4. Không hiểu phần mềm có portable và addon hỗ trợ với việc khó mất mật khẩu liên quan như thế nào, bác chỉ bảo em biết với.
Em chỉ đưa ra những ý kiến để nói rằng việc "an toàn" là do chính mình thôi, chỉ cần có trong đầu cái cách đặt mật khẩu thật "strong" nhưng dễ nhớ cùng với quy tắc cho từng tài khoản hay từng diễn đàn là có thể an tâm. Bên cạnh đó còn phải bảo đảm website hay diễn đàn cần có cơ chế mã hoá thật tốt, chứ để khơi khơi kiểu plain-text thì thôi rồi....
Còn phần mềm thứ 3 thì chỉ nên để lưu những từ khoá gợi ý cái mật khẩu (password hint) thì tốt hơn là lưu chính cái mật khẩu.
Em lại nghĩ khác về vấn đề này.
Em thấy việc sử dụng phần mềm hay dịch vụ lưu trữ mật khẩu thông qua một cái mật khẩu chủ là điều nguy hiểm và không cần thiết.
Nguy hiểm là nếu mất nó (vì lí do gì đó) thì sẽ mất hết các mật khẩu con khác, không cần thiết là vì thực sự có bao nhiêu mật khẩu ta cần bảo vệ.
Chẳng hạn, các mật khẩu diễn đàn, các web con con mà chúng ta chỉ đơn thuần có để log vào tám dóc hoặc đọc bài viết, hoặc các mail linh tinh dùng để đăng kí free key chẳng hạn em nghĩ cứ gom 1 mật khẩu thật dễ, tên mình luôn cũng không sao, vì không ai (trừ bạn thân hoặc vợ mình) muốn mật khẩu đó, các hacker càng không thèm đến.
Một số mật khẩu khác cần bảo vệ (không nhiều)thì tự đặt cho mình một mật khẩu khó khó xíu nhưng vẫn dễ nhớ, tham khảo bài "mất bao lâu để hacker phá mật khẩu" ấy (đừng chọn mấy cái nỗi tiếng nhé). Chỉ 2-3 mật khẩu em nghĩ vấn đề nhớ không khó, vì mình tự đặt theo quy luật riêng.
Qua vụ Lastpass cho thấy, rõ ràng gom vô một dịch vụ chưa chắc đã an toàn, "không có gì là không thể", thảm hoạ thật sự khi mật khẩu chủ rơi vào tay hacker.
Giả sử như em có dùng dịch vụ đó, thì mật khẩu chủ thực ra em cũng đặt với độ khó tương tự mật khẩu email chính thôi (chứ khó nữa sao mà nhớ). Vậy thì thay vì hacker phải phá đến 2-3 "mật khẩu chủ", thì họ chỉ cần thịt một cái để có được 2-3 cái kia, cách nào lợi hơn?
Giới hạn giữa forum "linh tinh" và "nghiêm túc" cũng khó cụ thể. Dùng chung thì nhiều khi ai đó đoán được (hoặc admin website đó chơi xấu) cũng khá phiền.
Còn dùng dịch vụ/phần mềm quản lí, có cái mật khẩu chủ thì khả năng hack = 0 nếu mật khẩu đó chừng 10 kí tự và có kí tự đặc biệt, cho dù FBI muốn giải mã cũng không nổi.
???
Nói như bác thì làm sao biết được mấy phần mềm này có spyware hay không ?
Có những điều tuy mình không đủ khả năng để kiểm chứng nhưng có thể thừa nhận như một chân lý chứ
Ví dụ như chả cần test tôi cũng biết Windows 7 tải từ trang chủ Microsoft không có spyware. Chả cần test, tôi hoàn toàn tin tưởng Kaspersky, Norton, AVG, Avast...
Cộng đồng công nhận là mình có thể sử dụng được rồi
???
Bác mới nói ở trên là SONY bị hack mấy chục triệu tài khoản, vậy cho em hỏi có thành viên nào của SONY nghĩ là SONY sẽ bị hack không ? Em đang nói về việc mấy cái phần mềm đó có thể bị hack hoặc vi rút nào đó có thể lấy cắp các mật khẩu từ phần mềm này chứ không nói nhà phát triển cài spy vào. Nhưng mà hình như microsoft, apple, google, hay samsung gì gì đó cũng có cài spy vào sản phẩm thì phải
Nói đi nói lại, người dùng phải nâng cao kiến thức và chọn giải pháp bảo vệ mật khẩu cho phù hợp chứ không nhất thiết sử dụng giải pháp đã được đưa ra trên đây. Quan trọng là các bạn cần tự xây dựng giải pháp cho mình (có thể kết hợp một vài giải pháp trên chẳng hạn)...