Cách Tạo Mật Khẩu Bảo Mật Thực Sự Hiệu Quả

Tìm hiểu cách tạo mật khẩu an toàn với hướng dẫn của chúng tôi. Chúng tôi đề cập đến các cụm mật khẩu mạnh, các trình quản lý mật khẩu cần thiết và lý do bạn cần xác thực hai yếu tố.

how to create secure passwordsstrong password tipscybersecurity guidepassword manageronline security
Cách Tạo Mật Khẩu Bảo Mật Thực Sự Hiệu Quả

Các Tiện Ích Được Đề Xuất

Trình tạo mật khẩu [ShiftShift]

Tạo mật khẩu an toàn với các tùy chọn tùy chỉnh

Quyền riêng tư & Bảo mật

Trình tạo MD5 [ShiftShift]

Chuyển đổi văn bản thành băm MD5 để kiểm tra tổng kiểm tra và xác minh

Quyền riêng tư & Bảo mật

Để thực sự bảo vệ tài khoản của bạn, bạn cần những mật khẩu dài, phức tạp và—quan trọng nhất—duy nhất cho từng trang web mà bạn sử dụng. Cách tốt nhất để làm điều này là tạo một câu mật khẩu (một chuỗi từ ngẫu nhiên dễ nhớ gồm bốn từ trở lên) hoặc để một trình quản lý mật khẩu tạo và lưu trữ những chuỗi ký tự ngẫu nhiên không thể đoán được cho bạn.

Tại Sao Thói Quen Mật Khẩu Cũ Của Bạn Không Còn Hiệu Quả

Những quân domino rơi từ một phong bì và xây dựng hướng tới một ổ khóa, bảo vệ chống lại một đội quân robot.

Hãy thành thật, lời khuyên cũ—"chỉ cần thêm một số và một ký hiệu vào một từ thông dụng"—hoàn toàn lỗi thời. Thế giới kỹ thuật số đã phát triển, và các mối đe dọa cũng vậy. Một mật khẩu như Password!1 có thể đủ để điền vào một mẫu đăng ký, nhưng nó là một cánh cửa mở cho các cuộc tấn công mạng hiện đại.

Các hacker không còn đoán mật khẩu một cách thủ công nữa. Họ sử dụng các công cụ tự động có thể thử hàng tỷ tổ hợp mỗi giây. Điều này được gọi là tấn công brute-force, và nó khiến cho những mật khẩu ngắn, dễ đoán trở nên dễ dàng bị bẻ khóa. Ngay cả những thay thế thông minh như 'Pa$$w0rd' cũng sẽ không lừa được những chương trình này lâu, vì chúng được thiết kế đặc biệt để kiểm tra những mẹo thông dụng đó.

Hiệu Ứng Domino Của Chỉ Một Mật Khẩu Yếu

Đây là nơi mọi thứ trở nên thực sự đáng sợ. Một mật khẩu yếu có thể hoạt động như một chìa khóa chính cho toàn bộ cuộc sống kỹ thuật số của bạn, gây ra một hiệu ứng domino thảm khốc. Điều này xảy ra thường xuyên do một cuộc tấn công phổ biến gọi là credential stuffing.

Các tội phạm mạng có được danh sách tên người dùng và mật khẩu từ một vụ rò rỉ dữ liệu tại một công ty. Sau đó, họ sử dụng bot để tự động thử những thông tin đăng nhập đó trên hàng trăm trang web phổ biến khác—ngân hàng của bạn, mạng xã hội của bạn, email của bạn.

Điều này hoạt động rất hiệu quả vì hầu hết mọi người đều tái sử dụng mật khẩu ở khắp mọi nơi. Mặc dù đã có nhiều cảnh báo trong nhiều năm, một con số đáng kinh ngạc 80–85% người vẫn tái sử dụng cùng một mật khẩu trên nhiều trang web khác nhau. Bạn có thể tìm hiểu thêm về cuộc khủng hoảng mật khẩu này, nhưng điều rút ra là rõ ràng: thói quen này tạo ra một lỗ hổng tự gây ra lớn.

"Mật khẩu của bạn là 'yếu tố đầu tiên,' tức là 'điều gì đó bạn biết.' Mục tiêu là làm cho 'điều gì đó' đó khó đoán hoặc phát hiện đến mức kẻ tấn công sẽ chuyển sang một mục tiêu dễ hơn."

Để giúp bạn bắt đầu, đây là một bảng tóm tắt nhanh về các nguyên tắc cốt lõi mà chúng ta sẽ thảo luận.

Hướng Dẫn Nhanh Về Mật Khẩu An Toàn

Nguyên tắc Tại sao nó quan trọng Mẹo nhanh
Độ dài là chìa khóa Mật khẩu dài hơn khó bị bot bẻ khóa hơn rất nhiều. Hãy nhắm đến ít nhất 16 ký tự hoặc 4 từ ngẫu nhiên cho một câu mật khẩu.
Chấp nhận sự ngẫu nhiên Các mẫu dễ đoán, từ điển và thông tin cá nhân rất dễ bị đoán. Sử dụng sự kết hợp của chữ hoa/chữ thường, số và ký hiệu. Một trình tạo mật khẩu là người bạn tốt nhất của bạn ở đây.
Độc nhất Nếu một tài khoản bị xâm phạm, việc tái sử dụng mật khẩu cho phép kẻ tấn công truy cập vào các tài khoản khác của bạn. Mỗi tài khoản cần có mật khẩu duy nhất của riêng nó. Không có ngoại lệ.
Sử dụng trình quản lý mật khẩu Thật không thể nhớ hàng chục mật khẩu phức tạp, độc nhất. Hãy để một trình quản lý mật khẩu tạo, lưu trữ và tự động điền chúng cho bạn.
Bật 2FA Thêm một lớp phòng thủ quan trọng thứ hai, ngăn chặn bất kỳ ai có thể đánh cắp mật khẩu của bạn. Bật xác thực hai yếu tố trên mọi tài khoản mà nó cung cấp.

Hãy coi bảng này như là nền tảng của bạn. Bây giờ, hãy xây dựng trên đó.

Áp Dụng Tư Duy Bảo Mật Hiện Đại

Bảo vệ bản thân có nghĩa là bạn phải thay đổi chiến lược của mình. Quên việc cố gắng ghi nhớ hàng chục mật khẩu phức tạp, hơi khác nhau. Đã đến lúc áp dụng một cách tiếp cận hiện đại dựa trên ba trụ cột cốt lõi:

  • Xây Dựng Câu Mật Khẩu Mạnh: Thay vì vật lộn với những thứ như R#8b^t!P9, hãy chuyển sang những câu mật khẩu dài, dễ nhớ. Một cụm từ như "BrightPurpleRobotDancesWeekly" mạnh hơn nhiều và dễ nhớ hơn.
  • Sử Dụng Kho Lưu Trữ Kỹ Thuật Số: Một trình quản lý mật khẩu là điều không thể thiếu trong thế giới ngày nay. Nó hoạt động như một kho lưu trữ an toàn cho tất cả các mật khẩu độc nhất của bạn và có thể tạo ra những mật khẩu mới, không thể bẻ khóa bất cứ khi nào bạn cần. Gánh nặng ghi nhớ chỉ... biến mất.
  • Kích Hoạt Phòng Thủ Tối Ưu: Hãy coi xác thực hai yếu tố (2FA) như một chốt an toàn kỹ thuật số của bạn. Nó yêu cầu một bằng chứng thứ hai—thường là một mã từ điện thoại của bạn—khiến mật khẩu của bạn trở nên vô dụng với kẻ trộm nếu không có nó.

Bằng cách làm chủ ba khái niệm này, bạn chuyển từ việc trở thành một nạn nhân tiềm năng thành một người dùng được bảo vệ tốt. Trong hướng dẫn này, tôi sẽ hướng dẫn bạn cách thực hiện từng khái niệm một cách cụ thể.

Tạo Ra Những Câu Mật Khẩu Đáng Nhớ Và Không Thể Bẻ Khóa

Một cậu bé hoạt hình chỉ vào bốn khối màu sắc được gán nhãn Tính từ, Động vật, Hành động và Địa điểm.

Nếu bạn từng muốn ném bàn phím của mình ra khỏi phòng khi cố gắng nhớ một cái gì đó như !Tr0ub4dor&3, tôi hiểu. Chúng ta đều đã trải qua điều đó. Nhưng đây là bí mật: một mật khẩu thực sự mạnh không phải là điều không thể nhớ—mà là điều không thể đoán được đối với một máy tính. Đây là nơi sự thông minh đơn giản của câu mật khẩu phát huy tác dụng.

Một câu mật khẩu chỉ là một chuỗi từ mà bạn có thể dễ dàng nhớ đến, nhưng đối với một máy, đó là một cơn ác mộng toán học. Khái niệm này dựa trên phương pháp 'diceware', một cách nói hoa mỹ cho việc "ghép nối các từ ngẫu nhiên lại với nhau." Càng nhiều từ bạn thêm vào, việc bẻ khóa bằng tấn công brute-force càng trở nên khó khăn hơn.

Hãy nghĩ về nó theo cách này: các công cụ bẻ khóa hiện đại có thể xử lý hàng tỷ tổ hợp mỗi giây. Một mật khẩu tám ký tự, ngay cả với các ký hiệu, có thể bị bẻ khóa trong vài phút. Nhưng một câu mật khẩu đơn giản gồm bốn từ? Một cái gì đó như CorrectHorseBatteryStaple sẽ mất hàng nghìn năm công nghệ hiện nay để tìm ra.

Công Thức Cho Một Câu Mật Khẩu Hoàn Hảo

Nguyên liệu kỳ diệu ở đây là sự ngẫu nhiên. Mục tiêu của bạn là ghép nối những từ không có mối liên hệ logic nào. Điều này là không thể thương lượng, vì các kẻ tấn công sử dụng các từ điển khổng lồ và "bảng rainbow" chứa đầy các cụm từ thông dụng, lời bài hát và câu trích dẫn nổi tiếng. Một câu trong bộ phim yêu thích của bạn là một ý tưởng tồi.

Để bắt đầu, hãy nghĩ về nó như một trò chơi Mad Libs tập trung vào bảo mật.

  • Một Công Thức Đơn Giản: [Tính từ][Động vật][Hành động][Địa điểm]

Sử dụng một cấu trúc như thế này, bạn có thể tạo ra những cụm từ vừa dễ nhớ vừa hoàn toàn ngẫu nhiên. Bạn có thể kết thúc với "SleepyGiraffeJugglesParis" hoặc "AnxiousBadgerDrivesMars." Những hình ảnh tâm lý kỳ quặc mà chúng tạo ra thực sự giúp chúng dễ nhớ hơn nhiều so với một mớ ký hiệu.

Sức mạnh thực sự của một câu mật khẩu nằm ở entropy của nó—một thước đo về tính không thể đoán trước. Một chuỗi bốn từ không liên quan tạo ra nhiều entropy hơn rất nhiều so với một từ phức tạp trong từ điển với một vài số được thêm vào cuối.

Các Cạm Bẫy Thường Gặp Khi Tạo Câu Mật Khẩu Cần Tránh

Ngay cả với một phương pháp tuyệt vời, thật dễ dàng để rơi vào những cạm bẫy làm yếu đi câu mật khẩu của bạn. Khi bạn xây dựng của riêng mình, hãy chắc chắn rằng bạn tránh xa những sai lầm phổ biến này:

  • Chuỗi Dễ Đoán: Tránh các cụm từ được xây dựng từ thông tin cá nhân hoặc các biểu thức thông dụng, như "Tôi yêu chó của tôi" hoặc "GoPackGoChamps2024." Chúng là những thứ đầu tiên mà một kẻ tấn công sẽ thử.
  • Tham Chiếu Văn Hóa Đại Chúng: Lời bài hát, câu trích dẫn phim và tiêu đề sách có mặt khắp nơi trên internet—và trong từ điển của mọi hacker. Một cụm từ như "LukeIAmYourFather" tệ như "mật khẩu."
  • Mẫu Bàn Phím Liền Kề: Chúng ta đều biết "qwerty" là một mật khẩu yếu. Lý luận tương tự áp dụng cho các cụm từ như "TheQuickBrownFox." Nó quá nổi tiếng.

Mục tiêu là tạo ra một cái gì đó cảm thấy độc đáo với bạn mà không có thể nhận diện cá nhân. Càng nhiều sự vô nghĩa trong sự kết hợp, thì phòng thủ của bạn càng tốt.

Điều Chỉnh Một Câu Mật Khẩu Cơ Bản Cho Các Tài Khoản Khác Nhau

Hãy nhìn xem, bạn hoàn toàn cần một mật khẩu duy nhất cho từng trang web. Nhưng bạn không cần phải bắt đầu từ đầu mỗi lần. Một kỹ thuật thông minh là tạo một câu mật khẩu "cơ bản" mạnh và sau đó thêm một phần điều chỉnh duy nhất, cụ thể cho trang web đó. Điều này cung cấp cho bạn một hệ thống thủ công vững chắc cho các tài khoản quan trọng nhất của bạn.

Giả sử câu mật khẩu cơ bản của bạn là AnxiousBadgerDrivesMars. Bạn có thể điều chỉnh nó cho các trang web khác nhau như sau:

Loại Tài Khoản Trang Web Logic Điều Chỉnh Ví Dụ Câu Mật Khẩu Cuối Cùng
Email G-Mail Thêm một ký hiệu + chữ cái đầu/cuối của trang web. AnxiousBadgerDrivesMars@gl
Ngân Hàng Ch-ase Sử dụng một ký hiệu khác + hai chữ cái đầu/cuối. AnxiousBadgerDrivesMars#chse
Xã Hội Tw-itter Sử dụng một ký hiệu khác + một tổ hợp chữ cái khác. AnxiousBadgerDrivesMars%twr

Hệ thống đơn giản này cung cấp cho bạn một mẫu lặp lại mà bạn có thể nhớ, nhưng nó vẫn tạo ra một thông tin xác thực khác biệt cho mỗi tài khoản. Đây là một sự cân bằng thực tiễn giữa bảo mật vững chắc và thực tế của trí nhớ con người, làm cho nó trở thành một chiến lược tuyệt vời cho bất kỳ ai mới học cách tạo mật khẩu an toàn.

Để Trình Quản Lý Mật Khẩu Làm Việc Nặng

Một chiếc chìa khóa lớn thả nhiều ổ khóa nhỏ xuống một chiếc điện thoại thông minh với một lá chắn, biểu tượng cho bảo mật di động và mã hóa.

Việc nghĩ ra những câu mật khẩu mạnh là tuyệt vời cho các tài khoản quan trọng nhất của bạn—email của bạn, ngân hàng của bạn—nhưng hãy thực tế. Hầu hết chúng ta có hàng chục, nếu không muốn nói là hàng trăm, thông tin đăng nhập trực tuyến. Cố gắng tạo và nhớ một câu mật khẩu độc nhất, có độ entropy cao cho từng diễn đàn, dịch vụ phát trực tuyến và cửa hàng trực tuyến là một công thức cho thất bại. Nó đơn giản là không thực tế.

Đây là nơi một trình quản lý mật khẩu trở thành người bạn tốt nhất của bạn. Thật sự, đây là công cụ bảo mật quan trọng nhất mà bạn có thể áp dụng. Hãy coi nó như một sự thay đổi cơ bản trong cách bạn xử lý cuộc sống kỹ thuật số của mình. Thay vì phải vật lộn với một mớ mật khẩu yếu, đã qua sử dụng, bạn chỉ cần nhớ một điều: mật khẩu chính của bạn.

Trình quản lý sẽ làm tất cả công việc khó khăn từ đó. Nó hoạt động như một kho lưu trữ kỹ thuật số, tạo ra, lưu trữ và thậm chí tự động điền những mật khẩu phức tạp cho mọi trang web bạn sử dụng. Ngay lập tức, điều này giải quyết hai tội lỗi chính của bảo mật mật khẩu: tái sử dụngyếu kém.

Tại Sao Trình Quản Lý Mật Khẩu Là Điều Không Thể Thương Lượng

Một trình quản lý mật khẩu tốt loại bỏ sai sót của con người khỏi phương trình. Nó tự động hóa tất cả các thực hành tốt nhất và loại bỏ cám dỗ chỉ sử dụng lại Password123! vì nó dễ dàng. Bạn không chỉ đang lưu trữ mật khẩu; bạn đang nâng cấp cơ bản tư thế bảo mật của mình.

Dưới đây là những gì bạn nhận được ngay từ đầu:

  • Độc Nhất Dễ Dàng: Trình quản lý có thể ngay lập tức tạo ra một mật khẩu ngẫu nhiên, vô nghĩa như k9#Z&p8!vR@qG$fT cho tài khoản mới mà bạn đang đăng ký. Bạn thậm chí không cần phải thấy nó, chứ đừng nói đến việc cố gắng nhớ nó.
  • Lưu Trữ An Toàn: Kho lưu trữ mật khẩu của bạn được khóa bằng mã hóa mạnh mẽ. Điều này có nghĩa là ngay cả khi công ty quản lý mật khẩu bị xâm phạm, dữ liệu của bạn sẽ vô dụng với hacker nếu không có mật khẩu chính độc nhất của bạn.
  • Đăng Nhập Một Nhấp Chuột: Các trình quản lý hiện đại kết nối ngay vào trình duyệt của bạn, điền thông tin đăng nhập cho bạn. Đây là một cách tiết kiệm thời gian lớn, nhưng nó cũng là một tính năng bảo mật tuyệt vời—nó bảo vệ bạn khỏi các trang lừa đảo vì tính năng tự động điền sẽ không hoạt động trên một miền giả mạo hoặc tương tự.

Toàn bộ ý tưởng là ủy thác nhiệm vụ không thể nhớ hàng trăm mật khẩu độc nhất, ngẫu nhiên cho một công cụ được xây dựng đặc biệt cho công việc đó. Điều này giúp bạn tập trung vào việc bảo vệ một mật khẩu thực sự quan trọng—chìa khóa cho toàn bộ kho lưu trữ của bạn.

Nếu bạn chưa sẵn sàng để nhảy vào một trình quản lý đầy đủ, một số công cụ trình duyệt nhẹ có thể giúp bạn. Ví dụ, Trình Tạo Mật Khẩu trong bộ mở rộng ShiftShift cung cấp cho bạn một cách nhanh chóng và dễ dàng để tạo ra một mật khẩu mạnh ngay lập tức.

Các công cụ như thế này cung cấp quyền truy cập ngay lập tức vào việc tạo mật khẩu an toàn mà không cần cam kết một ứng dụng riêng biệt, làm cho việc bảo mật các tài khoản mới trở nên dễ dàng hơn ngay khi bạn tạo chúng.

Chọn Trình Quản Lý Mật Khẩu Phù Hợp

Khi bạn sẵn sàng cam kết, hãy nhớ rằng bạn đang giao phó dịch vụ này cho chìa khóa của toàn bộ cuộc sống kỹ thuật số của bạn. Đây là một quyết định lớn, vì vậy việc chọn lựa khôn ngoan là rất quan trọng.

Dưới đây là những tính năng không thể thương lượng mà bạn nên tìm kiếm:

  1. Mã Hóa Không Biết: Đây là tiêu chuẩn vàng. Điều này có nghĩa là công ty cung cấp dịch vụ không có khả năng nào để truy cập hoặc giải mã dữ liệu của bạn. Chỉ có bạn, với mật khẩu chính của bạn, mới có thể mở khóa kho lưu trữ.
  2. Kiểm Toán Bảo Mật Bên Thứ Ba: Các dịch vụ uy tín thuê các công ty an ninh mạng độc lập để kiểm tra hệ thống của họ và tìm bất kỳ điểm yếu nào. Hãy tìm các công ty minh bạch về những cuộc kiểm toán này.
  3. Đồng Bộ Đa Nền Tảng: Một trình quản lý mật khẩu chỉ hữu ích nếu nó có mặt ở mọi nơi bạn có. Hãy chắc chắn rằng nó hoạt động liền mạch trên máy tính, điện thoại và máy tính bảng của bạn.
  4. Tùy Chọn 2FA Mạnh Mẽ: Trình quản lý cần phải được bảo vệ chặt chẽ. Nó nên hỗ trợ xác thực hai yếu tố, lý tưởng là với các tùy chọn cho ứng dụng xác thực hoặc thậm chí là các khóa bảo mật vật lý.

Khi bạn bắt đầu tìm kiếm, việc xem xét cách các ứng viên hàng đầu so sánh với nhau sẽ rất hữu ích. Ví dụ, bạn có thể so sánh các trình quản lý mật khẩu hàng đầu như 1Password và LastPass để tìm hiểu chi tiết về các mô hình bảo mật, tính năng và trải nghiệm người dùng tổng thể của họ.

Mật khẩu quan trọng nhất của bạn

Khi bạn đã chọn được trình quản lý của mình, đã đến lúc tạo ra mật khẩu chính của bạn. Đây chính là mật khẩu mà bạn phải nhớ một cách tuyệt đối. Nó cần phải là một pháo đài.

Đây là thời điểm hoàn hảo để sử dụng phương pháp cụm từ mà chúng ta đã nói đến trước đó. Một mật khẩu chính tuyệt vời nên:

  • Dài: Hãy chọn ít nhất từ sáu đến tám từ ngẫu nhiên, không liên quan.
  • Dễ nhớ (đối với bạn): Tạo ra một cụm từ kỳ quặc hoặc hài hước mà sẽ ghi nhớ trong đầu bạn nhưng không có ý nghĩa gì với người khác.
  • Hoàn toàn độc nhất: Mật khẩu này không được sử dụng ở bất kỳ đâu khác. Từ trước đến nay.

Một mật khẩu chính vững chắc có thể là OrangeSpaceshipQuietlyPaintsAzureMountains. Nó cực kỳ khó để một máy tính có thể bẻ khóa nhưng đủ đơn giản để bạn nhớ. Trong khi bạn đang ghi nhớ nó, hãy viết nó ra và lưu trữ ở một nơi an toàn, như hộp gửi tiền hoặc két sắt chống cháy tại nhà. Mật khẩu duy nhất này là nền tảng của toàn bộ chiến lược bảo mật kỹ thuật số của bạn.

Khóa an toàn kỹ thuật số của bạn: Thêm một lớp bảo mật với 2FA

Hãy thành thật: ngay cả cụm từ mật khẩu thông minh nhất hay mật khẩu ngẫu nhiên cũng có thể bị đánh cắp. Một email lừa đảo khéo léo, một vụ rò rỉ dữ liệu lớn tại một công ty bạn sử dụng, hoặc thậm chí phần mềm gián điệp trên máy tính của bạn có thể làm lộ thông tin đăng nhập của bạn. Đó là lý do tại sao một mật khẩu mạnh chỉ là một nửa cuộc chiến.

Nửa còn lại là thêm một khóa an toàn kỹ thuật số: Xác thực hai yếu tố (2FA).

Hãy nghĩ về nó như thế này. Mật khẩu của bạn là chìa khóa cho cửa trước của bạn. Nếu một tên trộm có được bản sao, họ có thể dễ dàng bước vào. 2FA là cái chốt an toàn bổ sung bên trong—một ổ khóa hoàn toàn riêng biệt cần một loại chìa khóa khác. Nó hoạt động bằng cách kết hợp điều gì đó bạn biết (mật khẩu của bạn) với điều gì đó bạn (như điện thoại của bạn hoặc một chìa khóa bảo mật vật lý).

Vì vậy, ngay cả khi một hacker có được mật khẩu của bạn, họ sẽ bị chặn lại vì họ không có mảnh ghép thứ hai. Để thực sự bảo vệ tài khoản của bạn, bạn cần phải vượt qua chỉ một mật khẩu tốt. Một điểm khởi đầu tuyệt vời là hiểu về xác thực hai yếu tố (2FA) và tại sao nó là một trong những điều hiệu quả nhất bạn có thể làm để bảo vệ cuộc sống kỹ thuật số của mình.

Các hình thức khác nhau của 2FA

Không phải tất cả các phương pháp 2FA đều cung cấp cùng một mức độ bảo vệ. Chúng dao động từ "đủ tốt" cho một số tài khoản đến "bảo mật cấp pháo đài" cho những tài khoản quan trọng nhất của bạn. Biết sự khác biệt giúp bạn chọn công cụ phù hợp cho công việc.

Dưới đây là một cái nhìn nhanh, từ ít an toàn nhất đến an toàn nhất:

  • Nhắn tin SMS: Đây là phương pháp mà bạn có thể đã thấy nhiều nhất. Bạn cố gắng đăng nhập, và một dịch vụ gửi một mã một lần đến điện thoại của bạn. Mặc dù nó tốt hơn là không có gì, phương pháp này dễ bị tổn thương bởi một trò lừa đảo gọi là "chuyển SIM", nơi một tội phạm lừa đảo công ty điện thoại của bạn để chuyển số của bạn sang thiết bị của họ.
  • Ứng dụng xác thực: Các ứng dụng như Google Authenticator hoặc Authy tạo ra một mã sáu chữ số mới, nhạy cảm với thời gian mỗi 30 giây. Đây là một bước nhảy vọt lớn về bảo mật so với SMS vì mã được tạo ngay trên thiết bị của bạn và không bao giờ di chuyển qua mạng di động dễ bị tổn thương.
  • Chìa khóa bảo mật vật lý: Đây là tiêu chuẩn vàng. Một chìa khóa vật lý, như YubiKey, là một thiết bị USB nhỏ mà bạn cắm vào máy tính của mình hoặc chạm vào điện thoại của bạn để phê duyệt một lần đăng nhập. Nó gần như hoàn toàn miễn nhiễm với lừa đảo và các cuộc tấn công từ xa, cung cấp mức bảo mật mạnh nhất có sẵn cho người bình thường ngày nay.

Đối với những thứ thực sự quan trọng của bạn—email, ngân hàng, trình quản lý mật khẩu—tôi rất khuyến nghị sử dụng một ứng dụng xác thực hoặc, tốt hơn nữa, một chìa khóa vật lý.

Cách thiết lập 2FA

Bật 2FA thường khá dễ dàng và có thể tìm thấy trong phần "Bảo mật" hoặc "Tài khoản" của hầu hết các trang web và ứng dụng lớn.

Bước đầu tiên gần như luôn liên quan đến việc quét mã QR bằng ứng dụng xác thực của bạn để liên kết tài khoản. Việc quét nhanh này tạo ra kết nối an toàn để tạo ra tất cả các mã trong tương lai của bạn. Nếu bạn tò mò về cách hoạt động của nó, hướng dẫn của chúng tôi giải thích cách tạo mã QR và những gì bên trong nó.

Hãy cùng đi qua các bước điển hình mà bạn sẽ thực hiện để kích hoạt nó trên tài khoản email chính của bạn:

  1. Đi đến Cài đặt Bảo mật: Đăng nhập vào tài khoản của bạn và tìm kiếm trang cài đặt bảo mật hoặc đăng nhập.
  2. Tìm tùy chọn 2FA: Bạn sẽ thấy nó được gọi bằng nhiều tên khác nhau, như "Xác thực hai yếu tố", "Xác minh 2 bước", hoặc "Phê duyệt đăng nhập".
  3. Chọn phương pháp của bạn: Trang web sẽ hỏi bạn muốn nhận mã của mình như thế nào. Nếu bạn thấy tùy chọn "Ứng dụng xác thực", hãy luôn chọn nó thay vì SMS.
  4. Liên kết ứng dụng của bạn: Một mã QR sẽ xuất hiện trên màn hình của bạn. Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn, nhấn nút "+", và quét mã. Điều này thêm tài khoản vào danh sách của ứng dụng của bạn.
  5. Xác minh và Lưu: Nhập mã sáu chữ số từ ứng dụng của bạn để chứng minh rằng bạn đã liên kết đúng. Màn hình tiếp theo là rất quan trọng—dịch vụ sẽ cho bạn thấy một danh sách mã dự phòng.

Mẹo chuyên nghiệp: Đừng chỉ nhấp qua các mã dự phòng. Lưu chúng ngay lập tức. In chúng ra hoặc viết chúng xuống và cất giữ ở nơi an toàn, như trong một hộp chống cháy hoặc ngăn kéo khóa. Nếu bạn bao giờ mất điện thoại, những mã này là cách duy nhất để bạn quay lại.

Kích hoạt 2FA là một thiết lập một lần mà mang lại lợi ích mỗi ngày. Chắc chắn, nó có thể thêm năm giây vào thời gian đăng nhập của bạn, nhưng nó xây dựng một bức tường khổng lồ giữ cho tội phạm ra ngoài, ngay cả khi họ có mật khẩu của bạn. Đó là một chút khó khăn cho một lợi ích lớn về bảo mật.

Cách thực hiện kiểm toán bảo mật cá nhân

Tạo mật khẩu mạnh và kích hoạt 2FA cho các tài khoản mới là một thói quen tuyệt vời. Nhưng còn dấu vết kỹ thuật số mà bạn đã để lại? Đã đến lúc giải quyết hàng chục—có thể hàng trăm—tài khoản mà bạn đã tạo trong suốt những năm qua. Hãy nghĩ về nó như một cuộc dọn dẹp kỹ thuật số sâu sắc hơn là một công việc.

Nơi tốt nhất để bắt đầu là đối mặt với sự thật. Bạn cần biết thông tin của bạn đã bị lộ ở đâu.

Một công cụ tôi luôn khuyến nghị là Have I Been Pwned. Chỉ cần nhập địa chỉ email của bạn, và nó sẽ cho bạn thấy mọi vụ rò rỉ dữ liệu mà bạn đã tham gia. Có thể đây sẽ là một cú sốc, nhưng nó cung cấp cho bạn một danh sách cụ thể, ưu tiên các tài khoản cần sự chú ý ngay lập tức của bạn.

Ưu tiên và chinh phục các tài khoản của bạn

Nhìn thấy báo cáo rò rỉ có thể cảm thấy choáng ngợp. Chìa khóa là không cố gắng sửa mọi thứ cùng một lúc—đó là công thức cho sự kiệt sức. Cách tiếp cận thông minh là phân loại các tài khoản của bạn theo mức độ rủi ro và giải quyết chúng theo từng đợt.

Dưới đây là một hệ thống phân loại đơn giản mà tôi sử dụng:

  • Cấp 1 (Ưu tiên cao): Đây là những viên ngọc quý. Nếu một trong số này bị xâm phạm, nó có thể dẫn đến đánh cắp danh tính hoặc tổn thất tài chính nghiêm trọng. Chúng ta đang nói về email chính của bạn, trình quản lý mật khẩu, ứng dụng ngân hàng và tài khoản dịch vụ chính phủ. Bắt đầu từ đây, không có ngoại lệ.
  • Cấp 2 (Ưu tiên trung bình): Nhóm này bao gồm các tài khoản chứa nhiều dữ liệu cá nhân hoặc thông tin thanh toán. Hãy nghĩ đến các hồ sơ mạng xã hội lớn (Facebook, Instagram), các trang mua sắm yêu thích như Amazon, và các nền tảng liên quan đến công việc quan trọng.
  • Cấp 3 (Ưu tiên thấp): Đây là các tài khoản linh tinh—các diễn đàn mà bạn đã đăng ký một lần, các bản tin cũ, hoặc các dịch vụ một lần mà bạn đã quên. Một vụ rò rỉ ở đây ít nghiêm trọng hơn, nhưng chúng vẫn cần được dọn dẹp.

Hãy làm việc từ Cấp 1 trở xuống. Thành thật mà nói, chỉ cần bảo mật một tài khoản ưu tiên cao đã là một chiến thắng lớn cho bảo mật tổng thể của bạn.

Danh sách kiểm tra kiểm toán bảo mật của bạn

Đối với mỗi tài khoản bạn xem xét, hãy làm theo quy trình đơn giản này. Nó biến một mục tiêu mơ hồ thành một tập hợp các hành động rõ ràng, và bạn sẽ nhanh chóng hơn với mỗi bước hoàn thành.

  1. Kiểm tra các vụ rò rỉ: Xác nhận xem thông tin đăng nhập của tài khoản đã bị lộ trên Have I Been Pwned chưa. Nếu có, hãy đưa nó lên đầu danh sách của bạn.
  2. Tạo mật khẩu mới: Sử dụng trình quản lý mật khẩu của bạn để tạo một mật khẩu dài, ngẫu nhiên và hoàn toàn độc nhất. Đây là một phần cốt lõi trong việc học cách tạo mật khẩu an toàn có thể chống lại các mối đe dọa ngày nay.
  3. Kích hoạt 2FA: Đi sâu vào cài đặt bảo mật của tài khoản và bật xác thực hai yếu tố. Nếu bạn có lựa chọn, hãy luôn chọn ứng dụng xác thực hoặc chìa khóa vật lý thay vì SMS.
  4. Lưu mọi thứ một cách an toàn: Lưu trữ mật khẩu mới, các mã dự phòng 2FA, và bất kỳ câu hỏi bảo mật nào đã được cập nhật ngay trong trình quản lý mật khẩu của bạn.

Đừng quên về dữ liệu được lưu trữ ngay trong trình duyệt của bạn. Các cookie cũ đôi khi có thể giữ thông tin phiên, vì vậy tốt nhất là xóa chúng sau một cuộc đại tu bảo mật lớn. Nếu bạn muốn đi sâu hơn, bạn có thể tìm hiểu cách một tiện ích mở rộng chỉnh sửa cookie Chrome giúp bạn kiểm soát nhiều hơn.

Biểu đồ dòng chảy đơn giản này cho thấy sức mạnh của 2FA là như thế nào.

Biểu đồ minh họa ba bước của xác thực hai yếu tố (2FA) để truy cập an toàn.

Nó hoàn toàn minh họa rằng ngay cả khi một tên trộm có được mật khẩu của bạn (chìa khóa), họ sẽ bị chặn lại mà không có yếu tố thứ hai từ điện thoại của bạn.

Biến bảo mật thành thói quen liên tục

Một cuộc kiểm toán bảo mật cá nhân không phải là một dự án một lần; đó là một thực hành. Tôi đặt một lời nhắc trên lịch mỗi sáu đến mười hai tháng để nhanh chóng xem xét các tài khoản quan trọng nhất của mình. Đây là thời điểm tốt để kiểm tra các vụ rò rỉ mới và có thể thay đổi mật khẩu trên các tài khoản Cấp 1 của tôi.

Khi bạn coi bảo mật kỹ thuật số của mình như một quá trình liên tục, bạn xây dựng một hàng rào bảo vệ mạnh mẽ hơn. Mỗi mật khẩu bạn cập nhật và mỗi lần 2FA bạn bật lên khiến bạn trở thành một mục tiêu khó hơn cho các kẻ tấn công.

Đưa tất cả vào thực tiễn: Sổ tay mật khẩu an toàn của bạn

Được rồi, hãy chuyển từ lý thuyết sang hành động. Để bảo mật mật khẩu của bạn đúng cách không phải là việc ghi nhớ một loạt các quy tắc phức tạp. Đó là việc xây dựng một vài thói quen thông minh và để các công cụ phù hợp làm công việc nặng nhọc cho bạn.

Hãy nghĩ về nó theo cách này: sổ tay mới của bạn thực sự chỉ xoay quanh bốn ý tưởng chính.

Đầu tiên, sức mạnh đến từ độ dài và tính ngẫu nhiên. Dù bạn đang tạo một cụm từ mật khẩu dài, dễ nhớ cho một tài khoản quan trọng hay để một trình tạo tạo ra những điều vô nghĩa hoàn toàn, độ hỗn loạn là điều giữ bạn an toàn. Một mật khẩu ngắn, dễ đoán giống như để cửa trước của bạn mở toang cho các cuộc tấn công tự động.

Thứ hai, mỗi tài khoản đều có mật khẩu độc nhất của riêng nó. Tôi không thể nhấn mạnh điều này đủ. Sử dụng lại thông tin đăng nhập là cách nhanh nhất để biến một vụ rò rỉ nhỏ thành một thảm họa hoàn toàn, trao cho kẻ trộm chìa khóa vào toàn bộ vương quốc kỹ thuật số của bạn. Đây là quy tắc mà bạn không bao giờ, không bao giờ vi phạm.

Áp dụng chiến lược mới của bạn trong thế giới thực

Vậy, điều này trông như thế nào trong cuộc sống hàng ngày? Chà, bạn sẽ không sử dụng cùng một khóa an toàn cho két ngân hàng của mình mà bạn sử dụng cho nhà kho của mình. Lý luận tương tự áp dụng cho các tài khoản trực tuyến của bạn.

  • Các tài khoản có rủi ro cao (Ngân hàng, Email): Đây là những viên ngọc quý. Bạn cần bảo mật cấp Fort Knox ở đây. Sử dụng một mật khẩu dài, ngẫu nhiên được tạo từ một công cụ như Trình tạo mật khẩu của ShiftShift Extensions. Sau đó, khóa nó lại với xác thực hai yếu tố mạnh nhất mà bạn có thể có—lý tưởng là một ứng dụng xác thực hoặc một chìa khóa bảo mật vật lý.

  • Các tài khoản có rủi ro thấp (Diễn đàn, Bản tin): Những tài khoản này vẫn cần mật khẩu độc nhất để ngăn chặn các cuộc tấn công nhồi nhét thông tin đăng nhập, nhưng bạn có thể hiệu quả hơn. Chỉ cần để trình quản lý mật khẩu của bạn tạo và lưu một mật khẩu mạnh chỉ với một cú nhấp chuột. Mục tiêu là bảo mật mà không làm chậm bạn lại.

Mục tiêu thực sự ở đây là thay đổi cách bạn nghĩ về mật khẩu. Bảo mật không phải là một công việc; nó trở thành một thói quen gần như tự động, mang lại sức mạnh khi bạn có một hệ thống vững chắc. Bạn đang xây dựng một pháo đài kỹ thuật số, từng lần đăng nhập an toàn một.

Điều này đưa chúng ta đến hai trụ cột cuối cùng của sổ tay của bạn: luôn sử dụng trình quản lý mật khẩu để lưu trữ mọi thứ, và luôn bật 2FA như kế hoạch dự phòng cuối cùng của bạn. Trình quản lý xử lý công việc không thể tưởng tượng nổi của việc nhớ hàng chục mật khẩu phức tạp, và 2FA đảm bảo rằng ngay cả khi một mật khẩu bị đánh cắp, nó hoàn toàn vô dụng đối với một tên trộm.

Khi bạn kết hợp bốn yếu tố này lại với nhau, bạn có một quy trình đơn giản, có thể lặp lại để bảo vệ bản thân trực tuyến. Đây không chỉ là một danh sách kiểm tra khác; đó là một sự chuyển mình cơ bản khiến bảo mật hàng đầu trở nên dễ dàng.

Để tiếp tục xây dựng trên nền tảng này, hãy xem hướng dẫn sâu sắc của chúng tôi về các thực hành tốt nhất cho bảo mật mật khẩu. Với sổ tay này, bạn sẽ có sự tự tin và các công cụ cần thiết để bảo vệ góc nhỏ của thế giới kỹ thuật số của bạn.

Có câu hỏi về bảo mật mật khẩu? Chúng tôi có câu trả lời.

Ngay cả với kế hoạch tốt nhất, bạn chắc chắn sẽ có câu hỏi. Hãy cùng giải quyết một số câu hỏi phổ biến nhất mà chúng tôi nghe thấy, phá vỡ một vài huyền thoại, và cung cấp cho bạn một số lời khuyên thực tế để làm rõ mọi thứ.

"Tôi có nên thay đổi mật khẩu của mình thường xuyên không?"

Đây là một câu hỏi lớn. Trong nhiều năm, lời khuyên tiêu chuẩn là thay đổi mật khẩu của bạn mỗi 90 ngày. Cách suy nghĩ đó đã hoàn toàn thay đổi.

Nếu bạn đã sử dụng mật khẩu mạnh, độc nhất cho từng tài khoản—và bạn đã lưu trữ chúng một cách an toàn trong trình quản lý mật khẩu—việc ép buộc bản thân thay đổi chúng theo lịch trình thực sự không thêm nhiều bảo mật. Thực tế, nó thường làm ngược lại. Mọi người có xu hướng thực hiện những thay đổi nhỏ, dễ đoán, như thay đổi Winter2023! thành Spring2024!. Các hacker biết tất cả về những mẫu này.

Lời khuyên hiện đại, được các chuyên gia hỗ trợ là: Đặt một mật khẩu mạnh, độc nhất và quên nó đi... cho đến khi bạn có lý do chính đáng để tin rằng nó đã bị xâm phạm. Đây là một cách hiệu quả hơn và ít gây thất vọng hơn để giữ an toàn.

"Có ổn không nếu chỉ để trình duyệt của tôi lưu mật khẩu?"

Hãy rõ ràng: sử dụng tính năng lưu mật khẩu tích hợp của trình duyệt của bạn tốt hơn nhiều so với việc sử dụng password123 ở mọi nơi. Nhưng nó vẫn chưa phải là lựa chọn tốt nhất.

Hãy coi nó như một tính năng tiện lợi, không phải là một công cụ bảo mật thực sự. Các trình quản lý mật khẩu chuyên dụng được xây dựng với một mục đích duy nhất: bảo vệ thông tin đăng nhập của bạn bằng mã hóa mạnh mẽ, không biết. Ngược lại, các trình quản lý dựa trên trình duyệt thường gắn liền trực tiếp với hồ sơ trình duyệt của bạn, khiến chúng trở thành mục tiêu hấp dẫn cho phần mềm độc hại được thiết kế để đánh cắp thông tin đó. Để có sự yên tâm thực sự, một trình quản lý mật khẩu độc lập là lựa chọn tốt nhất.

"Tôi nên làm gì nếu một trang web tôi sử dụng bị hack?"

Đầu tiên, đừng hoảng sợ. Việc rò rỉ dữ liệu thật không may là điều phổ biến, nhưng nếu bạn đã làm theo lời khuyên trong hướng dẫn này, việc khắc phục sẽ khá đơn giản.

Dưới đây là kế hoạch hành động của bạn:

  • Thay đổi Mật khẩu Ngay lập tức. Hãy truy cập ngay vào trang web bị ảnh hưởng và tạo một mật khẩu mới, mạnh mẽ và độc nhất cho nó.
  • Kiểm tra Tài khoản của bạn. Nếu bạn (ôi!) đã sử dụng lại mật khẩu đó ở nơi khác, bây giờ là thời điểm để thay đổi nó trên những trang web khác đó. Một trình quản lý mật khẩu sẽ giúp bạn tìm những mật khẩu trùng lặp này một cách dễ dàng.
  • Bật 2FA. Nếu bạn chưa sử dụng xác thực hai yếu tố trên tài khoản đó, hãy kích hoạt ngay lập tức. Đây là biện pháp phòng ngừa tốt nhất của bạn chống lại việc ai đó sử dụng thông tin đăng nhập bị đánh cắp của bạn.

Khi bạn có một hệ thống vững chắc, thông báo rò rỉ dữ liệu từ một tình huống khẩn cấp trở thành một nhiệm vụ nhỏ, có thể quản lý. Bạn chỉ cần cập nhật một mục trong kho lưu trữ của mình và xong.

Bạn đã sẵn sàng để làm cho tất cả điều này trở nên dễ dàng chưa? Bộ công cụ ShiftShift Extensions đi kèm với một Trình tạo Mật khẩu tích hợp và các công cụ bảo mật thiết yếu khác, tất cả đều nằm trong một bảng lệnh duy nhất. Tải xuống từ Chrome Web Store và lấy lại quyền kiểm soát cuộc sống kỹ thuật số của bạn.

Các Tiện Ích Được Đề Xuất

Trình tạo mật khẩu [ShiftShift]

Tạo mật khẩu an toàn với các tùy chọn tùy chỉnh

Quyền riêng tư & Bảo mật

Trình tạo MD5 [ShiftShift]

Chuyển đổi văn bản thành băm MD5 để kiểm tra tổng kiểm tra và xác minh

Quyền riêng tư & Bảo mật