Mật khẩu là thứ quan trọng nhất bạn cần phải đặc biệt chú ý, mọi thứ sẽ trở nên rất tồi tệ nếu thông tin đăng nhập của bạn rơi vào tay những kẻ xấu. Đây cũng là cách phổ biến nhất để bảo vệ tài khoản của bạn. Trong phần này, bạn sẽ học cách để tạo ra một mật khẩu tốt và mạnh – tốt nhất là dài hơn 8 – 10 ký tự – để tránh các kẻ xấu đoán hoặc bẻ khóa được mật khẩu của bạn. Bạn cũng sẽ học về các phần mềm quản lý mật khẩu, ứng dụng xác thực nhiều yếu tố (multi-factor authentication app) và những thủ thuật khác để bảo vệ các tài khoản trực tuyến của bạn: email, tài khoản mạng xã hội, cloud storage …

Khái niệm Spider’s Web Password Generator

Tôi đã nghĩ ra một phương pháp tạo mật khẩu rất đơn giản, an toàn, tiện lợi và hoàn toàn miễn phí có tên gọi “Spider’s Web”. Không cần phải cài đặt ứng dụng, không cần phải đăng nhập vào website để sử dụng, tất cả những gì bạn cần chỉ là giấy và bút (hoặc cũng có thể sử dụng Microsoft Word).

Cách sử dụng:

Hình 1: Một ví dụ về “Spider’s Web”

Hình 2: Một bản “Spider’s Web” trống

Ở hình 1, chúng ta có 4 vòng tròn, mỗi vòng tròn có 16 ô và mỗi ô chứa một cứ tự ngẫu nhiên (viết hoa hoặc viết thường, số hoặc ký tự đặc biệt).

Đi từ ngoài vào trong, vòng tròn thứ 1 và vòng tròn thứ 3 chứa các ký tự viết hoa và số. Những vòng tròn này chứa mật khẩu gốc (master password), đây là mật khẩu đơn giản mà bạn cần phải nhớ. Lưu ý: ở vòng tròn số 1 và số 3 này, các ký tự và chữ số phải khác nhau, không được trùng lặp. Bạn không cần phải sử dụng ký tự đặc biệt ở vòng tròn số 1 và số 3 vì điều này sẽ khiến cho mật khẩu gốc trở nên khó nhớ.

Vòng tròn thứ 2 và thứ 4 chứa chữ, số, và ký tự đặc biệt, các ký tự này không được in đậm. Đây chính là phần để tạo ra các mật khẩu dành cho máy tính của bạn hoặc các tài khoản trực tuyến như email, tài khoản mạng xã hội. Bằng cách sử dụng phương pháp này, bạn có thể tạo ra các mật khẩu phức tạp mà không cần phải nhớ chúng.

Ví dụ: bạn có thể sử dụng tên viết tắt của dịch vụ trực tuyến bạn cần sử dụng cộng với mật khẩu gốc của bạn để tạo ra mật khẩu riêng biệt cho mỗi tài khoản. Nếu bạn đang tạo một tài khoản Youtube mới, bạn có thể kết hợp cụm từ viết tắt của Youtube như là “utube” kết hợp với mật khẩu gốc của bạn, ví dụ như “vietnam”. Kết quả, bạn sẽ tạo ra một cụm từ mới là “UTUBEVIETNAM”, sau đó, bạn sử dụng vòng tròn thứ 2 và thứ 4 ở hình 1 để tìm ra mật khẩu “Spider’s Web” của bạn. Nếu bạn tìm ký tự “U” ở vòng tròn thứ 3, bạn sẽ thấy nó tương ứng với ký tự “^” ở vòng tròn thứ 4. Ký tự “T” ở vòng tròn thứ 1 khớp với ký tự “1” ở vòng tròn thứ 2. Cứ tiếp như vậy, kết quả cuối cùng bạn có được từ mật khẩu gốc “UTUBEVIETNAM” tương ứng với “^1^%Rz7R1E8h”. Đây chính là mật khẩu bạn sử dụng cho tài khoản Youtube của mình.

Hình phía trên chỉ là ví dụ để hướng dẫn cách sử dụng. Các bạn cần phải tạo cho mình một “Spider’s Web” từ hình trống (hình 2) tôi cung cấp ở trên. Chỉ cần đảm bảo rằng vòng tròn thứ 1 và thứ 3 chứa tất cả các ký tự mà bạn dự định sử dụng để tạo ra các mật khẩu gốc của mình. Bạn có thể tạo ra phiên bản của riêng mình một cách thủ công hoặc sử dụng Microsoft Word, công cụ cho phép thiết kế một “Spider’s Web” với số lượng ô linh hoạt, có thể thay đổi theo ý thích của bạn. Dù sử dụng cách nào đi nữa, sau khi hoàn tất, hãy nhớ lưu lại những bản sao – bạn có thể cất ở nhà, bỏ vào bóp, lưu trữ và điện thoại … (tuy nhiên cần đảm bảo giữ gìn chúng cẩn thận đừng để thất lạc hoặc bị lộ ra ngoài).

Bạn cũng có thể sáng tạo thêm nhiều cách khác để tạo mật khẩu từ “Spider’s Web”.Chẳng hạn, vẫn sử dụng hướng tiếp cận căn bản như ở bước trên, mật khẩu gốc cho Facebook có thể là: FBVIETNAM. Thay vì sử dụng phương pháp ở bước trên, bạn có thể nhảy về phía trước hoặc lùi về phía sau với các ô ở vòng tròn thứ 2 và thứ 4. Ví dụ, trong hình 1, mật khẩu gốc bằng đầu bằng ký tự “F” ở vòng tròn đầu tiên, thay vì sử dụng ký tự “@”, bạn có thể tiến về phía trước 1 ô và sử dụng ký tự “v” ở vòng trong thứ 2. Cứ tiếp tục như vậy, kết quả cuối cùng nhận được sẽ là “v!7WYfXlB”.

Một cách khác là “jumping the circle”. Nếu mật khẩu cho Gmail của bạn là GMVIETNAM, bạn sẽ bắt đầu bằng ký tự “G” ở vòng tròn thứ 3. Thay vì sử dụng ký tự “6” ở vòng tròn thứ 4, bạn có thể nhảy về vòng tròn thứ 2 và sử dụng ký tự “f”. Tiếp tục như vậy, cuối cùng bạn sẽ có kết quả: “f%2aY$alXJ2%”

Có vô số cách để sử dụng “Spider’s Web”, cách dùng càng phức tạp thì càng giúp bạn bảo mật hơn. Nhưng phải đảm bảo rằng bạn phải nhớ được các quy luật để tạo ra mật khẩu đấy. Bạn có thể dùng cách này để nâng cao sự an toàn cho các câu hỏi bảo mật thường được dùng trong quá trình khôi phục mật khẩu. Các câu hỏi trong phần khôi phục mật khẩu thường dễ bị đoán hoặc bẻ khóa, bằng cách sử dụng “Spider’s Web” bạn có thể tạo ra câu trả lời mang tính ngẫu nhiên, khó đoán nhưng bạn lại rất dễ nhớ.

Phần mềm quản lý mật khẩu

Ngoài cách sử dụng Spider’s Web, có rất nhiều chương trình khác hỗ trợ lưu trữ và quản lý mật khẩu tập trung như: LastPass, KeePass, Bitwarden, 1Password, DashLane Password Safe, Password Gorilla và Roboform. Một vài trong số chúng là những ứng dụng cloud-based và có thể sử dụng trên nhiều thiết bị khác nhau, một số ứng dụng thì chỉ có thể được sử dụng trên thiết bị đã được cài đặt. Những ai không tin tưởng vào các phần mềm quản lý mật khẩu dạng cloud-based có thể sử dụng các phần mềm offline như Diceware. Bên cạnh việc cung cấp cho chúng ta những thủ thuật để tạo một mật khẩu mạnh, các phần mềm quản lý còn giúp ta mã hóa mật khẩu. Bạn chỉ cần nhớ một mật khẩu duy nhất đó là mật khẩu chính (master password) và đừng bao giờ quên nó.

Multi-factor Authentication Options

Chứng thực nhiều lớp (Multi-factor Authentication) giúp nâng cao tính bảo mật cho tài khoản của bạn, hãy sử dụng tính năng này trên bất kỳ nền tảng nào có hỗ trợ (Gmail, Facebook …). Bạn có thể dùng tính năng này cho các tài khoản trực tuyến của mình bằng cách sử dụng các dịch vụ chứng thực hai lớp như Google Authenticator hoặc Duo Security. Khi bạn đăng nhập vào tài khoản, những công cụ này sẽ tự động gửi cho bạn một mã chứng thực thông qua SMS hoặc thông qua những ứng dụng của họ.

Một vài công ty cũng đang phát triển các cách chứng thực sử dụng sinh trắc học như vân tay, võng mạc, giọng nói hoặc nhận diện khuôn mặt. Chúng có thể dùng để truy cập vào thiết bị của bạn hoặc xác nhận thanh toán như Alibaba hoặc Apple. Nếu bạn không muốn sử dụng tùy chọn chứng thực bằng sinh trắc học thì lựa chọn tốt nhất vẫn là mật khẩu.

Dành cho những ai muốn khám phá nhiều hơn về vấn đề này, có nhiều thiết bị phần cứng hỗ trợ cho việc chứng thực nhiều yếu tố như: USB chứng thực hai bước của MobiKey, NitroKey và Yubikey U2F. Các thiết bị này tạo một kết nối bảo mật với thiết bị của bạn không qua một máy ảo. Ngoài ra, còn có các loại thẻ với các loại chip bảo mật đặc biệt như qwertycards.com