Hướng dẫn cách đặt mật khẩu mạnh để bảo vệ tài khoản của bạn
Hiện nay cùng với sự phát triển vượt bậc của công nghệ đặc biệt là trí tuệ nhân tạo và dữ liệu lớn, vấn đề an toàn và bảo mật thông tin càng trở nên cần thiết hơn bao giờ hết. Trong đó vấn đề bảo vệ tài khoản trên các trang mạng, các ứng dụng và tài khoản khác là cực kỳ quan trọng. Do đó hôm nay VniTeach sẽ hướng dẫn các bạn cách đặt mật khẩu mạnh để bảo vệ tài khoản của bạn.
Để ngăn mật khẩu của bạn bị tấn công bởi kỹ thuật xã hội, vũ lực hoặc phương pháp tấn công từ điển và giữ an toàn cho các tài khoản trực tuyến của bạn, bạn nên lưu ý rằng:
- Không sử dụng cùng một mật khẩu, câu hỏi bảo mật và câu trả lời cho nhiều tài khoản quan trọng.
- Sử dụng mật khẩu có ít nhất 16 ký tự, sử dụng ít nhất một số, một chữ hoa, một chữ thường và một ký hiệu đặc biệt.
- Không sử dụng tên của gia đình, bạn bè hoặc vật nuôi trong mật khẩu của bạn.
- Không sử dụng mã bưu điện, số nhà, số điện thoại, ngày sinh, số chứng minh nhân dân, số an sinh xã hội, v.v. trong mật khẩu của bạn.
- Không sử dụng bất kỳ từ điển nào trong mật khẩu của bạn. Ví dụ về mật khẩu mạnh: ePYHc ~ dS *) 8 $ + V- ‘, qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Ví dụ về mật khẩu yếu: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, Nortonpassword.
- Không sử dụng hai hoặc nhiều mật khẩu giống nhau mà hầu hết các ký tự của chúng đều giống nhau, ví dụ: ilovefreshflowersMac, ilovefreshflowersDropBox, vì nếu một trong những mật khẩu này bị đánh cắp, thì có nghĩa là tất cả các mật khẩu này đều bị đánh cắp.
- Không sử dụng thứ có thể nhân bản (nhưng bạn không thể thay đổi) làm mật khẩu, chẳng hạn như dấu vân tay của bạn.
- Không để các trình duyệt Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) lưu mật khẩu của bạn, vì tất cả mật khẩu được lưu trong trình duyệt Web đều có thể bị lộ dễ dàng.
- Không đăng nhập vào các tài khoản quan trọng trên máy tính của người khác hoặc khi được kết nối với điểm truy cập Wi-Fi công cộng, Tor, VPN miễn phí hoặc proxy web.
- Không gửi thông tin nhạy cảm trực tuyến thông qua các kết nối không được mã hóa (ví dụ: HTTP hoặc FTP), vì các thông báo trong các kết nối này có thể bị phát hiện mà không tốn nhiều công sức. Bạn nên sử dụng các kết nối được mã hóa như HTTPS, SFTP, FTPS, SMTPS, IPSec bất cứ khi nào có thể.
- Khi đi du lịch, bạn có thể mã hóa các kết nối Internet trước khi chúng rời khỏi máy tính xách tay, máy tính bảng, điện thoại di động hoặc bộ định tuyến của bạn. Ví dụ: bạn có thể thiết lập VPN riêng với các giao thức như WireGuard (hoặc IKEv2, OpenVPN, SSTP, L2TP qua IPSec) trên máy chủ của riêng bạn (máy tính gia đình, máy chủ chuyên dụng hoặc VPS) và kết nối với nó. Ngoài ra, bạn có thể thiết lập một đường hầm SSH được mã hóa giữa máy tính và máy chủ của riêng bạn và định cấu hình Chrome hoặc FireFox để sử dụng proxy vớ. Sau đó, ngay cả khi ai đó nắm bắt dữ liệu của bạn khi dữ liệu được truyền giữa thiết bị của bạn (ví dụ: máy tính xách tay, iPhone, iPad) và máy chủ của bạn bằng trình kiểm tra gói tin, họ sẽ không thể lấy cắp dữ liệu và mật khẩu của bạn từ dữ liệu phát trực tuyến được mã hóa.
- Mật khẩu của tôi an toàn đến mức nào? Có lẽ bạn tin rằng mật khẩu của bạn rất mạnh, khó bị hack. Nhưng nếu một tin tặc đã đánh cắp tên người dùng và giá trị băm MD5 của mật khẩu của bạn từ máy chủ của công ty và bảng cầu vồng của tin tặc có chứa băm MD5 này, thì mật khẩu của bạn sẽ nhanh chóng bị bẻ khóa.
Để kiểm tra độ mạnh của mật khẩu và biết liệu chúng có nằm trong các bảng cầu vồng phổ biến hay không, bạn có thể chuyển đổi mật khẩu của mình sang mã băm MD5 trên trình tạo mã băm MD5, sau đó giải mã mật khẩu của bạn bằng cách gửi các mã băm này tới dịch vụ giải mã MD5 trực tuyến. Ví dụ: mật khẩu của bạn là “0123456789A”, sử dụng phương pháp brute-force, máy tính có thể mất gần một năm để bẻ khóa mật khẩu của bạn, nhưng nếu bạn giải mã nó bằng cách gửi mã băm MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) tới trang web giải mã MD5, thì làm thế nào nó sẽ mất bao lâu để crack nó? Bạn có thể tự mình thực hiện kiểm tra. - Bạn nên thay đổi mật khẩu của mình 10 tuần một lần.
- Bạn nên nhớ một vài mật khẩu chính, lưu trữ các mật khẩu khác trong tệp văn bản thuần túy và mã hóa tệp này bằng 7-Zip, GPG hoặc phần mềm mã hóa ổ đĩa như BitLocker hoặc quản lý mật khẩu của bạn bằng phần mềm quản lý mật khẩu.
- Mã hóa và sao lưu mật khẩu của bạn vào các vị trí khác nhau, sau đó nếu bạn bị mất quyền truy cập vào máy tính hoặc tài khoản của mình, bạn có thể lấy lại mật khẩu của mình một cách nhanh chóng.
- Bật xác thực 2 bước bất cứ khi nào có thể.
- Không lưu trữ các mật khẩu quan trọng của bạn trên đám mây, trình duyệt, ghi chú hay hình ảnh
- Truy cập trực tiếp các trang web quan trọng (ví dụ: Paypal) từ bookmark, nếu không hãy kiểm tra kỹ tên miền của trang web đó, bạn nên kiểm tra mức độ phổ biến của trang web bằng thanh công cụ Alexa để đảm bảo rằng đó không phải là trang web lừa đảo trước khi nhập mật khẩu của bạn.
- Bảo vệ máy tính của bạn bằng tường lửa và phần mềm chống vi-rút, chặn tất cả các kết nối đến và tất cả các kết nối đi không cần thiết với tường lửa. Chỉ tải xuống phần mềm từ các trang có uy tín và xác minh tổng kiểm tra MD5 / SHA1 / SHA256 hoặc chữ ký GPG của gói cài đặt bất cứ khi nào có thể.
- Giữ cho hệ điều hành (ví dụ: Windows 7, Windows 10, Mac OS X, iOS, Linux) và trình duyệt Web (ví dụ: FireFox, Chrome, IE, Microsoft Edge) trên thiết bị của bạn (ví dụ: Windows PC, Mac PC, iPhone, iPad , Máy tính bảng Android) cập nhật bằng cách cài đặt bản cập nhật bảo mật mới nhất.
- Nếu có các tập tin quan trọng trên máy tính của bạn và nó có thể bị người khác truy cập, hãy kiểm tra xem có các keylogger phần cứng (ví dụ: trình dò tìm bàn phím không dây), keylogger phần mềm và camera ẩn khi bạn cảm thấy cần thiết hay không.
- Nếu có bộ định tuyến WIFI trong nhà bạn, thì bạn có thể biết mật khẩu bạn đã nhập (ở nhà hàng xóm) bằng cách phát hiện cử chỉ của ngón tay và bàn tay của bạn, vì tín hiệu WIFI mà họ nhận được sẽ thay đổi khi bạn di chuyển ngón tay và bàn tay. Bạn có thể sử dụng bàn phím ảo để nhập mật khẩu của mình trong những trường hợp như vậy, sẽ an toàn hơn nếu bàn phím ảo này (hoặc bàn phím mềm) thay đổi bố cục mỗi lần.
- Khóa máy tính và điện thoại di động của bạn khi bạn rời khỏi chúng.
- Mã hóa toàn bộ ổ cứng bằng VeraCrypt, FileVault, LUKS hoặc các công cụ tương tự trước khi đưa các tệp quan trọng lên đó và phá hủy ổ cứng của các thiết bị cũ nếu cần thiết.
- Truy cập các trang web quan trọng ở chế độ riêng tư hoặc ẩn danh, hoặc sử dụng một trình duyệt Web để truy cập các trang web quan trọng, sử dụng một trình duyệt khác để truy cập các trang khác. Hoặc truy cập các trang web không quan trọng và cài đặt phần mềm mới bên trong máy ảo được tạo bằng VMware, VirtualBox hoặc Parallels.
- Sử dụng ít nhất 3 địa chỉ email khác nhau, sử dụng địa chỉ email đầu tiên để nhận email từ các trang web và Ứng dụng quan trọng, chẳng hạn như Paypal và Amazon, sử dụng địa chỉ thứ hai để nhận email từ các trang web và Ứng dụng không quan trọng, sử dụng địa chỉ thứ ba (từ một nhà cung cấp email, chẳng hạn như Outlook và GMail) để nhận email đặt lại mật khẩu của bạn khi email đầu tiên (ví dụ: Yahoo Mail) bị tấn công.
- Sử dụng ít nhất 2 số điện thoại khác nhau, KHÔNG cho người khác biết số điện thoại mà bạn sử dụng để nhận tin nhắn văn bản có mã xác minh.
- Không nhấp vào liên kết trong email hoặc tin nhắn SMS, không đặt lại mật khẩu của bạn bằng cách nhấp vào chúng, ngoại trừ việc bạn biết những tin nhắn này không phải là giả mạo.
- Không nói mật khẩu của bạn cho bất kỳ ai trong email.
- Có thể một trong các phần mềm hoặc Ứng dụng bạn tải xuống hoặc cập nhật đã bị tin tặc sửa đổi, bạn có thể tránh sự cố này bằng cách không cài đặt phần mềm hoặc Ứng dụng này ngay lần đầu tiên, ngoại trừ việc nó được xuất bản để sửa các lỗ hổng bảo mật. Thay vào đó, bạn có thể sử dụng các ứng dụng dựa trên Web, các ứng dụng này an toàn và di động hơn.
- Hãy cẩn thận khi sử dụng các công cụ dán trực tuyến và công cụ chụp ảnh màn hình, đừng để chúng tải mật khẩu của bạn lên đám mây.
- Nếu bạn là quản trị viên web, không lưu trữ mật khẩu người dùng, câu hỏi bảo mật và câu trả lời dưới dạng văn bản thuần túy trong cơ sở dữ liệu, thay vào đó bạn nên lưu trữ các giá trị băm muối (SHA1, SHA256 hoặc SHA512) của các chuỗi này. Bạn nên tạo một chuỗi muối ngẫu nhiên duy nhất cho mỗi người dùng. Ngoài ra, bạn nên đăng nhập thông tin thiết bị của người dùng (ví dụ: phiên bản hệ điều hành, độ phân giải màn hình, v.v.) và lưu các giá trị băm muối của chúng, sau đó khi họ cố gắng đăng nhập bằng mật khẩu chính xác nhưng thiết bị của họ. thông tin KHÔNG khớp với thông tin đã lưu trước đó, hãy cho phép người dùng này xác minh danh tính của mình bằng cách nhập mã xác minh khác được gửi qua SMS hoặc email.
- Nếu bạn là nhà phát triển phần mềm, bạn nên xuất bản gói cập nhật được ký bằng khóa cá nhân bằng GnuPG và xác minh chữ ký của gói đó bằng khóa công khai đã xuất bản trước đó.
- Để giữ an toàn cho hoạt động kinh doanh trực tuyến của bạn, bạn nên đăng ký một tên miền của riêng mình và thiết lập một tài khoản email với tên miền này, sau đó bạn sẽ không bị mất tài khoản email và tất cả các địa chỉ liên hệ của mình, vì bạn có thể lưu trữ thư của mình máy chủ ở bất cứ đâu, tài khoản email của bạn không thể bị vô hiệu hóa bởi nhà cung cấp dịch vụ email.
- Nếu một trang mua sắm trực tuyến chỉ cho phép thanh toán bằng thẻ tín dụng, thì bạn nên sử dụng thẻ tín dụng ảo để thay thế.
- Đóng trình duyệt web của bạn khi bạn rời khỏi máy tính, nếu không các cookie có thể bị chặn bằng thiết bị USB nhỏ một cách dễ dàng, giúp bạn có thể bỏ qua xác minh hai bước và đăng nhập vào tài khoản của mình bằng cookie bị đánh cắp trên các máy tính khác.
- Không tin cậy và xóa các chứng chỉ SSL xấu khỏi trình duyệt Web của bạn, nếu không bạn sẽ KHÔNG thể đảm bảo tính bí mật và tính toàn vẹn của các kết nối HTTPS sử dụng các chứng chỉ này.
- Mã hóa toàn bộ phân vùng hệ thống, nếu không, vui lòng vô hiệu hóa tệp trang và chức năng ngủ đông, vì bạn có thể tìm thấy các tài liệu quan trọng của mình trong tệp pagefile.sys và hiberfil.sys.
- Để ngăn chặn các cuộc tấn công đăng nhập brute force vào máy chủ chuyên dụng, máy chủ VPS hoặc máy chủ đám mây của bạn, bạn có thể cài đặt phần mềm ngăn chặn và phát hiện xâm nhập như LFD (Login Failure Daemon) hoặc Fail2Ban.
- Nếu có thể, hãy sử dụng phần mềm dựa trên đám mây thay vì cài đặt phần mềm trên thiết bị cục bộ của bạn, vì ngày càng có nhiều cuộc tấn công chuỗi cung ứng sẽ cài đặt ứng dụng độc hại hoặc bản cập nhật trên thiết bị của bạn để lấy cắp mật khẩu và giành quyền truy cập vào bí mật hàng đầu dữ liệu.
- Bạn nên tạo tổng kiểm tra MD5 hoặc SHA1 của tất cả các tệp trên máy tính của bạn (với phần mềm như MD5Summer) và lưu kết quả, sau đó kiểm tra tính toàn vẹn của các tệp của bạn (và tìm các tệp trojan hoặc chương trình có chèn cửa hậu) mỗi ngày bằng cách so sánh tổng kiểm tra của họ với kết quả đã lưu trước đó.
- Mỗi công ty lớn nên triển khai và áp dụng hệ thống phát hiện xâm nhập dựa trên Trí tuệ nhân tạo (bao gồm các công cụ phát hiện hành vi mạng bất thường).
- Chỉ cho phép các địa chỉ IP nằm trong danh sách trắng kết nối hoặc đăng nhập vào các máy chủ và máy tính quan trọng.
Vậy để có thể tạo mật khẩu mạnh nhanh và đáp ứng các yêu cầu trên, bạn hãy truy cập vào địa chỉ https://passwordsgenerator.net và thiết lập các tùy chọn có thể như hình dưới đây rồi Generate Password để sinh ngẫu nhiên, bạn yên tâm về độ bảo mật vì mỗi lần nháy chuột vào Generate Password thì mật khẩu lại được sinh ngẫu nhiên bất kỳ. Tiếp theo bạn chỉ việc sao chép lại mật khẩu có được bằng cách nháy vào nút Copy.
Để có thể ghi nhớ mật khẩu bảo mật như thế này sẽ rất khó do đó bạn có thể sử dụng ứng dụng quản lý mật khẩu mã nguồn mở miễn phí và cực kỳ an toàn có tên là KeePass tại đây.