Khi một biểu mẫu (form) đăng ký yêu cầu tạo một mật khẩu (password) mới, ý nghĩ đầu tiên đến trong đầu của nhiều người dùng là: "OK. Tôi sẽ tạo một mật khẩu thật dễ và có liên quan trực tiếp đến tôi để tôi không bao giờ quên nó". Với suy nghĩ như vậy,
Khi một biểu mẫu (form) đăng ký yêu cầu tạo một mật khẩu (password) mới, ý nghĩ đầu tiên đến trong đầu của nhiều người dùng là: "OK. Tôi sẽ tạo một mật khẩu thật dễ và có liên quan trực tiếp đến tôi để tôi không bao giờ quên nó". Với suy nghĩ như vậy, mật khẩu được tạo ra sẽ là cái gì đó tương tự như "IloveSally143." Một tin tặc (hacker) chỉ cần chưa đến một phút để bẻ khoá (crack) mật khẩu dạng này và chiếm hoàn toàn quyền kiểm soát tài khoản của bạn.

Gần đây, các công ty và các trang web đang làm việc tích cực để nâng cao nhận thức của người dùng về việc sử dụng mật khẩu mạnh (strong password), và họ đồng thời đưa ra các quy định tạo mật khẩu để buộc người dùng phải tạo các mật khẩu mạnh hơn. Rất may, với rất nhiều các tin tức về việc các tài khoản bị hack, cùng các bài viết nhấn mạnh vào việc sử dụng mật khẩu mạnh, người dùng đã dần nhận thức được tầm quan trọng của vấn đề này. Tuy nhiên, vẫn còn một câu hỏi bị bỏ ngỏ, mật khẩu mạnh là gì? Trong bài viết này, VnReview sẽ giúp bạn trả lời câu hỏi này, cũng như hướng dẫn bạn cách để tạo được một mật khẩu dạng như vậy.



Mật khẩu bị bẻ khoá như thế nào?
Trước khi trả lời câu hỏi bên trên, mời bạn cùng chúng tôi tìm hiểu một mật khẩu sẽ bị bẻ khoá như thế nào. Có nhiều cách để crack một một khẩu, và những cách phổ biến nhất là Brute Force Attack (Tấn công Vét cạn) và Dictionary Attack (Tấn công Từ điển).
Từ điển bách khoa toàn thư Wikipedia định nghĩa hai kỹ thuật tấn công này như sau:

*** Brute Force Attack
Đây là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute Force Attack hoạt động bằng cách thử tất cả các chuỗi ký tự có thể để tìm ra mật khẩu. Vì thế, thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn nếu không giới hạn thời gian. Brute Force chỉ được dùng khi các phương pháp khác đều không hiệu quả.


*** Dictionary Attack
Trong khi đó, Dictionary Attack là kỹ thuật phá mã hoặc vượt qua một cơ chế xác thực bằng cách thử các khóa mã hay mật khẩu trong một miền tiềm năng.
Kỹ thuật này tấn công mục tiêu bằng cách thử tất cả các từ trong một danh sách dài gọi là dictionary (từ điển) được chuẩn bị trước. Khác với kiểu Tấn công Vét cạn, phần lớn không gian khóa được tìm kiếm một cách hệ thống, Tấn công Từ điển thử trong vùng có nhiều khả năng thành công nhất, thường xuất phát từ một danh sách các từ, ví dụ như một từ điển hoặc một kinh thánh...


*** Giải pháp: Câu trả lời cho cả hai kỹ thuật tấn công trên rất đơn giản: tạo một mật khẩu dài và không có nghĩa. Một mật khẩu bao gồm 16 ký tự hoặc nhiều hơn với các ký tự hoàn hoàn toàn ngẫu nhiên sẽ là một lựa chọn rất hoàn hảo. Tuy nhiên, việc tạo và quản lý những mật khẩu như vậy rất khó khăn, vấn đề này sẽ được chúng tôi giải thích ngay bên dưới.

*** Lưu ý: Các hacker cũng thường sử dụng kỹ thuật Phishing Attacks (Tấn công Giả mạo) để đánh cắp mật khẩu của người dùng. Một mật khẩu mạnh sẽ không thể giúp bạn chống lại kỹ thuật Phishing Attack vì tin tặc sẽ trộm mật khẩu thật thông qua một trang web giả mạo.

Tạo mật khẩu mạnh, dễ nhớ bằng cách thủ công
Đối với những ai không thích phó thác các tài khoản đăng nhập của mình cho các ứng dụng bên thứ ba, chúng tôi biết một cách thủ công để tạo và nhớ một mật khẩu mạnh. Bạn có thể tạo một mật khẩu từ một cụm từ/câu dài và có liên quan trực tiếp đến bạn mà người khác không biết gì về nó. Thí dụ, bạn có thể tạo nhiều mật khẩu từ một câu như "I eat vanilla ice cream at 3am, but I don't get any sleep afterwards!" Với câu này, bạn sẽ có thể có các mật khẩu như sau:
•Ievica3,bidgasa!
•IeViCA3,bUtidgAsa!
•iEvicA3am,BiDONTgaSa!

Đây là cách dễ nhất để tạo một strong password và không cần phải phụ thuộc vào các dịch vụ bên thứ ba. Có nhiều công cụ sẽ cho phép bạn tạo một password mạnh, và cũng có rất nhiều công cụ giúp bạn lưu trữ và quản lý chúng. Dưới đây là một vài công cụ bạn có thể sử dụng:

*** Tạo mật khẩu
- Secure Password Generator: một dịch vụ giúp tạo mật khẩu online rất dễ sử dụng, cho phép người dùng quy định độ dài và các kiểu ký tự của một mật khẩu để thuận tiện cho việc tạo một mật khẩu mạnh. Dịch vụ này cũng cung cấp các gợi ý (hints) để giúp bạn dễ dàng nhớ các mật khẩu đã tạo.

- LastPass Password Generator: hãng cung cấp phần mềm quản lý mật khẩu LastPass cũng có một trang tạo mật khẩu online. Trang này có giao diện trực quan và cung cấp nhiều công cụ tiện dụng cho việc tạo mật khẩu mạnh.

*** Quản lý mật khẩu

- LastPass: chúng tôi khuyến nghị sử dụng LastPass vì giao diện đơn giản và các tuỳ chọn bảo mật chuyên nghiệp của ứng dụng này. LastPass cho phép người dùng lưu trữ an toàn tất cả các mật khẩu, cũng như đồng bộ chúng xuyên suốt tất cả các thiết bị.

- Dashlane: cũng là một lựa chọn rất tốt vì giao diện dễ dùng và khả năng bảo mật cao, điển hình là mật khẩu hai lớp (2-factorauthentication). Ngoài ra, Dashlane còn có ví điện tử để lưu trữ thông tin hoá đơn, thẻ tín dụng…

*** Lưu ý quan trọng: tuyệt đối không sử dụng chung một mật khẩu cho nhiều tài khoản khác nhau; bởi vì nếu một trong những tài khoản của bạn bị hack, bạn có thể mất tất cả các tài khoản còn lại.

Tóm lại: Bạn không nên xem nhẹ tầm quan trọng của mật khẩu mạnh vì hàng chục ngàn hacker ngoài kia đang nhòm ngó và cố gắng xâm nhập để chiếm đoạt tài khoản của bạn. Bạn có thể biện luận rằng, bạn chỉ là một người dùng thông thường, sẽ không có tên hacker nào rảnh rỗi để hack tài khoản của bạn, nhưng hacker không quan tâm đến việc bạn là ai. Chúng hack mọi thứ chúng có thể, bằng cách này hay cách khác. Hành vi đánh cắp danh tính và sử dụng sai trái tài khoản và thông tin của bạn là điều mà người dùng thông thường nên lo ngại. Chúng tôi khuyên bạn nên tạo mật khẩu hai lớp trên các dịch vụ có hỗ trợ chức năng này, vì đây là cách bảo vệ tốt nhất chống lại những tên hacker.

Theo Diễn Đàn Đầu Tư
(QueHuongNgayMai )