Tools sinh mật khẩu thông minh, tự động, tránh làm lộ mật khẩu

Một số lưu ý khi đặt mật khẩu

Để tránh cho mật khẩu bị tấn công bởi yếu hacker bằng kỹ thuật tấn công từ điển, tấn công từ điển, tấn công bằng social engineering, và giữ cho tài khoảng online của bạn được an toàn, bạn nên thực hiện những điều sau:

• 1. Không nên sử dụng chung mật khẩu, câu hỏi bảo mật, câu trả lời bảo nhật cho cùng các tài khoảng quang trọng như ngân hàng, email, facebook…
• 2. Sử dụng mật khẩu có chiều dài ít nhất là 16 ký tự, trong đó ít nhất phải chứa 1 ký số, 1 ký tự viết hoa và 1 ký tự đặc biệt.
• 3. Không nên sử dụng họ/tên của mình hoặc những người trong gia đình, tên thú cưng, ngày tháng năm sinh của mình/gia đình mình để đặt mật khẩu
• 4. Không nên sử dụng mã bưu chính, số nhà, tên đường, số điện thoại, ngày sinh nhật, số chứng minh nhân dân / căn cước công dân, số bảo hiểm xã hội, số bảo hiểm y tế, bất kỳ số gì mà có thể định danh là bạn làm mật khẩu.
• 5. Không nên sử dụng những mật khẩu đã bị công bố tên internet làm mật khẩu. Ví dụ như 123456, iloveyou, qwerty…
• 6. Không nên sử dụng mật khẩu có đoạn ký tự trùng nhau, ví dụ iloveyoupacpac, cualolocua, …
• 7. Không nên sử dụng những thứ có thể bị copy (mà bạn không thể thay đổi) làm mật khẩu. ví dụ như là xác thực bằng vân tay, khuôn mặt (Trong điều kiện bạn muốn an toàn tuyệt đối, thì không nên bật xác thực vân tay và xác thực khuôn mặt trên iphone , hi hi).
• 8. Không nên cho phép trình duyệt lưu toàn bộ mật khẩu (các trình duyệt hỗ trợ lưu mật khẩu như FireFox, Chrome, Safari, Opera, IE, Microsoft Edge ). bởi vì chúng ta có thể dễ dàng lấy lại mật khẩu từ trình duyệt.
• 9. Không nên đăng nhập vào tài khoảng quang trọng trên máy người lạ. Không nên đăng nhập vào tài khoảng quang trọng khi sử dụng wifi công cộng, free VPN, free web proxy, tor…
• 10. Không nên gửi các thông tin quang trọng qua các giao thức chưa được mã hóa( ví dụ HTTP, FTP ), bởi vì các thông tin đó có thể được đánh cắp một cách dễ dàng qua kỹ thuật sniffed. Bạn nên sử dụng các giao thức đã được mã hóa như là HTTPS, SFTP, FTPS, SMTPS, IPSec bất cứ khi nào có thể.
• 11. Khi đi du lịch, và sử dụng mạng internet / wifi miễn phí, nếu có thể, hãy mã hóa thông tin của bạn trước khi gửi đi. Ví dụ, bạn có thể sử dụng phần mềm hỗ trợ tạo VPN cá nhân hỗ trợ giao thức WireGuard( hoặc IKEv2, OpenVPN, SSTP, L2TP over IPSec ) vào server cá nhân của bạn( máy tính ở nhà, server bạn dựng trên AWS, VPS…). Hoặc bạn có thể thiết lập mã hóa kết nối SSH giữa máy bạn và server của bạn, và sau đó cấu hình cho Chrome hoặc FireFox sử dụng socks proxy của bạn. Do đó, ngay cả khi người xấu đã sniff được mảnh dữ liệu thông tin của bạn, họ cũng không thể xem được nó, bởi vì dữ liệu đã được mã hóa.
• 12. Thông thường, người dùng sẽ rất tự tin rằng mật khẩu họ đặt rất mạnh và khó bị hack. Nhưng trong thực tế, không có gì có thể bảo đảm được điều đó. Một trong những cách có thể kiểm tra là bạn sử dụng một chương trình hash md5 mật khẩu của bạn lại, kiểm tra trên các trạng MD5 decryption website, và kiểm tra xem đoạn md5 của bạn sẽ bị crack trong vòng bao lâu.
• 13. Khuyến cáo là nên đổi mật khẩu mỗi 10 tuần 1 lần, đối với các tài khoảng quang trọng. Một số tổ chức ngân hàng như techcombank ở Việt Nam có thực hiện theo khuyến nghị này, nhưng với số tuần dài hơn.
• 14. Thông thường, chúng ta không thể nhớ hết tất cả toàn bộ mật khẩu của chúng ta dã đặt ra. Vì vậy, có một cách khác để thực hiện là chỉ nhớ mật khẩu của những tài khoảng quang trọng. Đối với những tài khoảng ít quang trọng hơn, chúng ta có thể lưu dưới dạng text file và mã hóa file text này bằng các phần mềm như 7-zip, GPG hoặc BitLocker.
• 15. Nên sao lưu bản mã hóa file text mật khẩu ở một vài nơi, ví dụ đẩy lên email, lưu ở ổ phụ. Để nhỡ xui rủi, vì một lý do nào đó, bạn không thể truy xuất vào máy tính của bạn và lấy lại mật khẩu. Thì bạn có thể dễ dàng xem và lấy lại mật khẩu của những tài khoảng khác.
• 16. Bật xác minh hai bước bất cứ khi nào có thể.
• 17. Không nên lưu mật khẩu quang trọng trên mây
• 18. Truy cập những trang web quan trọng như paypal, ngân hàng, mail… từ bookmark. Nếu truy cập từ link lại, nên check kỹ domain xem đã chính xác hay chưa. Một mẹo nhỏ là chúng ta có thể kiểm tra độ phổ biến của website bằng công cụ Alexa toolbar để chắc chắn rằng domail bạn đang truy cập không phải là hàng giả
• 19. Bảo vệ máy tính bạn bằng tường lửa và chương trình diệt virus. Chặn tất cả các kết nối vào và tất cả các kết nối ra không cần thiết bằng tường lửa. Tải các phần mềm từ các site chính thống. Check mã MD5 / SHA1 / SHA256 checksum hoặc GPG signature của phần mềm nếu có thể.
• 20. Cập nhật hệ điều hành, các phần mềm duyệt web trong máy tính của bạn lên phiên bản mới nhất để fix các lỗi bảo mật
• 21. Nếu trong máy của bạn có lưu những file cực kỳ quang trọng, ví dụ như bảng lương của công ty, tin nhắn private với trà xanh … , thì nãy kiểm tra kỹ xem trong máy có chứa phần mềm keyloggers, hoặc phần cứng keyloggers( vd wireless keyboard sniffer ), hoặc camera ẩn. Những thứ ví dụ ở trên là một mối nguy hại rất lớn.
• 22. Bật tính năng khóa màn hình máy tính / máy tính bảng/ điện thoại ngay khi bạn không sử dụng chúng
• 23. Mã hóa toàn bộ ổ đĩa cứng bằng các phần mềm mã hóa như VeraCrypt, FileVault, LUKS, … để bảo vệ các file quan trọng trong máy. Hãy hủy vật lý ổ cứng cũ có chứa thông tin quan trọng của bạn (thay vì ném vào sọt rác, bán ve chai)
• 24. Nếu được, hãy dùng ít nhất 3 email để nhận mail. Một mail để nhận các thông tin quang trọng từ ngân hàng, paypal hoặc những gì có yếu tố ảnh hưởng đến túi tiền của bạn. Mail thứ hai dùng để xác thực/ nhận mail từ những site không quan trọng. Mail thứ 3 nhận pasword - reset mail khi mail số 1 bị hack. Một lưu ý là mail thứ 3 nên dùng một nền tảng mail khác mail 1. Ví dụ mail 1 dùng gmail thì mail 3 dùng outlook.
• 25. Nếu được, hãy sử dụng ít nhất 2 số điện thoại. Số điện thoại đầu tiên để xác thực 2 bước với các site quang trọng như ngân hàng. Không cho gia đình, người thân, bạn bè, đồng nghiệp biết số điện thoại số 1. Số điện thoại 2 là số điện thoại public, cho bạn bè người thân liên lạc, đăng ký các app/ web ít quang trọng hơn, vd là số điện thoại đặt hàng tiki, shopee, bách hóa xanh, điện máy xanh, mua trà sửa, tán anh hàng xóm….
• 26. Đừng click vào link trong email/SMS, hãy kiểm tra đường dẫn thật kỹ, và copy paste vào new tab nếu link chính xác, không phải giả mạo. Nếu bạn xác định nó giả mạo, nãy xóa nó đi, hoặc đánh dấu spam rồi xóa nó đi.
• 27. Không gửi mật khẩu của bạn cho người khác qua email.
• 28. Cẩn thận với các chương trình online paste tools và chương trình chụp ảnh màn hình download ở trên mạng.
• 29. Nếu bạn dev web, hãy làm có tâm một chút, đừng lưu mật khẩu của người dùng dạng plain text vào database. Bạn nên lưu bản mã hóa SHA1, SHA256 hoặc SHA512, kèm thêm một chút muối, tiêu, để bảo vệ người dùng. Một ý tưởng hay là lưu thêm mã hash định danh thiết bị người dùng đang sử dụng (vd hệ điều hành, kích thước màn hình, số cpu/ram …). Khi người dùng đăng nhập sai mật khẩu, và thiết bị người dùng sử dụng không giống với thiết bị đã sử dụng trước đó. Thì hãy bật xác thực 2 bước qua số điện thoại/ email sau khi người dùng đã đăng nhập được.
• 30. Nếu bạn là nhà phát triển phần mềm, hãy cố gắng cung cấp mã private key sử dụng GnuPG hoặc SHA-256 file ứng dụng của bạn để người dùng có thể kiểm tra xem file đã bị chỉnh sửa hay chưa. Nếu bạn kinh doanh online, hãy đăng ký một domain, thiết lập tài khoảng email tương ứng với domain. Điều này là cần thiết bởi vì bạn sẽ không đánh mất các thông tin liên lạc, và tài khoảng email của bạn sẽ không bị nhà cung cấp nào có thể xóa đi cả.