Ngoài mật khẩu: Những cách thông minh hơn để bảo vệ tài khoản trực tuyến của bạn

Security
Ngoài mật khẩu: những cách thông minh hơn để bảo

Mật khẩu đã là một phần quan trọng trong bảo mật trực tuyến trong nhiều thập kỷ, nhưng chỉ dựa vào chúng thôi thì không còn đủ. Các chuyên gia an ninh mạng hiện nhấn mạnh tầm quan trọng của việc bổ sung các lớp bảo vệ để chống lại các mối đe dọa tiên tiến hơn hiện nay.

Tại sao chiến lược bảo mật của bạn phải vượt xa mật khẩu

Các chuyên gia an ninh mạng tại Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) hiện cảnh báo rằng mật khẩu về cơ bản là dễ bị tấn công và nên tránh bất cứ khi nào có thể. Ngay cả mật khẩu mạnh nhất cũng có thể bị xâm phạm theo hai cách phổ biến:

  • Lừa đảo: Tội phạm mạng triển khai các chiến thuật lừa đảo, dụ người dùng tiết lộ thông tin xác thực của họ thông qua các liên kết đăng nhập giả mạo được thiết kế để bắt chước các trang web hợp pháp. Sau khi người dùng nhập thông tin của họ, kẻ tấn công sẽ nắm bắt thông tin đó, khiến độ mạnh của mật khẩu không còn phù hợp.
  • Tấn công ngoại tuyến: Những cuộc tấn công này liên quan đến tội phạm mạng đánh cắp cơ sở dữ liệu mật khẩu được mã hóa trong quá trình vi phạm dữ liệu. Sau đó, họ tận dụng các máy tính mạnh mẽ để chạy các chương trình bẻ khóa mật khẩu tự động ngoại tuyến. Một PC hiện đại có thể thử tới 100 tỷ lần đoán mỗi giây, nghĩa là mật khẩu tám ký tự với chữ in hoa, số và ký hiệu có thể được giải mã gần như ngay lập tức.

Với những mối đe dọa này, trọng tâm của bạn phải chuyển từ việc tạo mật khẩu tốt hơn sang thực hiện các biện pháp bảo mật bổ sung.

Hệ thống phân cấp bảo mật mới của bạn cho năm 2025 trở đi

Để thực sự bảo mật tài khoản của bạn, hãy tuân theo hệ thống phân cấp phòng thủ hiện đại được các chuyên gia an ninh mạng khuyến nghị.

Ưu tiên số 1: Kích hoạt passkey (thay thế mật khẩu)

Thay đổi lớn nhất trong bảo mật kỹ thuật số là việc chuyển sang sử dụng mật mã, một giải pháp thay thế an toàn hơn cho mật khẩu. Mật mã lưu trữ khóa kỹ thuật số riêng tư trên điện thoại hoặc máy tính xách tay của bạn. Bạn có thể đăng nhập vào tài khoản của mình bằng cách xác minh thiết bị bằng mã PIN hoặc dấu vân tay.

Mật mã có khả năng chống lừa đảo; bạn không thể bị lừa nhập mật mã trên một trang web giả mạo. Chúng cũng là duy nhất cho mỗi trang web, vì vậy việc vi phạm dữ liệu tại một công ty sẽ không làm lộ các tài khoản khác của bạn.

Bước hành động: Kiểm tra cài đặt tài khoản của bạn để biết “Bảo mật” hoặc “Tùy chọn đăng nhập” và chọn Tạo mật khẩu bất cứ nơi nào có sẵn.

Ưu tiên số 2: Kích hoạt xác thực đa yếu tố (MFA)

Đối với bất kỳ tài khoản nào không hỗ trợ mật mã, việc bật MFA là một bước quan trọng mà bạn có thể thực hiện để bảo mật tài khoản đó.

MFA bổ sung thêm một lớp bảo vệ khác ngoài mật khẩu của bạn. Nó yêu cầu một yếu tố xác minh khác, có thể là thứ bạn có (ví dụ: điện thoại của bạn) hoặc thứ gì đó về bạn (ví dụ: dấu vân tay của bạn). Bằng cách đó, ngay cả khi tội phạm mạng lấy được mật khẩu của bạn, chúng vẫn không thể truy cập vào tài khoản của bạn nếu không hoàn thành bước xác thực bổ sung.

Trong khi nhiều dịch vụ sử dụng mã SMS cho MFA, các chuyên gia bảo mật tại NIST cảnh báo rằng những mã này có thể bị chặn. Để bảo mật tốt hơn, hãy ưu tiên các phương pháp mạnh mẽ hơn, chẳng hạn như:

  • Ứng dụng Authenticator (ví dụ: Google Authenticator, Microsoft Authenticator)
  • Khóa bảo mật vật lý (ví dụ: khóa USB)
  • Thông báo đẩy được gửi từ ứng dụng đáng tin cậy trên thiết bị của bạn

Bước hành động: Xem lại cài đặt bảo mật của các tài khoản chính của bạn (ví dụ: email, ngân hàng và phương tiện truyền thông xã hội) và bật MFA bất cứ khi nào có thể.

Ưu tiên số 3: Sử dụng trình quản lý mật khẩu

Nhiều tài khoản vẫn yêu cầu mật khẩu truyền thống. Vì không thể nhớ mật khẩu dài và duy nhất cho mỗi mật khẩu nên hãy sử dụng trình quản lý mật khẩu. Ứng dụng này tạo và lưu trữ an toàn tất cả thông tin xác thực duy nhất của bạn, đơn giản hóa bảo mật kỹ thuật số bằng cách yêu cầu bạn chỉ nhớ một mật khẩu chính để truy cập chúng.

Bước hành động: Cài đặt trình quản lý mật khẩu uy tín và để nó tạo mật khẩu mạnh, duy nhất cho các tài khoản không có mật khẩu của bạn.

Phải làm gì nếu bạn phải tạo mật khẩu

Nếu bạn cần tạo mật khẩu, hướng dẫn năm 2025 của NIST rất rõ ràng: độ dài là quan trọng nhất. Hãy nhắm tới ít nhất 15 ký tự.

NIST không còn khuyến nghị bắt buộc các ký tự đặc biệt, số hoặc chữ in hoa cho các yêu cầu mật khẩu. Mặc dù độ phức tạp góp phần tăng cường độ mạnh của mật khẩu nhưng độ dài lại hiệu quả hơn nhiều. Mật khẩu phức tạp gồm 10 ký tự (ví dụ: Tr@ub4d0r!) yếu hơn nhiều so với mật khẩu 20 ký tự đơn giản.

Cách dễ nhất để tạo một mật khẩu dài và dễ nhớ là xâu chuỗi nhiều từ không liên quan lại với nhau. Cụm mật khẩu chẳng hạn như “cassettelavababyriver” dài 21 ký tự, bạn dễ nhớ nhưng sẽ mất nhiều thời gian để máy tính bẻ khóa.

Để cập nhật các biện pháp thực hành an ninh mạng và xu hướng CNTT mới nhất, hãy kết nối với các chuyên gia CNTT của chúng tôi ngay hôm nay.