Đừng khổ nữa, dùng password manager đi!

Trong một buổi sáng xấu trời, khi tôi chứng kiến ngân hàng tên T mà cụ thể là Techcombank bị nói về việc giới hạn mật khẩu 8 ký tự và còn ép đổi mật khẩu thường xuyên, có một người lạ mặt đến và bảo vệ việc đổi mật khẩu thường xuyên. Tuy Microsoft đã khuyến cáo rằng việc đổi mật khẩu thường xuyên đã lỗi thời nhưng một số người vẫn cứ thích cái chính sách này tồn tại.

Và rồi bạn này bình luận như vầy:

Chiếc bình luận làm tôi cười nguyên cả buổi.

Tất nhiên là bảo mật tài khoản rất quan trọng, vì chúng ta có tài khoản ngân hàng, rồi cả tài khoản game, ứng dụng có liên kết thẻ thanh toán vào, tài khoản dịch vụ y tế,… Lộ tài khoản thì sẽ mất tiền, mất thông tin và mất đủ thứ khác, lại lật đật đi đổi hết mật khẩu hết thì mất cả thời gian, công sức. Nhưng bảo mật thì có nhất thiết phải đổi mật khẩu thường xuyên không, và làm sao để tài khoản an toàn mà không tốn nhiều công sức và không phải nhớ quá nhiều?

Đầu tiên, hãy nói về rủi ro khi bạn bị lộ mật khẩu.

Ôi không. (Mật khẩu mang tính chất minh họa)

Theo haveibeenpwned, mật khẩu ngày xưa tôi hay dùng đã bị lộ 2 lần. Và chắc chắn có hacker nào đấy khi mua bán dũ liệu đã sở hữu combo email + mật khẩu của tôi. Có mật khẩu thì làm gì? “Nhồi” nó vào các trang web để xem có mở khóa được dịch vụ nào không thôi! Bình thường hacker phải đoán mật khẩu, nhưng mà đoán làm gì khi họ có danh sách mật khẩu của bạn nữa? Và đây là chuỗi email đến từ Ubisoft:

Mỗi lần nhìn thấy email này là một lần đau tim.

Đương nhiên rồi, có mật khẩu thì đi dò tài khoản game chứ sao! Thật may là tài khoản này của tôi chả có thông tin gì quan trọng, tuy nhiên đây chính là hồi chuông cảnh báo để tôi đổi toàn bộ mật khẩu của mình.

Theo nguyên tắc bảo mật an toàn, thì mỗi dịch vụ nên có một mật khẩu riêng để đảm bảo rằng kể cả khi một dịch vụ làm lộ mật khẩu của bạn, thì hacker cũng không thể đụng vào các dịch vụ khác. Người trong ảnh đầu tiên của bài cũng có một quy tắc rất hay: Sử dụng một mẫu hình trên bàn phím, không phải chuỗi ký tự, nên mật khẩu sẽ khó đoán hơn. Tôi có thể tưởng tượng được ra rằng nếu người này đặt mật khẩu cho tài khoản Facebook, nó sẽ giống thế này: qweasdztyughjkmnb, vẽ hình trên bàn phím ra chữ FB. Tuy nhiên giờ mới nảy sinh vài vấn đề thế này:

• Một số dịch vụ bắt buộc bạn phải sử dụng ký hiệu (*, ^, +,…) cho mật khẩu.
• Một số dịch vụ chỉ cho phép sử dụng bộ ký hiệu a có 18 ký hiệu. Một số dịch vụ khác lại bắt sử dụng bộ ký hiệu b chỉ có 6 ký hiệu). Nhiều khi dịch vụ a cho phép sử dụng dấu và (&), nhưng dịch vụ b lại không cho phép.
• Bố cục ký hiệu khác nhau trên các loại bàn phím khác nhau, mỗi ứng dụng bàn phím, mỗi hệ điều hành cũng có bố cục riêng của mình.
• Các bộ ký hiệu được phép sử dụng hầu như chỉ hiển thị khi bạn đặt lại mật khẩu, không phải khi đăng nhập.
• Nhiều dịch vụ chỉ cho phép bạn nhập sai mật khẩu vài lần (thường là 5) trước khi chặn bạn đăng nhập hoặc luôn báo rằng mật khẩu bạn sai kể cả khi bạn nhập đúng. Và thế là mỗi lần nhập mật khẩu, bạn phải tiến hành đặt lại vì bạn có nhớ nổi đâu. Cực chưa?

Đấy, đặt mật khẩu cực vậy mà các dịch vụ cứ ép người dùng đặt lại mật khẩu hoài, lại còn cấm đặt trùng mật khẩu cũ nữa. Giờ giả sử bạn phải nhớ 50 cái mật khẩu của 50 dịch vụ, và cứ mỗi 3 tháng, 50 cái dịch vụ này lại réo bạn đổi mật khẩu. Và thế là trong đầu bạn giờ lại có 100 cái mật khẩu, và con số này cứ thế tăng lên từng ngày. Rồi bạn còn nhớ nổi mật khẩu nào là mật khẩu đúng nữa không, hay lần nào đăng nhập cũng phải chọn Quên mật khẩu? Rồi quên mãi cũng mệt, có khi nào bạn lại viết mật khẩu ra giấy hay thêm hậu tố vào mật khẩu (password -> password1 -> password2), làm cho mọi thứ trở nên mất an toàn và phiền hà hơn không?

Lộ mật khẩu thì sợ, nhớ mật khẩu thì khó, bây giờ làm sao? Chào mừng bạn đến với thế giới của password manager.

Password manager có thể dùng ở khắp mọi nơi, kể cả trong ứng dụng.

Trình quản lý mật khẩu (password manager) sẽ giúp bạn quản lý mật khẩu dễ dàng hơn. Chúng sẽ tự tạo mật khẩu an toàn và độc nhất cho bạn để bạn khỏi phải nhớ và khỏi phải lo lắng nữa, đồng thời chúng cũng có thể tự điền mật khẩu, khiến bạn tiết kiệm được thời gian để làm việc khác. Thế là từ 50 cái mật khẩu cần nhớ, giờ chỉ còn phải nhớ vài ba cái quan trọng thôi. Mà lỡ may đi sang máy người khác dùng hay ứng dụng không hỗ trợ điền tự động, bạn vẫn có thể mở ứng dụng quản lý mật khẩu, xác thực và lấy mật khẩu để gõ vào. Chưa kể, giờ đây bạn chả phải nhớ mật khẩu nữa, bạn có thể nhớ nhiều thứ khác hơn, chẳng hạn như ngày sinh, ngày kỷ niệm, hay bất kỳ thứ kiến thức nào khác. Bản thân tôi sử dụng trình quản lý mật khẩu của Microsoft, chúng được tích hợp trong các ứng dụng Microsoft Edge và Microsoft Authenticator cho đủ các hệ điều hành khác nhau, để tôi có thể thôi lo lắng về mật khẩu. Tất nhiên là việc lựa chọn ứng dụng nào là do bạn quyết định, miễn là bạn kiểm tra kỹ nguồn gốc của dịch vụ và xem dịch vụ đấy đã từng có phốt gì không là được. Khỏi phải lo lắng về việc mật khẩu bị lộ, cũng khỏi phải nhớ mật khẩu dài, phức tạp và thay đổi thường xuyên, sướng thế không thích sao? Chưa kể với password manager, nó sẽ không tự động điền nếu bạn ở sai trang. Hacker nào mà định lừa bạn thì bạn cũng có thể thấy điều bất thường mà chạy ngay rồi.

Tuy nhiên đây chỉ là mắt xích nhỏ thôi nhé. Đừng quên bật cảnh báo đăng nhập - theo dõi email và ứng dụng của bạn thường xuyên để phát hiện các hoạt động đăng nhập bất thường, và sử dụng ứng dụng xác minh hai bước (2FA) để đảm bảo an toàn tuyệt đối cho tài khoản nhé. Chúc bạn sống thật sướng!

Bonus 1: Xác minh 2 bước

Xác minh 2 bước sẽ đảm bảo rằng tài khoản của bạn chỉ có bạn có thể truy cập được, kể cả khi có ai đó biết được mật khẩu của bạn. Xác minh 2 bước sẽ sử dụng 1 mật khẩu dùng 1 lần. Thường thì có SMS/email OTP, mật khẩu được gửi qua SMS/email của bạn, nhưng gửi qua SMS thì không được an toàn lắm vì nó không bảo mật và có thể dễ dàng chiếm đoạt bằng nhiều cách, từ việc đọc tin nhắn cho đến việc tìm cách lừa nhà mạng để chiếm số thuê bao của bạn. Chưa kể nếu bạn mất sóng di động, bạn cũng chả nhận được mã đâu. Mật khẩu một lần dựa theo thời gian (TOTP) an toàn hơn nhiều, vì mỗi mật khẩu chỉ có hạn dùng khoảng 30s, và nó có thể hoạt động mà không cần internet hay sóng di động. Nếu bạn có dịch vụ lưu thẻ ngân hàng, hay các tài khoản quan trọng (email, password manager,…) và dịch vụ có hỗ trợ cả SMS OTP và TOTP, hãy ưu tiên dùng TOTP nhé.

Tất nhiên là TOTP cũng có rủi ro làm bạn mất quyền truy cập vào tài khoản nếu bị mất thiết bị lấy mã. Để tránh điều này, một số dịch vụ có các mã dự phòng mà bạn có thể sử dụng để bỏ qua TOTP. Nhớ tải xuống và lưu nó ở nhiều nơi, hoặc viết ra giấy rồi cất đi đâu đó nhé. Đừng quên tạo lại mã dự phòng nếu bạn không còn bản sao nào hoặc khi bạn xài gần hết - bạn sẽ chả biết khi nào bạn cần nó đâu.

Về ứng dụng quản lý TOTP, bạn nên sử dụng Authy hoặc Microsoft Authenticator. TUYỆT ĐỐI KHÔNG SỬ DỤNG GOOGLE AUTHENTICATOR! GAuth không có tính năng sao lưu, bạn chỉ có thể chuyển TOTP sang máy mới nếu bạn đang còn sở hữu máy cũ. Còn nếu bạn làm mất máy cũ thì xin chúc mừng bạn, bạn đã có 90% xác suất bị mất tài khoản, và nếu bạn không có mã khôi phục ở đâu đấy, thì xác suất là 100% - chia buồn với bạn.

Bonus 2: Passwordless

Sẽ ra sao nếu chúng ta bỏ mật khẩu? Microsoft đã thử điều đó từ năm 2020 với việc cho phép người dùng đăng nhập tài khoản bằng ứng dụng Microsoft Authenticator và mật khẩu/xác thực sinh trắc học (vân tay, mống mắt, khuôn mặt,…) của điện thoại. Tiện, nhanh và an toàn hơn nhiều vì chúng ta không phải nhập mật khẩu nữa, nhất là khi dùng máy ở nơi công cộng. Và trong tương lai, WebAuthn có thể sẽ thay thế mật khẩu. Về cơ bản, thay vì xác thực bằng mật khẩu, chúng ta có thể dùng chìa khóa số - có thể là chìa khóa USB cứng, hay vân tay của điện thoại/laptop để đăng nhập. Thế là chả phải nhớ gì nhiều nữa, cũng chả phải dùng đến ứng dụng can thiệp, người dùng có thể thảnh thơi tận hưởng an toàn. Rất nhiều dịch vụ như eBay đã hỗ trợ WebAuthn rồi. Tất nhiên là sẽ phải rất lâu nữa, chúng ta mới có thể loại bỏ hoàn toàn mật khẩu ra khỏi cuộc sống, nhưng ngày tàn của mật khẩu cũng có thể thấy được rồi.