Bảo mật và riêng tư trên mạng - Mật khẩu

Thứ Sáu, 5 tháng 3, 2021

Ngắn gọn: Nên sử dụng phần mềm quản lý mật khẩu. Nên chọn mật khẩu dài mà dễ nhớ. Nên tránh chia sẻ mật khẩu.

Ở bài này, chúng ta sẽ nói về mật khẩu. Nếu như bạn có tài khoản ở đâu đó, gần như chắc chắn bạn sẽ cần có mật khẩu để đăng nhập vào tài khoản đó. Có thể coi mật khẩu như là chìa khóa để vào nhà vậy. Thế nên mật khẩu là thứ gì đó tốt và nên dùng chăng?

Nhưng mật khẩu là thứ không tốt. Vấn đề lớn nhất đối với mật khẩu là mình phải nhớ nó. Và vấn đề này đẻ ra đủ các vấn đề khác. Đầu tiên, rất nhiều người dùng chung một mật khẩu cho nhiều tài khoản khác nhau vì họ không thể nhớ được nhiều mật khẩu khác nhau. Đúng là nếu có nhiều tài khoản khác nhau thì nên dùng mật khẩu khác nhau cho mỗi tài khoản. Giống như mỗi ổ khóa nên có một chìa khóa riêng vậy. Vậy giờ bạn nghĩ thế nào nếu như một chìa được dùng cho rất nhiều ổ khóa?

Bạn sẽ nghĩ thế nào nếu cái chìa khóa đó bị đánh cắp? Và bạn thậm chí có thể còn không biết là nó đã bị đánh cắp. Lấy ví dụ, mình không biết có bạn nào để ý đến việc VNG bị lộ cơ sở dữ liệu người dùng không, chứ mình hoàn toàn không hay biết. Cho đến khi mình kiểm tra email của mình trên Firefox Monitor và được báo là tài khoản của mình nằm trong cơ sở dữ liệu đã bị lộ này và còn hiện nguyên cả mật khẩu của mình lên. Ở thời điểm đó, mình cũng không dùng tài khoản đó được một vài năm. Nhưng mà Zalo của VNG là ứng dụng rất lớn với Việt Nam và mình dùng cái tài khoản cùng mật khẩu bị lộ đó đăng nhập vào Zalo. Và trong nháy mắt đã đăng nhập vào được. Thực sự không hiểu VNG xử lý bảo mật vụ này kiểu gì nữa. Vậy nên chẳng ai muốn bị đánh cắp mật khẩu, đặc biệt là còn chẳng biết là đã bị đánh cắp.

Thậm chí nhiều khi mật khẩu của bạn chẳng có vấn đề gì, nhưng thi thoảng, trang web hoặc bên IT của công ty lại bảo bạn đổi mật khẩu vì mật khẩu đó đã cũ. Thể là bạn lại phải tạo và nhớ mật khẩu mới, và thường mật khẩu đó phải khác mật khẩu cũ. Giống như thi thoảng, mẹ bạn lại đổi chìa khóa nhà và bảo bạn nhớ giữ chìa khóa mới và chìa khóa cũ vậy.

Để làm mọi thứ tệ hơn, ngày càng nhiều chỗ yêu cầu mật khẩu phải đủ mạnh với nào là đủ dài, đủ số, đủ viết hoa viết thường, đủ ký tự ngớ ngẩn chả ai dùng hằng ngày. Bạn vốn đã khó nhớ đống mật khẩu đơn giản, giờ lại phải nhớ động mật khẩu ngớ ngẩn. Chúc may mắn.

Và với tất cả những vấn đề nói sơ sơ ở trên, bạn chẳng hề có lỗi gì cả. Lỗi là ở hệ thống kỹ thuật khiến bạn bị như vậy. May mắn là rất nhiều người đã, đang, và sẽ tiếp tục cải thiện những vấn đề này. Lấy ví dụ, nếu như bạn đang dùng một cái điện thoại thông minh đủ tốt, thay vì phải gõ mật khẩu để mở máy, bạn chỉ cần chạm ngón tay vào cái nút nào đó hoặc thậm chí chỉ cần nhìn vào màn hình là khóa tự mở. Nó hoạt động rất chuẩn, chỉ một vài lần không được là nó yêu cầu bạn nhập mật khẩu. Một ngày kia mọi thứ sẽ hoạt động đơn giản và hiệu quả như thế. Nhưng hiện tại thì chúng ta vẫn phải sống chung với đống mật khẩu kia.

Với đống mật khẩu này, lời khuyên đầu tiên là bạn nên dùng phần mềm quản lý mật khẩu. Trình quản lý mật khẩu về cơ bản là phần mềm lưu trữ đống mật khẩu cho bạn để bạn không phải nhớ. Bạn sẽ chỉ cần nhớ một cái mật khẩu chính (master password) để mở cái trình quản lý mật khẩu này. Khi bạn tạo một cái mật khẩu phức tạp cho một trang web nào nó, lưu nó vào trình quản lý mật khẩu, rồi có thể quên béng nó đi. Khi cần lấy mật khẩu để đăng nhập vào trang web đó, bạn mở trình quản lý đó bằng cái mật khẩu chính, rồi lấy lại cái mật khẩu đã lưu là xong. Giờ mình đang dùng BitWarden nhưng có rất nhiều trình quản lý tốt khác để lựa chọn. Thậm chí hầu hết các trình duyệt web phổ biến đều có tính năng này. Với một trình quản lý mật khẩu tốt, bạn sẽ không phải nhớ nhiều mật khẩu. Và điều này giúp giải quyết hầu hết vấn đề. Giờ bạn có thể dùng mật khẩu khác nhau cho mỗi trang web, bớt lo lắng về chuyện mật khẩu của một trang nào đó bị lộ, thoải mái đổi mật khẩu và dùng các mật khẩu thực sự mạnh hơn. Thế nên, nên dùng trình quản lý mật khẩu.

Không quan trọng là bạn có dùng trình quản lý mật khẩu hay không (mặt dù nói thêm lần nữa là bạn nên dùng), dùng mật khẩu dài và dễ nhớ hơn là mật khẩu sU03&_C(0)iiiPL3x. Mình nghĩ cái quy định về việc mật khẩu phải đủ phức tạp với đống ký tự ngớ ngẩn thật là ngớ ngẩn. Sẽ tốt hơn nhiều nếu như bạn dùng một mật khẩu dài nhưng dễ nhớ. Sẽ gõ mật khẩu nhanh hơn nhiều. Sẽ an toàn hơn nhiều, về cả khía cạnh kỹ thuật và cuộc sống.

Thêm một điều nữa, nên tránh chia sẻ mật khẩu. Cái này bao gồm cả dùng chung một mật khẩu cho nhiều tài khoản, hoặc chia sẻ mật khẩu với người khác. Nếu bạn phải chia sẻ mật khẩu với ai đó, khi xong việc, nhớ đổi cái mật khẩu đó. Trong nhiều trường hợp, ví dụ như cần dùng chung một khẩu với nhóm bạn làm việc cùng, không thành vấn đề. Và trong những trường hợp như vậy, bạn sẽ thấy dùng trình quản lý mật khẩu để chia sẻ mật khẩu với nhóm thậm chí còn tiện lợi và an toàn hơn nhiều. Nhưng nếu đó là tài khoản của cá nhân bạn, nên tránh chia sẽ mật khẩu.