Trong thế giới kỹ thuật số ngày nay, việc bảo vệ tài khoản trực tuyến là ưu tiên hàng đầu. Khi các nền tảng yêu cầu bạn thiết lập câu hỏi bảo mật hay gợi ý mật khẩu, phản ứng tự nhiên của chúng ta thường là cung cấp thông tin trung thực. Tuy nhiên, nếu mục tiêu là bảo vệ tài khoản của bạn một cách tối ưu, việc trung thực lại có thể gây hại. Bài viết này của thuthuathot.com sẽ giúp bạn hiểu rõ lý do và cách sử dụng những tính năng bảo mật này một cách thông minh, biến chúng thành lớp phòng thủ vững chắc thay vì điểm yếu dễ bị tấn công.
Phân Biệt Gợi Ý Mật Khẩu và Câu Hỏi Bảo Mật
Tuy nghe có vẻ tương đồng, nhưng gợi ý mật khẩu (password hints) và câu hỏi bảo mật (security questions) là hai tính năng khác nhau với mục đích riêng biệt trong việc bảo vệ tài khoản.
Gợi ý mật khẩu đúng như tên gọi của nó – một mẹo nhỏ để giúp bạn nhớ lại mật khẩu đã quên. Điều quan trọng là những gợi ý này có thể hiển thị cho bất kỳ ai có quyền truy cập vào màn hình đăng nhập. Do đó, chúng không nên chứa bất kỳ thông tin quá tiết lộ về mật khẩu của bạn. Tùy thuộc vào dịch vụ, gợi ý có thể chỉ xuất hiện sau khi bạn nhập sai mật khẩu vài lần, hoặc có thể hiển thị khi nhấp vào một nút cụ thể.
Gợi ý mật khẩu trên màn hình khóa macOS, minh họa tính năng password hint
Mặc dù gợi ý mật khẩu không còn phổ biến như trước, một số dịch vụ trực tuyến vẫn sử dụng chúng. Đơn cử, macOS vẫn cung cấp tùy chọn gợi ý mật khẩu, tương tự như Windows 11 (dành cho tài khoản cục bộ).
Trong khi đó, câu hỏi bảo mật là một lớp bảo mật bổ sung, thường được sử dụng như một hình thức xác thực hai bước hoặc để xác minh danh tính của bạn khi bạn bị khóa tài khoản. Khi đăng nhập trên một trình duyệt lạ hoặc trong quá trình khôi phục tài khoản, bạn có thể cần xác nhận câu trả lời cho một hoặc nhiều câu hỏi bảo mật.
Ví dụ các câu hỏi bảo mật tài khoản từ American Airlines
Phản ứng đầu tiên của nhiều người là trả lời trung thực cho cả hai loại hình này. Tuy nhiên, từ góc độ bảo mật, đây lại là một ý tưởng tồi. Có những cách tốt hơn để tận dụng các trường thông tin này, dù bạn bị buộc phải sử dụng hay chủ động lựa chọn.
Biến Câu Hỏi Bảo Mật Thành Mật Khẩu Mạnh
Những vấn đề liên quan đến câu hỏi bảo mật đã được ghi nhận rõ ràng. Bởi vì các câu hỏi này thường hỏi về thông tin có thể công khai, rất dễ để những kẻ có ý đồ xấu thu thập được câu trả lời.
Vấn đề của câu hỏi bảo mật truyền thống
Tên thời con gái của mẹ, màu sắc yêu thích, con đường bạn lớn lên, và những mẩu thông tin tương tự có thể dễ dàng truy cập chỉ với một chút tìm tòi trên mạng xã hội hoặc hồ sơ công khai. Tệ hơn nữa, một số câu hỏi bảo mật có số lượng câu trả lời rất hạn chế; ví dụ, chỉ có một số lượng màu sắc yêu thích nhất định.
Giải pháp: Dùng cụm mật khẩu ngẫu nhiên
Do đó, cách tốt nhất để sử dụng câu hỏi bảo mật là đưa ra những câu trả lời “giả”. Nhưng không phải là một câu trả lời giả mà vẫn dễ đoán và phù hợp với câu hỏi. Thay vào đó, bạn nên coi mỗi câu hỏi bảo mật như một trường mật khẩu khác và chọn một cụm mật khẩu (passphrase) ngẫu nhiên, gần như không thể đoán được.
Ví dụ, thay vì nói dối rằng tên thời con gái của mẹ bạn là “Nguyễn”, câu trả lời của bạn cho câu hỏi đó có thể là “Những Con Kỳ Lân Bay Trên Mây Ngủ Say”. Điều này hoàn toàn không liên quan đến câu hỏi và cực kỳ khó đoán, nhưng lại không quá khó nhớ – một trong những lợi thế chính mà cụm mật khẩu mang lại so với mật khẩu thông thường.
Khi một số công ty yêu cầu bạn trả lời câu hỏi bảo mật để xác minh qua điện thoại, hãy tránh sử dụng các ký hiệu hoặc cụm từ khó phát âm để tránh tình huống khó xử.
Cách Lưu Trữ Câu Trả Lời Câu Hỏi Bảo Mật An Toàn
Lý tưởng nhất, bạn nên lưu trữ những câu trả lời “giả” này trong một trình quản lý mật khẩu (password manager) để không cần phải ghi nhớ chúng. Sử dụng trình quản lý mật khẩu là điều cần thiết cho an ninh mạng của bạn theo nhiều cách, bao gồm cả việc này. Nếu bạn chưa thực hiện các bước để tăng cường bảo mật mật khẩu bằng trình quản lý mật khẩu, đây là bước tốt nhất bạn có thể thực hiện.
Tùy thuộc vào trình quản lý mật khẩu bạn đang dùng, có thể có một tùy chọn cụ thể dành cho câu hỏi bảo mật. Nếu không, hãy sử dụng trường Ghi chú (Notes) cho trang web đó (tất cả các trình quản lý mật khẩu đều cung cấp tính năng này). Sau đó, khi đăng nhập, bạn chỉ cần sao chép và dán cụm mật khẩu của mình.
Giao diện tạo câu trả lời câu hỏi bảo mật ngẫu nhiên trong 1Password
Hãy đảm bảo bạn ghi chú rõ câu trả lời nào đi kèm với câu hỏi nào, vì các câu trả lời câu hỏi bảo mật mạnh thường không có ngữ cảnh rõ ràng!
Tạo Gợi Ý Mật Khẩu Chỉ Có Ý Nghĩa Với Bạn
Gợi ý mật khẩu không nên giúp bất kỳ ai đoán được mật khẩu của bạn. Cách dễ nhất để đạt được điều này là sử dụng trình quản lý mật khẩu cho mọi thứ và đặt gợi ý của bạn là “trình quản lý mật khẩu”.
Bằng cách ghi nhớ một mật khẩu chính mạnh cho trình quản lý mật khẩu của bạn, bạn sẽ không phải lo lắng về gợi ý cho các mật khẩu khác. Không nên nêu rõ tên trình quản lý mật khẩu bạn sử dụng, vì điều đó sẽ giảm số lượng ứng dụng mà kẻ tấn công tiềm năng sẽ cố gắng phá vỡ bằng địa chỉ email của bạn.
Nếu vì lý do nào đó mà bạn không sử dụng trình quản lý mật khẩu, gợi ý mật khẩu sẽ khó sử dụng an toàn hơn. Nhìn chung, nếu mật khẩu của bạn đủ đơn giản để bạn có thể mô tả nó bằng một gợi ý (ví dụ: “tên trường tiểu học cộng tên chó”), thì mật khẩu đó quá yếu.
Một cách thiết lập tốt hơn là sử dụng một mẫu cụm mật khẩu có ý nghĩa không rõ ràng. Bạn có thể chọn mọi từ thứ hai của một bài hát, năm từ ở giữa một câu trích dẫn, hoặc những cách tương tự – càng mơ hồ càng tốt. Khi đó, gợi ý mật khẩu của bạn có thể là một cụm từ như “câu nói hay nhất” để gợi nhớ cho bạn mà không tiết lộ mật khẩu.
Công cụ tạo cụm mật khẩu (passphrase) an toàn của 1Password
Đối với những mật khẩu quan trọng nhất, như mật khẩu chính của trình quản lý mật khẩu, bạn có thể cân nhắc sao lưu bản cứng. Khi đó, gợi ý có thể cung cấp một manh mối về nơi cất giữ an toàn ở nhà (ví dụ: “ở giữa cuốn sách cuối cùng bạn đọc”).
Khi Nào Nên Sử Dụng và Khi Nào Nên Bỏ Qua?
Những lời khuyên trên rất hữu ích cho các tài khoản buộc bạn phải sử dụng câu hỏi bảo mật hoặc gợi ý mật khẩu. Nhưng khi có thể, bạn nên chọn bỏ qua các tùy chọn này hoặc tắt chúng đi. Mỗi phương pháp xác thực hai yếu tố (2FA) khác đều ưu việt hơn câu hỏi bảo mật; bạn nên sử dụng ứng dụng xác thực là lựa chọn tốt hơn nhiều.
Bạn nên kiểm tra lại các tài khoản của mình để tắt câu hỏi bảo mật nếu có thể, hoặc điều chỉnh câu trả lời của bạn để làm cho chúng mạnh hơn. Điều này đặc biệt đúng đối với các tài khoản bạn đã sử dụng trong một thời gian dài, vì chúng có nhiều khả năng vẫn còn tính năng câu hỏi bảo mật “cha truyền con nối”.
Một trường hợp đặc biệt khó chịu là các câu hỏi bảo mật nơi bạn bị giới hạn trong một menu thả xuống (ví dụ điển hình là American Airlines). Khi bị mắc kẹt với những trường hợp này, bạn vẫn không nên trả lời trung thực. Hơn nữa, bạn nên chọn những câu hỏi mà chỉ bạn mới biết câu trả lời, thay vì những câu hỏi mà ai đó có thể trả lời bằng thông tin công khai.
Lấy ví dụ từ các câu hỏi bảo mật của United Airlines: “con vật biển yêu thích của bạn” là một câu hỏi tốt hơn “tháng sinh nhật của người bạn thân nhất của bạn”, ngay cả khi bạn đưa ra câu trả lời bịa đặt. Chỉ có 12 tháng, trong khi có nhiều loại sinh vật biển hơn – cộng với việc bạn ít có khả năng đã chia sẻ thông tin về sinh vật biển yêu thích trực tiếp hoặc trực tuyến.
Mọi yếu tố xung quanh mật khẩu đều trở nên mạnh mẽ hơn khi chúng là ngẫu nhiên. Điều đó áp dụng cho cả câu hỏi bảo mật và gợi ý mật khẩu. Khi bạn buộc phải sử dụng chúng, hãy tạo một câu trả lời ngẫu nhiên mà bạn lưu trữ an toàn trong trình quản lý mật khẩu. Và khi bạn có lựa chọn, hãy tắt chúng đi và sử dụng phương pháp 2FA mạnh hơn.
