Trong nhiều năm, lời khuyên về việc thay đổi mật khẩu định kỳ vài tháng một lần đã trở nên quen thuộc với tất cả chúng ta. Nhưng liệu điều này còn cần thiết trong bối cảnh công nghệ hiện tại? Thực tế cho thấy, những quan niệm truyền thống về mật khẩu đang dần trở nên lỗi thời, và thậm chí có thể khiến các tài khoản của bạn kém an toàn hơn.
Quan Niệm Cũ Về Thay Đổi Mật Khẩu Đã Lỗi Thời
Lời khuyên về việc thay đổi mật khẩu mỗi một hoặc hai tháng để giữ tài khoản an toàn đã được các phòng ban IT, blog bảo mật và thậm chí các cơ quan chính phủ truyền bá trong nhiều thập kỷ. Tôi cũng từng tuân thủ nghiêm ngặt, cập nhật tất cả mật khẩu quan trọng theo lịch trình luân phiên.
Tuy nhiên, cách tiếp cận này về cơ bản đã có lỗ hổng. Khi người dùng bị buộc phải thay đổi mật khẩu thường xuyên, họ có xu hướng tạo ra các biến thể của mật khẩu cũ hoặc sử dụng những mật khẩu đơn giản, dễ nhớ hơn. Bản thân tôi cũng từng làm điều này – thêm số “1” vào cuối, rồi lần sau là “2”, khiến mật khẩu về mặt kỹ thuật là khác biệt nhưng thực tế lại không an toàn hơn chút nào.
Ví dụ về mật khẩu yếu được hiển thị khi đăng nhập vào tài khoản Twitter, minh họa rủi ro bảo mật
Các chuyên gia bảo mật hiện nay đã nhận ra rằng việc thay đổi mật khẩu bắt buộc và thường xuyên thường dẫn đến các hành vi bảo mật yếu hơn, chứ không phải mạnh hơn. Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) thực tế đã đảo ngược khuyến nghị của họ về việc thay đổi mật khẩu định kỳ, nhưng dường như thông tin này vẫn chưa đến được với tất cả mọi người.
Nếu bạn chưa sử dụng trình quản lý mật khẩu, đã đến lúc bạn nên cân nhắc. Các trình quản lý mật khẩu có nhiều công dụng thực tế và lưu trữ tất cả thông tin đăng nhập của bạn một cách an toàn, giúp bạn không cần phải dựa vào trí nhớ hay những mẫu hình mà tin tặc có thể khai thác.
Trước đây, tôi từng dựa vào Google Password Manager, nhưng những lo ngại về quyền riêng tư đã thúc đẩy tôi tìm kiếm một giải pháp thay thế như Proton Pass. Đây đã trở thành trình quản lý mật khẩu yêu thích mới của tôi nhờ tính minh bạch mã nguồn mở.
Vì Sao Không Nên Thay Đổi Mật Khẩu Mạnh Một Cách Thường Xuyên?
Vấn đề với việc thay đổi mật khẩu mạnh một cách thường xuyên là nó giải quyết sai vấn đề. Nếu mật khẩu của bạn thực sự mạnh và duy nhất – nghĩa là một chuỗi ký tự dài, ngẫu nhiên mà bạn chưa từng sử dụng ở bất kỳ đâu khác – việc thay đổi nó không thực sự cải thiện đáng kể mức độ bảo mật của bạn.
Khi chúng ta liên tục thay đổi mật khẩu, chúng ta đang đưa yếu tố lỗi của con người vào phương trình bảo mật. Trong quá khứ, tôi đã bị khóa tài khoản nhiều lần hơn tôi muốn thừa nhận sau khi thay đổi sang mật khẩu mới và quên ngay lập tức. Sự khó chịu này khiến nhiều người chọn sự tiện lợi thay vì bảo mật.
Khi các tổ chức yêu cầu thay đổi mật khẩu thường xuyên, nhân viên có xu hướng chọn mật khẩu theo các mẫu dễ đoán. Những mẫu này đã được tin tặc biết rõ, khiến chúng có khả năng kém an toàn hơn so với việc sử dụng một mật khẩu mạnh trong một thời gian dài.
Các trình quản lý mật khẩu có sẵn các công cụ tạo mật khẩu cho phép bạn tạo ra những mật khẩu mạnh, duy nhất. Nhưng nếu bạn không sử dụng trình quản lý mật khẩu, hãy cân nhắc sử dụng các công cụ mật khẩu dựa trên web để tạo các cụm mật khẩu mạnh thay thế.
Giao diện công cụ tạo mật khẩu ngẫu nhiên của 1Password, hỗ trợ tạo mật khẩu mạnh và duy nhất
Khi Nào Bạn Thực Sự Cần Thay Đổi Mật Khẩu?
Thay vì thay đổi mật khẩu theo một lịch trình tùy tiện, tôi hiện tập trung vào các trường hợp cụ thể mà việc cập nhật mật khẩu là cần thiết. Cách tiếp cận này không chỉ thực tế hơn mà còn hiệu quả hơn trong việc giữ an toàn cho các tài khoản của tôi.
Sau khi xảy ra vi phạm dữ liệu có lẽ là thời điểm rõ ràng nhất để thay đổi mật khẩu. Nếu một dịch vụ bạn sử dụng thông báo rằng họ đã bị tấn công, đừng chần chừ – hãy thay đổi mật khẩu đó ngay lập tức. Bạn có thể sử dụng tính năng giám sát mật khẩu trong trình quản lý mật khẩu để tìm bất kỳ thông tin đăng nhập nào đã bị lộ.
Khi bạn đã chia sẻ mật khẩu với người khác, dù chỉ là tạm thời, đã đến lúc phải thay đổi. Cho dù đó là với thành viên gia đình để truy cập Netflix hay đồng nghiệp cho một tài khoản chung, một khi quyền truy cập đó không còn cần thiết, hãy cập nhật mật khẩu của bạn.
Nếu bạn đã sử dụng Wi-Fi công cộng không bảo mật mà không có VPN (tức là không yêu cầu mật khẩu để truy cập internet), bạn nên thay đổi mật khẩu cho bất kỳ tài khoản nào bạn đã truy cập trong phiên đó. Các mạng công cộng có thể là bãi săn của tin tặc, vì vậy tôi thường xuyên cập nhật mật khẩu nhạy cảm sau khi đi du lịch và sử dụng Wi-Fi tại khách sạn hoặc quán cà phê.
Nghi ngờ thiết bị của bạn bị nhiễm phần mềm độc hại? Đó là lý do để làm mới mật khẩu. Tuy nhiên, trước khi thực hiện bất kỳ thay đổi nào, hãy chạy quét phần mềm độc hại kỹ lưỡng và làm sạch hệ thống; nếu không, mật khẩu mới của bạn có thể bị xâm phạm ngay lập tức.
Nếu bạn vẫn đang sử dụng cùng một mật khẩu trên nhiều trang web (làm ơn hãy dừng lại!), hãy thay đổi chúng thành các mật khẩu duy nhất càng sớm càng tốt. Một trình quản lý mật khẩu tốt với các tính năng cần thiết sẽ giúp quá trình này dễ dàng hơn nhiều, cho phép bạn tạo và lưu trữ các mật khẩu phức tạp, duy nhất cho mọi dịch vụ.
Thay Vì Thay Đổi Mật Khẩu, Hãy Áp Dụng Những Biện Pháp Này
Màn hình điện thoại hiển thị các biểu tượng ứng dụng quản lý mật khẩu phổ biến, minh họa giải pháp bảo mật hiệu quả
Thay vì ám ảnh về việc thay đổi mật khẩu mỗi vài tháng, có những chiến lược hiệu quả hơn để giữ an toàn cho tài khoản của bạn. Những cách tiếp cận này mang lại sự an tâm mà không cần phải liên tục nhớ thông tin đăng nhập mới.
Sử dụng trình quản lý mật khẩu – nghiêm túc mà nói, điều này đã thay đổi mọi thứ đối với tôi. Bạn nghĩ mình có thể tự theo dõi mọi thứ, nhưng điều đó không dễ dàng. Trình quản lý mật khẩu tạo ra các mật khẩu phức tạp, duy nhất cho mọi trang web và tôi chỉ cần nhớ một mật khẩu chính. Hầu hết các trình quản lý mật khẩu sử dụng mã hóa AES-256, và điều đó thực sự mang lại cảm giác tự do. Nhưng bạn nên tìm một trình quản lý chưa từng bị vi phạm dữ liệu, vì LastPass phổ biến đã bị tấn công nhiều lần.
Kích hoạt xác thực hai yếu tố (2FA) bất cứ khi nào có thể. Lớp bảo mật bổ sung này có nghĩa là ngay cả khi ai đó bằng cách nào đó có được mật khẩu của bạn, họ vẫn không thể truy cập tài khoản của bạn nếu không có yếu tố thứ hai (thường là điện thoại của bạn hoặc các ứng dụng xác thực 2FA). Tôi đã thiết lập điều này cho tất cả các tài khoản tài chính, email và mạng xã hội của mình, và nó có thể phát hiện tất cả các nỗ lực đăng nhập đáng ngờ.
Sử dụng xác thực sinh trắc học khi có sẵn vì dấu vân tay khó bị đánh cắp hơn mật khẩu rất nhiều. Mặc dù không hoàn hảo, sinh trắc học bổ sung một lớp bảo mật tiện lợi mà bạn không cần phải nhớ bất cứ điều gì. Đây là điều bắt buộc đối với cả ứng dụng ngân hàng và trình quản lý mật khẩu.
Một người đang mở khóa điện thoại Samsung Galaxy bằng cảm biến vân tay, thể hiện tính năng xác thực sinh trắc học tiện lợi
Một điều nữa cần thực hành là giữ cho thiết bị và phần mềm của bạn luôn được cập nhật, vì nhiều vụ vi phạm xảy ra thông qua các lỗ hổng đã biết nhưng đã được vá. Đừng trì hoãn việc cập nhật trong nhiều tuần, vì bản vá bảo mật mà bạn đã trì hoãn có thể ngăn chặn một vấn đề bảo mật mà việc thay đổi đơn giản không thể giúp mật khẩu của bạn an toàn hơn.
Cũng cần cảnh giác với các cuộc tấn công lừa đảo (phishing). Không có hệ thống mật khẩu nào có thể bảo vệ bạn nếu bạn tự nguyện cung cấp thông tin đăng nhập của mình cho kẻ tấn công. Tôi đã nhận được những email giả mạo rất thuyết phục từ kẻ tấn công giả vờ là “ngân hàng” và “công ty giao hàng” mà gần như có thể lừa được bất kỳ ai. Bây giờ tôi không bao giờ nhấp vào các liên kết trong email cho các tài khoản nhạy cảm – tôi điều hướng thủ công đến trang web thay vào đó.
Bắt đầu sử dụng passkey ở những nơi có sẵn. Phương pháp xác thực này đang bắt đầu thay thế hoàn toàn mật khẩu truyền thống. Bạn có thể sử dụng chúng với một số dịch vụ lớn. Có sự khác biệt về bảo mật giữa mật khẩu và passkey, nhưng passkey an toàn hơn và tiện lợi hơn mật khẩu. Công nghệ này vẫn đang được triển khai, nhưng nó có thể là tương lai của xác thực.
Hãy nhớ rằng, mục tiêu không phải là thay đổi mật khẩu thường xuyên, mà là tạo ra một hệ thống bảo mật có khả năng chống lại các mối đe dọa thực tế đồng thời đủ thực tế để bạn có thể duy trì. Đó mới là chiến lược mật khẩu thực sự hiệu quả.
