Tờ New York Times (NYT) cho hay những vụ rò rỉ dữ liệu, chiêu trò lừa đảo qua mạng (phishing) và sự bùng nổ của các công cụ trí tuệ nhân tạo (AI) đã khiến những mật khẩu đơn giản trở nên quá lỗi thời trong việc bảo vệ tài khoản trực tuyến. Tuy nhiên, vẫn có cách để xây dựng một hàng rào phòng thủ kiên cố.
Đầu tiên, bạn cần chủ động hơn bằng cách sử dụng các mật khẩu dài, độc nhất và thêm nhiều lớp bảo vệ. Một ứng dụng quản lý mật khẩu sẽ là trợ thủ đắc lực, an toàn hơn nhiều so với việc lưu thông tin đăng nhập trong ứng dụng Ghi chú (Notes) hay viết ra giấy.
Các trình quản lý mật khẩu hiện nay còn có thể lưu trữ "passkey" (mã khóa), một phương thức đăng nhập an toàn hơn và được kỳ vọng sẽ thay thế hoàn toàn mật khẩu trong tương lai. Dưới đây là những điều bạn cần biết.
Trình quản lý mật khẩu: "Két sắt" kỹ thuật số
Các ứng dụng và trình duyệt web giúp mã hóa toàn bộ mật khẩu của bạn đằng sau một "mật khẩu chủ" (master password) đã tồn tại hàng thập kỷ. Tuy nhiên, Apple Passwords và Google Password Manager (dành cho Android và trình duyệt) là những cái tên mới nổi bật và hoàn toàn miễn phí. Hãy kiểm tra biểu tượng Passwords trên màn hình chính hoặc yêu cầu trợ lý ảo tìm giúp bạn. Để mở ứng dụng, bạn sẽ cần mã PIN hoặc dữ liệu sinh trắc học (vân tay, quét mắt hoặc khuôn mặt).
Lưu ý rằng việc lưu trữ tất cả mật khẩu trên một thiết bị có thể là một rủi ro bảo mật nếu bị mất trộm. Nếu kẻ trộm biết mã PIN khóa màn hình, chúng có thể chiếm quyền kiểm soát. Vì vậy, hãy bật tính năng "Bảo vệ thiết bị bị đánh cắp" (Stolen Device Protection) trong cài đặt iOS, hoặc "Kiểm tra danh tính" (Identity Check) và các công cụ chống trộm khác trên Android để tăng cường bảo mật.
Cả ứng dụng của Apple và Google đều rất trực quan, có khả năng tự động tạo mật khẩu dài và độc nhất khi bạn tạo mới hoặc cập nhật tài khoản. Các ứng dụng này lưu mật khẩu (và passkey) ở một nơi tập trung và tự động điền thông tin khi bạn đăng nhập. Chúng cũng sẽ cảnh báo nếu mật khẩu của bạn quá yếu hoặc đã bị rò rỉ trong các vụ vi phạm bảo mật.
Với người dùng Apple: Apple Passwords hoạt động cùng dịch vụ Chuỗi khóa iCloud (iCloud Keychain), giúp mã hóa và đồng bộ hóa thông tin đăng nhập trên các thiết bị Apple cùng tài khoản. Người dùng Windows cũng có thể sử dụng thông qua phần mềm iCloud for Windows hoặc tiện ích mở rộng trên Chrome.
Với người dùng Android/Google: Google Password Manager hoạt động tương tự cho các tài khoản Google trên nhiều thiết bị khác nhau.
Với người dùng Samsung: Chủ sở hữu Galaxy có Samsung Pass, sử dụng thông tin sinh trắc học để đăng nhập. Dù không có trình tạo mật khẩu riêng, nó được tích hợp thẳng vào ứng dụng Samsung Wallet.
Xác thực hai yếu tố (2FA)
Vì mật khẩu ngày càng dễ bị tấn công, nhiều trang web đã thêm xác thực hai yếu tố vào quá trình đăng nhập. Đây thường là những dãy số ngắn được gửi qua tin nhắn văn bản (SMS) đến điện thoại của bạn.
Bạn có thể chủ động kích hoạt xác thực hai bước trong phần cài đặt của nhiều loại tài khoản. Để bảo mật tối đa, nhiều chuyên gia khuyên bạn nên sử dụng một ứng dụng xác thực riêng biệt (Authenticator app) để lấy mã thay vì nhận qua SMS.
Tác giả của bài viết đề xuất Authy và Google Authenticator. Ngoài ra Microsoft cũng có một ứng dụng xác thực riêng.
Cuộc cách mạng mang tên Passkey
Khi mật khẩu dần bộc lộ là "mắt xích yếu nhất" trong chuỗi bảo mật, một tiêu chuẩn xác thực mới ra đời: Passkey (Mã khóa). Lưu ý: Passkey khác với khóa bảo mật phần cứng dạng USB.
Thay vì dựa vào các ký tự chữ và số, người dùng passkey sẽ đăng nhập bằng dữ liệu sinh trắc học duy nhất hoặc mã PIN của thiết bị. Việc này giống như cách bạn mở khóa điện thoại: không cần nhớ mật khẩu và cũng không lo bị đánh cắp. Passkey dựa trên công nghệ mật mã phức tạp giữa thiết bị của bạn và trang web bạn đang sử dụng.
Apple đã giới thiệu passkey cho iPhone và các thiết bị khác vào năm 2022, và Google bắt đầu triển khai cho các tài khoản của mình vào năm 2023. Samsung và Microsoft cũng đã hỗ trợ công nghệ này. Dù vẫn còn mới mẻ, danh sách các đơn vị sử dụng passkey đang dài thêm, hiện đã bao gồm Amazon, eBay và PayPal.
Nếu một trang web hỗ trợ passkey, nó có thể yêu cầu bạn thiết lập trong lần đăng nhập tới. Bạn cũng có thể kiểm tra cài đặt bảo mật tài khoản để tìm tùy chọn passkey. Các bước thiết lập có thể khác nhau tùy thuộc vào phần cứng và phần mềm, nhưng sẽ luôn có hướng dẫn trên màn hình.
Để ngăn chặn hacker lợi dụng các công cụ khôi phục tài khoản, Google khuyên bạn nên duy trì xác thực hai bước. Microsoft khuyến nghị xóa các phương thức đặt lại mật khẩu cũ khỏi cài đặt tài khoản.
Hiện nay, nhiều trình quản lý mật khẩu đã hỗ trợ lưu trữ passkey. Một số ứng dụng thậm chí còn thông báo khi nào bạn có thể "nâng cấp" từ mật khẩu lên passkey, một tin vui cho những ai đã quá mệt mỏi với việc phải ghi nhớ hàng tá mật khẩu mỗi ngày.
Nguồn: New York Times
