Trong kỷ nguyên số, việc bảo vệ tài khoản trực tuyến ngày càng trở nên cấp thiết. Nhiều dịch vụ yêu cầu người dùng thiết lập các câu hỏi bảo mật và gợi ý mật khẩu như một lớp bảo vệ bổ sung. Tuy nhiên, nếu bạn đang điền các trường thông tin này một cách “trung thực” theo bản năng, bạn có thể đang vô tình đặt tài khoản của mình vào tình thế rủi ro. Các chuyên gia bảo mật khẳng định, để bảo vệ tối ưu an ninh cho tài khoản, bạn không nên thành thật với những trường thông tin này. Việc hiểu rõ bản chất và cách sử dụng các tính năng này một cách thông minh, kết hợp với các mẹo bảo mật tiên tiến, sẽ giúp bạn xây dựng một lớp phòng thủ vững chắc hơn trước các mối đe dọa trực tuyến. Bài viết này sẽ đi sâu vào cách bạn có thể tận dụng tối đa tính năng này để tăng cường an toàn trực tuyến cho chính mình.
Phân Biệt Gợi Ý Mật Khẩu và Câu Hỏi Bảo Mật
Tuy nghe có vẻ tương đồng, hai tính năng bảo mật tài khoản này lại có những vai trò và cơ chế hoạt động khác biệt.
Gợi ý Mật khẩu (Password Hints)
Gợi ý mật khẩu đúng như tên gọi của nó—một gợi ý nhỏ để giúp bạn nhớ lại mật khẩu đã quên. Điều quan trọng cần lưu ý là những gợi ý này có thể hiển thị cho bất kỳ ai truy cập vào màn hình đăng nhập của bạn, nghĩa là chúng không nên quá tiết lộ. Tùy thuộc vào dịch vụ, gợi ý của bạn có thể chỉ xuất hiện sau khi bạn nhập sai mật khẩu vài lần, hoặc có thể hiển thị ngay lập tức khi bạn nhấp vào một nút.
Gợi ý mật khẩu không còn phổ biến như trước, nhưng một số dịch vụ trực tuyến vẫn còn sử dụng chúng. Ví dụ, macOS bao gồm tùy chọn gợi ý mật khẩu, tương tự Windows 11 (chỉ khi bạn sử dụng tài khoản cục bộ).
Gợi ý mật khẩu xuất hiện trên màn hình khóa macOS, minh họa tính năng hỗ trợ người dùng nhớ lại mật khẩu.
Câu hỏi Bảo mật (Security Questions)
Trong khi đó, câu hỏi bảo mật là một lớp bảo mật được sử dụng như một hình thức xác thực hai bước hoặc để xác minh danh tính của bạn khi bạn bị khóa tài khoản. Khi đăng nhập trên một trình duyệt lạ hoặc khôi phục tài khoản, bạn có thể cần xác nhận câu trả lời cho một hoặc nhiều câu hỏi này.
Các câu hỏi bảo mật của American Airlines, minh họa một lớp bảo mật phổ biến để xác minh danh tính người dùng.
Mặc dù phản ứng đầu tiên của bạn với cả hai tùy chọn này có thể là trả lời một cách trung thực, nhưng đó không phải là một ý tưởng hay từ góc độ bảo mật. Có những cách tốt hơn để sử dụng các trường này, cho dù bạn bị buộc phải sử dụng chúng hay muốn chủ động tăng cường bảo mật.
Biến Câu Hỏi Bảo Mật thành Mật khẩu Ngẫu nhiên
Các vấn đề với câu hỏi bảo mật đã được ghi nhận rõ ràng. Bởi vì những câu hỏi này thường hỏi về thông tin công khai, những kẻ có ý đồ xấu rất dễ dàng có được câu trả lời.
Tên thời con gái của mẹ bạn, màu sắc yêu thích, con đường bạn lớn lên, và những thông tin tương tự đều có thể dễ dàng truy cập thông qua việc tìm kiếm trên mạng xã hội và hồ sơ công khai. Tệ hơn nữa, một số câu hỏi bảo mật có một tập hợp các câu trả lời giới hạn; ví dụ, chỉ có một số lượng hữu hạn các màu sắc yêu thích.
Do đó, cách tốt nhất để sử dụng câu hỏi bảo mật là đưa ra những câu trả lời giả mạo. Nhưng bạn không nên đưa ra câu trả lời giả mạo mà vẫn phù hợp với câu hỏi và dễ đoán. Thay vào đó, bạn nên coi mỗi câu hỏi bảo mật như một trường mật khẩu khác và chọn một cụm mật khẩu (passphrase) ngẫu nhiên, gần như không thể đoán được.
Ví dụ, thay vì nói dối rằng tên thời con gái của mẹ bạn là “Griswold”, câu trả lời cho câu hỏi đó có thể là “Gratifying Lambasted Narwhals”. Điều này không liên quan đến câu hỏi và cực kỳ khó đoán, nhưng không khó để nhớ—đây là một trong những lợi thế chính mà passphrase mang lại so với mật khẩu thông thường.
Một lưu ý nhỏ: Nếu một số công ty yêu cầu bạn trả lời câu hỏi bảo mật để xác minh khi bạn gọi điện, hãy tránh sử dụng các ký hiệu và cụm từ mà bạn không thể dễ dàng phát âm để tránh tình huống khó xử qua điện thoại.
Lưu trữ an toàn các câu trả lời bảo mật
Lý tưởng nhất, bạn nên lưu trữ những câu trả lời đã tạo này trong một trình quản lý mật khẩu để bạn không phải nhớ chúng. Việc sử dụng trình quản lý mật khẩu là điều cần thiết cho bảo mật trực tuyến của bạn theo nhiều cách, bao gồm cả việc này. Nếu bạn chưa thực hiện các bước để tăng cường bảo mật mật khẩu của mình bằng trình quản lý mật khẩu, đó là bước tốt nhất bạn có thể thực hiện ngay bây giờ.
Tùy thuộc vào trình quản lý mật khẩu bạn sử dụng, có thể có một tùy chọn cụ thể cho câu hỏi bảo mật. Nếu không, hãy sử dụng trường Ghi chú (Notes) cho trang web đó (tất cả các trình quản lý mật khẩu đều cung cấp tính năng này). Sau đó, khi bạn đăng nhập, bạn chỉ cần sao chép và dán các cụm mật khẩu của mình.
Trình tạo câu hỏi bảo mật ngẫu nhiên trong 1Password, hỗ trợ tạo và lưu trữ câu trả lời khó đoán.
Hãy đảm bảo bạn ghi chú rõ ràng câu trả lời nào tương ứng với câu hỏi nào, vì các câu trả lời câu hỏi bảo mật mạnh mẽ thường không có bất kỳ ngữ cảnh nào!
Tạo Gợi Ý Mật Khẩu Chỉ Có Ý Nghĩa Với Bạn
Gợi ý mật khẩu không nên giúp bất kỳ ai đoán được mật khẩu của bạn. Cách dễ nhất để đạt được điều này là sử dụng trình quản lý mật khẩu cho tất cả mọi thứ và đặt gợi ý của bạn là “trình quản lý mật khẩu”.
Bằng cách ghi nhớ một mật khẩu chính mạnh mẽ cho trình quản lý mật khẩu của bạn, bạn không phải lo lắng về gợi ý cho các mật khẩu khác. Đừng nêu tên trình quản lý mật khẩu bạn sử dụng, vì điều đó làm giảm số lượng ứng dụng mà kẻ tấn công tiềm năng sẽ cố gắng đột nhập bằng địa chỉ email của bạn.
Nếu vì lý do nào đó bạn không sử dụng trình quản lý mật khẩu, gợi ý mật khẩu sẽ phức tạp hơn để sử dụng an toàn. Nói chung, nếu mật khẩu của bạn đủ đơn giản để bạn có thể mô tả nó bằng một gợi ý (chẳng hạn như “trường học thời thơ ấu cộng với tên chó”), thì nó quá yếu.
Một thiết lập tốt hơn là sử dụng một mẫu cụm mật khẩu có ý nghĩa không rõ ràng. Bạn có thể chọn mọi từ thứ hai của một bài hát, năm từ ở giữa một câu trích dẫn, hoặc tương tự—càng khó hiểu càng tốt. Sau đó, gợi ý mật khẩu của bạn có thể là một cái gì đó như “trích dẫn hay nhất” để khơi gợi trí nhớ của bạn mà không tiết lộ mật khẩu.
Trình tạo passphrase của 1Password, minh họa cách tạo mật khẩu dài và dễ nhớ nhưng khó đoán.
Đối với các mật khẩu quan trọng nhất, như mật khẩu chính của trình quản lý mật khẩu, bạn có thể xem xét một bản sao lưu vật lý. Khi đó, gợi ý có thể cung cấp một gợi ý về nơi nó được cất giữ an toàn tại nhà (ví dụ: “ở giữa cuốn sách cuối cùng bạn đọc”).
Khi Nào Nên (và Không Nên) Sử Dụng Các Tùy Chọn Này?
Những lời khuyên trên hữu ích cho các tài khoản buộc bạn phải sử dụng câu hỏi bảo mật hoặc gợi ý mật khẩu. Nhưng khi có thể, bạn nên chọn bỏ qua các tùy chọn này hoặc tắt chúng đi. Mọi phương pháp xác thực hai yếu tố khác đều vượt trội hơn câu hỏi bảo mật; bạn sẽ tốt hơn nhiều khi sử dụng ứng dụng xác thực.
Bạn nên kiểm tra lại các tài khoản của mình để tắt câu hỏi bảo mật nếu có thể, hoặc điều chỉnh câu trả lời của bạn để làm cho chúng mạnh hơn. Điều này đặc biệt đúng đối với các tài khoản bạn đã sử dụng trong một thời gian dài, vì chúng có nhiều khả năng vẫn đang sử dụng câu hỏi bảo mật theo hệ thống cũ.
Một trường hợp đặc biệt khó chịu là các câu hỏi bảo mật mà bạn bị giới hạn trong một menu thả xuống (ví dụ điển hình như United Airlines). Khi bạn bị kẹt với những trường hợp này, bạn vẫn không nên trả lời trung thực. Hơn nữa, bạn nên chọn những câu hỏi mà chỉ bạn mới có thể biết câu trả lời, thay vì những câu mà ai đó có thể trả lời bằng thông tin công khai.
Lấy ví dụ về các câu hỏi bảo mật của United: “động vật biển yêu thích của bạn” là một câu hỏi tốt hơn “tháng sinh nhật của người bạn thân nhất của bạn”, ngay cả khi bạn bịa ra câu trả lời. Chỉ có 12 tháng, trong khi có nhiều loại sinh vật biển hơn—ngoài ra, bạn ít có khả năng đã chia sẻ thông tin về sinh vật biển yêu thích trực tiếp hoặc trực tuyến.
Mọi thứ liên quan đến mật khẩu đều mạnh mẽ hơn khi chúng ngẫu nhiên. Điều đó áp dụng cho cả câu hỏi bảo mật và gợi ý mật khẩu. Khi bạn bị buộc phải sử dụng chúng, hãy bịa ra một câu trả lời ngẫu nhiên mà bạn lưu trữ trong trình quản lý mật khẩu để giữ an toàn. Và khi bạn có lựa chọn, hãy tắt chúng đi và sử dụng phương pháp xác thực 2 yếu tố mạnh mẽ hơn. Hãy thường xuyên kiểm tra lại các thiết lập bảo mật cho tài khoản của mình để đảm bảo an toàn tối đa cho dữ liệu cá nhân.
