Các hacker thường vào thiết bị, máy tính và tài khoản online của bạn bằng cách nào?
Hacker thường bắt đầu bằng cách tìm cách đánh cắp mật khẩu (password) của bạn.
- Nhiều lúc, bạn không thể kiểm soát được việc này. Nếu một website mà bạn sử dụng bị hack thành công, các hacker có thể lấy được thông tin password và thử sử dụng thông tin password đó để đăng nhập vào các tài khoản khác của bạn, ví dụ như Gmail.
- Bạn có thể đã đưa mật khẩu của bạn cho người khác dù bạn không có chủ ý. Việc này được thực hiện thông qua lừa đảo (phishing), là một dạng lừa đảo thông qua Internet của giới tội phạm tìm cách lấy thông tin đăng nhập một dịch vụ nào của bạn. Khả năng cao là bạn đã từng nhận được một email lừa đảo trước đây. Đó cũng có thể là một tin nhắn giả về tài khoản ngân hàng của bạn bị khóa hay một nhắc nhở về một khoản thanh toán không tồn tại mà bạn chưa trả.
Các hacker cũng sử dụng các đính kèm email (email attachments). Khi bạn mở một file đính kèm chứa mã độc, máy tính của bạn bị lây nhiễm mã độc. Phương pháp này thường được sử dụng để lây lan ransomware: một dạng virus khiến cho thiết bị của bạn không sử dụng được bằng cách khóa khả năng sử dụng các file của bạn. Các hacker sẽ yêu cầu bạn trả tiền đổi lại việc bạn được phục hồi khả năng truy cập các file của bạn.
Các virus – thường được gọi với tên malware (phần mềm độc hại, mã độc) cũng thường được phát tán qua việc tải các nội dung từ torrent lậu hoặc các file cài đặt cho một phần mềm bạn muốn sử dụng. Bạn có thể nghĩ rằng bạn đang tải một bộ phim hoặc một phần mềm giúp cho máy tính của bạn nhanh, sạch, ngăn nắp nhưng thực tế là bạn đang tự làm hại mình qua việc tự cài đặt mã độc.
Một virus cũng có thể vào được máy tính của bạn thông qua các quảng cáo online hoặc các website đã bị hack. Ngay cả những website mà bạn tin tưởng cũng có thể đang phát tán mã độc mà chủ nhân các website này không hay biết. Nếu bạn không cập nhật phần mềm và máy tính của bạn, bạn đang có nguy cơ bị lây nhiễm các dạng mã độc này.
Các hacker cũng lây nhiễm máy tính của bạn thông qua các thiết bị di động flash drive. Phương pháp này dù ít thịnh hành hơn, nhưng nó cũng tạo một nguy cơ đáng kể. Đó có thể là một ổ cứng di động mà bạn vừa tìm thấy ở công ty hay ai đó gửi cho bạn. Bất cứ ai có ý định hại bạn có thể truy cập vật lý vào máy tính của bạn nếu như bạn bỏ máy tính của mình đi toilet mà không khóa truy cập.
Những thủ thuật cơ bản để bảo vệ thiết bị và tài khoản online của bạn
Sau khi đã biết những cách thức phổ biến mà hacker sử dụng để chiếm quyền truy cập, bạn có thể bắt đầu thực hiện một số thủ thuật cơ bản. Dưới đây là một danh sách đơn giản những biện pháp mà mọi người nên sử dụng:
Cập nhật phần mềm
Nhiều người trong chúng ta thường xem việc cập nhật phần mềm là hoạt động tốn thời gian. Trong một số trường hợp, điều này đúng, nhưng cũng cần biết rằng đây là một trong những hoạt động bảo vệ quan trọng nhất để chống lại tội phạm mạng.
- Nhiều vụ tấn công được thực hiện thành công chỉ vì các nạn nhân đã sử dụng các phần mềm không được cập nhật các bản vá bảo mật. Bản cập nhật mới thường sửa chữa các lỗ hổng bảo mật mà các phiên bản trước đây gặp phải.
- Đối với hầu hết các trường hợp: Phần mềm (software) càng cũ thì càng dễ dàng cho các hacker chiếm quyền kiểm soát.
Phần mềm được chạy trên nhiều dạng thiết bị chạy các điều hành khác nhau như: Windows hay MacOS trên máy tính để bàn hoặc laptop, và Android hay iOS trên các thiết bị di động. Ngay cả một router và các thiết bị thông minh khác trong nhà của bạn cũng chạy phần mềm. Hãy đảm bảo rằng bạn kiểm tra những bản cập nhật này hàng tuần, và cài đặt chúng ngay khi có thể. Trong một số trường hợp, các bản cập nhật được cài đặt một cách tự động. Hệ điều hành Windows có bản quyền, MacOS và trình duyệt Chrome hỗ trợ chức năng cập nhật tự động này.
Việc cập nhật các ứng dụng, phần mềm được cài đặt trên máy tính của bạn như trình duyệt, trình đọc file PDF, và Microsoft Office có bản quyền là rất quan trọng. Bạn sẽ thường nhận được các thông báo của các phần mềm này nếu đã có các bản cập nhật bảo mật.
Password
Ngày nay, bạn gần như sẽ cần một tài khoản để sử dụng các dịch vụ chuyên biệt cho người dùng của các website hay ứng dụng, khi đó, bạn sẽ cần đến password.
Các website và ứng dụng thường yêu cầu bạn sử dụng mật khẩu gồm chữ và số. Nhưng thế nào là một mật khẩu mạnh? Nhiều người xem P@ssword007 là 1 password mạnh nhưng trong thực tế, password này khá dễ crack đối với các hacker. Đó là lý do tại sao bạn nên cân nhắc sử dụng passphrase (cụm password) thay vì các password được tạo với 1 từ đơn giản.
Cụm password dài nhưng dễ nhớ, là 2 điều kiện tiên quyết cho một password mạnh. Một passphrase như I eat 2 whole pizzas every week thì dễ nhớ và khá khó để để crack. Đừng ngần ngại sử dụng các khoảng trắng trong các password của bạn; đây là một lựa chọn mà chúng ta thường bỏ qua.
Bạn cũng có thể tạo một password bằng cách đặt những từ ngẫu nhiên lại với nhau với phương pháp Diceware với 1 wordlist tốt đủ lớn. Diceware hiện tại gần như là phương pháp an toàn nhất để tạo một password mà bạn có thể nhớ được.
Là con người, chúng ta sẽ có trở ngại trong việc nhớ nhiều các password khác nhau, vì thế chúng ta thường có xu hướng sử dụng một password cho nhiều account khác nhau. Việc sử dụng chung mật khẩu giúp bạn dễ nhớ, nhưng việc này cũng rất nguy hiểm. Nếu một hacker có được mật khẩu trang Spotify của bạn, bạn sẽ không muốn hacker đó có thể truy cập đến tài khoản ngân hàng của bạn. Và nếu như bạn chia sẻ password Netflix của bạn với một người bạn, người đó không nên có thể sử dụng nó để đăng nhập vào tài khoản Gmail hay Facebook của bạn.
Đấy là tại sao việc sử dụng mật khẩu khác nhau cho các website, ứng dụng và dịch vụ khác nhau là rất quan trọng. Chỉ thay đổi một chữ số hay một chữ cái sẽ không cải thiện việc này. Bởi vì những dạng thay đổi này quá dễ đoán. May mắn là đã có một giải pháp tiện lợi cho vấn đề này: sử dụng các phần mềm quản lý mật khẩu (password managers).
Phần mềm quản lý password
Một phần mềm quản lý tất cả các password của bạn trong một kho kỹ thuật số có khóa bảo vệ và đảm bảo an toàn cho chúng bằng một password mạnh là password chính duy nhất. Bằng cách này, bạn chỉ phải nhớ một password để truy cập tất cả tài khoản của bạn. Những ứng dụng này có thể dễ dàng sinh ra các password phức tạp, như 6ur7qvsZpb0ZkcuSW1u!V8ng!L^lb . Một password như vậy không thể đoán được và vô cùng khó/không khả thi để bẻ khóa trong thời gian hữu hạn (1 đời người).
Các phần mềm quản lý password có thể tự động điền thông tin đăng nhập khi bạn truy cập một website bạn đã từng sử dụng và có password được lưu. Chỉ riêng chức năng đã giúp bảo vệ bản khỏi rất nhiều các tấn công. Nếu như địa chỉ website không chính xác, ví dụ như wellsfargo.mybanklogin.com, ứng dụng quản lý password sẽ không điền thông tin đăng nhập website ngân hàng Wells Fargo vào. Bạn cũng có thể sử dụng một ứng dụng quản lý password để lưu trữ các ghi chú (note), ví dụ như các mã đăng nhập, các khóa bí mật và câu trả lời cho các câu hỏi bí mật.
Một số ứng dụng quản lý password tốt: LastPass, 1Password, Bitwarden và KeePass. Nếu bạn chưa bao giờ sử dụng một ứng dụng quản lý password trước đây, hãy thử sử dụng phiên bản miễn phí của LastPass cho một khởi đầu tốt để làm quen.
LASTPASS (MIỄN PHÍ)
LastPass là ứng dụng quản lý mật khẩu có rất nhiều chức năng, bao gồm một ứng dụng mở rộng cho trình duyệt web để sinh mật khẩu ngẫu nhiên và điền thông tin đăng nhập cho bạn.
LastPass có các ứng dụng tốt cho các hệ điều hành cơ bản thường gặp và vẫn hoạt động tốt ngay cả với phiên bản miễn phí. Phiên bản có phí cho bạn một gigabyte để lưu trữ tài liệu nhạy cảm và lựa chọn để chia sẻ mật khẩu với những người dùng LastPass khác.
1PASSWORD (3 USD/THÁNG)
1Password nổi tiếng với thiết kế đẹp và được tối ưu cho việc sử dụng trên các thiết bị của Apple, như iPhone và Macbook. Ứng dụng này có một ứng dụng mở rộng trình duyệt (extension) 1Password X cho phép sinh ra các password ngẫu nhiên và điền chúng vào khi bạn truy cập các website mà bạn có thể đăng nhập. Khi đăng ký dịch vụ của 1Password, bạn sẽ nhận được một khóa bảo mật đặc biệt (khóa bí mật), bạn cần dùng khóa này và Master Password của bạn để có thể truy cập tài khoản của bạn.
BITWARDEN (MIỄN PHÍ)
Bitwarden đã trở nên khá thông dụng những năm gần đây. Đây là một ứng dụng hoàn toàn mở, có thể cài đặt trên nhiều nền tảng và có thể sử dụng miễn phí. Bạn có thể chia sẻ password với vợ/chồng hay người trong gia đình, một chức năng mà bạn phải trả phí để sử dụng trong hầu hết các ứng dụng quản lý password khác. Nếu bạn muốn chia sẻ password với hơn một người, bạn sẽ phải trả phí 1 USD một tháng, đồng thời dịch vụ cũng sẽ cung cấp cho bạn 1 gigabyte chứa dữ liệu cho các file của bạn. Những người dùng rành kỹ thuật có thể tự vận hành hạ tầng Bitwarden cho riêng mình.
KEEPASS (MIỄN PHÍ)
KeePass được xem là ứng dụng quản lý password an toàn nhất, bởi vì nhiều chuyên gia bảo mật sử dụng ứng dụng này và đã tham gia làm cho nó an toàn hơn với kiến thức chuyên môn của họ.
Điểm hạn chế là ứng dụng này nhìn khá cũ (old-fashioned), giống như một ứng dụng Windows XP. May mắn là cộng đồng sử dụng KeePass đầy những lập trình viên đầy đam mê đã làm những ứng dụng đẹp hơn với KeePass, ví dụ MacPass for MacOS. Một lựa chọn tốt khác là KeePassXC, về nhiều mặt là một phiên bản tốt và đầy đủ hơn cho KeePass, và cũng thường xuyên được cập nhật bởi một nhóm các lập trình viên đầy nhiệt huyết.
Bạn có thể nghĩ: liệu một cái tủ khóa điện tử có an toàn hay không? Đây là một câu hỏi hay, và là một mối quan ngại có thể hiểu được. Ví dụ: LastPass đã bị hack 2 lần. Dù vậy, các password chưa bao giờ bị đánh cắp, bởi vì chúng được lưu trữ trong một kho kỹ thuật số rất an toàn.
Tóm lược bài viết
- Sử dụng một phần mềm quản lý mật khẩu (password manager), nên là 1 trong các phần mềm được giới thiệu ở trên
- Sử dụng một passphrase hoặc phương pháp Diceware để tạo mật khẩu của bạn
- Viết xuống master password/manager password để đăng nhập password manager và giữ nó ở một nơi an toàn, đảm bảo rằng bạn không bao giờ mất khả năng truy cập password manager
- Sử dụng password manager để sinh ra các password có độ dài từ 20 ký tự trở lên và để lưu trữ chúng an toàn