Khi các tài khoản trực tuyến yêu cầu bạn thiết lập câu hỏi bảo mật hoặc gợi ý mật khẩu, phản ứng tự nhiên của chúng ta thường là điền thông tin trung thực. Tuy nhiên, để bảo vệ tối ưu an ninh tài khoản cá nhân, đó không phải là cách làm thông minh nhất. Bài viết này sẽ phân tích lý do tại sao và hướng dẫn bạn cách sử dụng những tính năng bảo mật này một cách hiệu quả, thậm chí là “không trung thực” để đảm bảo an toàn tuyệt đối.
Phân biệt Gợi ý mật khẩu và Câu hỏi bảo mật
Mặc dù cả hai tính năng này đều liên quan đến mật khẩu và bảo mật, chúng có vai trò và cách thức hoạt động khác nhau.
Gợi ý mật khẩu (Password hints) đơn thuần là một gợi ý nhỏ giúp bạn nhớ lại mật khẩu đã quên. Chúng có thể hiển thị cho bất kỳ ai truy cập vào màn hình đăng nhập hoặc sau khi bạn nhập sai mật khẩu một vài lần. Do đó, gợi ý này không nên quá tiết lộ thông tin. Mặc dù không còn phổ biến như trước, một số dịch vụ trực tuyến vẫn sử dụng chúng. Ví dụ, macOS bao gồm tùy chọn gợi ý mật khẩu và Windows 11 cũng có (chỉ khi bạn sử dụng tài khoản cục bộ).
Màn hình khóa macOS hiển thị bong bóng gợi ý mật khẩu.
Câu hỏi bảo mật (Security questions), mặt khác, là một lớp bảo mật bổ sung, thường được dùng như một hình thức xác thực hai bước hoặc để xác minh danh tính của bạn khi bạn bị khóa tài khoản. Khi đăng nhập trên một trình duyệt lạ hoặc khôi phục tài khoản, bạn có thể cần xác nhận câu trả lời cho một hoặc nhiều câu hỏi này.
Giao diện câu hỏi bảo mật trên website American Airlines yêu cầu người dùng trả lời để xác minh danh tính.
Instinct ban đầu của chúng ta là trả lời trung thực, nhưng điều này lại tiềm ẩn rủi ro bảo mật đáng kể.
Tối ưu Câu hỏi bảo mật bằng Cụm mật khẩu ngẫu nhiên
Vấn đề của câu hỏi bảo mật đã được ghi nhận rõ ràng. Do những câu hỏi này thường hỏi về thông tin công khai (như tên thời con gái của mẹ, màu sắc yêu thích, tên đường phố bạn lớn lên), kẻ xấu có thể dễ dàng tìm ra câu trả lời thông qua mạng xã hội hoặc hồ sơ công khai. Tệ hơn nữa, một số câu hỏi bảo mật có lượng câu trả lời giới hạn (ví dụ, chỉ có một số màu sắc yêu thích có thể), làm tăng khả năng bị đoán.
Do đó, cách tốt nhất để sử dụng câu hỏi bảo mật là đưa ra câu trả lời không đúng sự thật. Tuy nhiên, không phải là một câu trả lời giả mạo dễ đoán. Thay vào đó, bạn nên coi mỗi câu hỏi bảo mật như một trường mật khẩu riêng biệt và chọn một cụm mật khẩu ngẫu nhiên (passphrase) mà gần như không thể đoán được.
Ví dụ, thay vì nói dối rằng tên thời con gái của mẹ bạn là “Griswold”, câu trả lời cho câu hỏi đó có thể là “Những con Narwhal bị lăng mạ đầy thỏa mãn”. Đây là một cụm từ không liên quan đến câu hỏi và cực kỳ khó đoán, nhưng lại không khó để nhớ – một trong những lợi thế chính của cụm mật khẩu so với mật khẩu thông thường.
Lưu ý: Một số công ty sẽ yêu cầu bạn trả lời câu hỏi bảo mật để xác minh khi bạn gọi điện. Tránh sử dụng các ký hiệu hoặc cụm từ khó phát âm để tránh tình huống khó xử khi trao đổi qua điện thoại.
Bảo vệ các câu trả lời Câu hỏi bảo mật
Lý tưởng nhất, bạn nên lưu trữ những câu trả lời “giả mạo” này trong một trình quản lý mật khẩu (password manager). Việc sử dụng trình quản lý mật khẩu là điều cần thiết để đảm bảo an ninh trực tuyến của bạn. Nếu bạn chưa sử dụng trình quản lý mật khẩu để tăng cường bảo mật cho mật khẩu của mình, đây là bước tốt nhất bạn có thể thực hiện.
Tùy thuộc vào trình quản lý mật khẩu của bạn, có thể có một tùy chọn riêng cho câu hỏi bảo mật. Nếu không, hãy sử dụng trường Ghi chú (Notes) cho trang web đó (tất cả các trình quản lý mật khẩu đều cung cấp). Sau đó, khi bạn đăng nhập, bạn chỉ cần sao chép và dán cụm mật khẩu của mình.
Tính năng tạo câu trả lời ngẫu nhiên cho câu hỏi bảo mật của ứng dụng 1Password giúp tăng cường an ninh tài khoản.
Đảm bảo bạn ghi chú rõ ràng câu trả lời nào tương ứng với câu hỏi nào, vì các câu trả lời câu hỏi bảo mật mạnh mẽ thường không có bất kỳ ngữ cảnh nào!
Tạo Gợi ý mật khẩu chỉ có ý nghĩa với bạn
Gợi ý mật khẩu không nên giúp bất kỳ ai đoán ra mật khẩu của bạn. Cách dễ nhất để thực hiện điều này là sử dụng trình quản lý mật khẩu cho tất cả mọi thứ và đặt gợi ý của bạn là “trình quản lý mật khẩu”.
Bằng cách ghi nhớ một mật khẩu chính mạnh cho trình quản lý mật khẩu của bạn, bạn không cần phải lo lắng về gợi ý cho các mật khẩu khác. Không nên nêu tên trình quản lý mật khẩu bạn đang dùng, vì điều đó làm giảm số lượng ứng dụng mà kẻ tấn công tiềm năng sẽ cố gắng phá vỡ bằng địa chỉ email của bạn.
Nếu vì lý do nào đó bạn không sử dụng trình quản lý mật khẩu, gợi ý mật khẩu sẽ khó sử dụng an toàn hơn. Nói chung, nếu mật khẩu của bạn đủ đơn giản để bạn có thể mô tả nó bằng một gợi ý (chẳng hạn như “trường học thời thơ ấu cộng tên chó”), thì nó quá yếu.
Một thiết lập tốt hơn là sử dụng một mẫu cụm mật khẩu có ý nghĩa không rõ ràng. Bạn có thể chọn từng từ thứ hai của một bài hát, năm từ giữa của một câu trích dẫn, hoặc tương tự – càng mơ hồ càng tốt. Khi đó, gợi ý mật khẩu của bạn có thể là một cụm từ như “trích dẫn hay nhất” để gợi mở trí nhớ của bạn mà không tiết lộ mật khẩu.
Công cụ tạo cụm mật khẩu ngẫu nhiên trong 1Password, một giải pháp mạnh mẽ để tạo mật khẩu và gợi ý bảo mật an toàn.
Đối với những mật khẩu quan trọng nhất, như mật khẩu chính của trình quản lý mật khẩu, bạn có thể cân nhắc một bản sao lưu vật lý. Khi đó, gợi ý có thể cung cấp manh mối về nơi cất giữ an toàn ở nhà (ví dụ: “ở giữa cuốn sách cuối cùng bạn đọc”).
Có nên sử dụng Gợi ý mật khẩu hay Câu hỏi bảo mật?
Những lời khuyên trên hữu ích cho các tài khoản bắt buộc bạn phải sử dụng câu hỏi bảo mật hoặc gợi ý mật khẩu. Nhưng khi có thể, bạn nên chọn bỏ qua các tùy chọn này hoặc tắt chúng đi. Mọi phương pháp xác thực hai yếu tố (2FA) khác đều ưu việt hơn câu hỏi bảo mật; bạn nên sử dụng một ứng dụng xác thực mạnh mẽ hơn nhiều.
Bạn nên thực hiện kiểm tra các tài khoản của mình để tắt câu hỏi bảo mật nếu có thể, hoặc điều chỉnh câu trả lời của bạn để chúng mạnh hơn. Điều này đặc biệt đúng với các tài khoản bạn đã sử dụng trong một thời gian dài, vì chúng có nhiều khả năng vẫn còn tính năng câu hỏi bảo mật cũ.
Một trường hợp đặc biệt khó chịu là các câu hỏi bảo mật mà bạn bị giới hạn trong một menu thả xuống (ví dụ, United Airlines là một ví dụ điển hình). Khi bạn gặp phải tình huống này, bạn vẫn không nên trả lời trung thực. Hơn nữa, bạn nên chọn những câu hỏi mà chỉ bạn mới có thể biết câu trả lời, thay vì những câu hỏi mà ai đó có thể trả lời bằng thông tin công khai.
Lấy ví dụ về các câu hỏi bảo mật của United Airlines: câu hỏi “động vật biển yêu thích của bạn là gì” tốt hơn câu hỏi “tháng sinh nhật của người bạn thân nhất của bạn là gì”, ngay cả khi bạn đang tạo ra một câu trả lời. Chỉ có 12 tháng, trong khi có nhiều loại sinh vật biển hơn – và bạn ít có khả năng đã chia sẻ thông tin về động vật biển yêu thích trực tiếp hoặc trực tuyến.
Mọi yếu tố liên quan đến mật khẩu đều mạnh mẽ hơn khi chúng ngẫu nhiên. Điều đó áp dụng cho cả câu hỏi bảo mật và gợi ý mật khẩu. Khi bạn buộc phải sử dụng chúng, hãy tạo một câu trả lời ngẫu nhiên mà bạn lưu trữ an toàn trong trình quản lý mật khẩu của mình. Và khi bạn có lựa chọn, hãy tắt chúng và sử dụng một phương pháp 2FA mạnh mẽ hơn.
