Mật khẩu: Cách thực hiện đúng: 10 bước

2024 Tác giả: John Day | [email protected]. Sửa đổi lần cuối: 2024-01-30 13:35

Đầu năm nay, vợ tôi mất quyền truy cập vào một số tài khoản của cô ấy. Mật khẩu của cô ấy được lấy từ một trang web bị vi phạm, sau đó được sử dụng để truy cập vào các tài khoản khác. Cho đến khi các trang web bắt đầu thông báo cho cô ấy về những lần đăng nhập không thành công, cô ấy mới nhận ra rằng bất cứ điều gì đang xảy ra.

Tôi cũng đã nói chuyện với một số người nói rằng họ sử dụng cùng một mật khẩu cho mọi trang web. Hai điều này đã đủ để thúc đẩy tôi viết cuốn sách Có thể giảng dạy này.

Bảo mật mật khẩu là một phần rất nhỏ của bảo mật trực tuyến nói chung. Hầu hết mọi tài khoản đều yêu cầu một số loại đăng nhập để cho phép truy cập vào bất kỳ tài khoản nào mà nó đang bảo vệ. Chuỗi đơn đó thường là tất cả những gì nằm giữa kẻ tấn công và thông tin cá nhân của bạn, tiền bạc, hình ảnh cá nhân hoặc những điểm du lịch mà bạn đã thu thập trong nhiều năm.

Tài liệu hướng dẫn này nhằm mục đích đề cập đến một số phương pháp hay nhất để tạo mật khẩu. Nếu bạn là người có cùng một mật khẩu cho mọi trang web, mật khẩu của ai là một mẫu trên bàn phím hoặc bạn có từ "mật khẩu" trong mật khẩu của mình, thì hướng dẫn này là dành cho bạn.

Tuyên bố từ chối trách nhiệm

Tôi không phải là một chuyên gia bảo mật. Thông tin này đã được tìm hiểu và nghiên cứu theo thời gian và chỉ là một đề xuất và tóm tắt của một chủ đề rất phức tạp. Hướng dẫn này được viết vào đầu năm 2018 và có thể đã lỗi thời vào thời điểm bạn đọc.

TL; DR

Nếu bạn không quan tâm đến tất cả lý do và lời giải thích của tôi đằng sau mật khẩu và chỉ muốn một cách dễ dàng để tạo mật khẩu an toàn, hãy chuyển sang bước cuối cùng.

Bước 1: Làm cho nó dài ra

Độ dài là một thành phần rất quan trọng đối với bảo mật mật khẩu. Với tốc độ máy tính phát triển ngày càng nhanh, mật khẩu có thể được thử với tốc độ đáng kinh ngạc. Đây được gọi là bẻ khóa mật khẩu "brute-force". Nó buộc mọi tổ hợp ký tự có thể có cho đến khi bạn tìm được ký tự phù hợp.

Về lý thuyết, điều này làm cho bất kỳ mật khẩu nào cũng có thể bẻ khóa được, nếu có đủ thời gian. May mắn thay, mật khẩu càng dài thì kiểu tấn công này càng mất nhiều thời gian. Mỗi nhân vật bạn thêm vào độ dài làm cho độ khó trở nên khó khăn hơn nhiều. Nếu nó đủ lâu, có thể mất hàng thập kỷ để tìm ra nó theo cách này, điều này khiến kẻ tấn công không có giá trị.

Thí dụ

Giả sử bạn có một mật khẩu chỉ là chữ in hoa. Đây không phải là một ý tưởng hay, nhưng nó chỉ mang tính chất minh họa. Mỗi khi bạn thêm một ký tự khác vào mật khẩu, nó sẽ nhân số lượng mật khẩu có thể với 26. Nếu bạn có một mật khẩu 1 ký tự, nó sẽ có 26 mật khẩu khả thi, 2 ký tự sẽ có 676 mật khẩu khả thi, v.v. Điều này bắt đầu nhanh chóng trôi qua.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Như bạn có thể thấy, mỗi chữ cái bạn thêm vào làm cho cuộc tấn công này khó hơn nhiều và thực tế là không thể với đủ ký tự. Hãy nhớ rằng, điều này chỉ với các chữ cái viết hoa. Một khi chúng trở nên phức tạp hơn, hiệu ứng này sẽ được phóng đại lên.

Bước 2: Làm cho nó phức tạp

Sự phức tạp là một yếu tố lớn khác trong bảo mật mật khẩu. Nếu một trang web từng bị xâm phạm, rất có thể tên người dùng và mật khẩu sẽ bị xóa. Là một mức độ bảo mật cơ bản, hy vọng trang web có các mật khẩu được băm (tương tự như mã hóa) trước khi lưu trữ. Điều này có nghĩa là chúng đã bị cắt xén trước khi đi vào cơ sở dữ liệu và không có cách nào để đảo ngược việc cắt xén này.

Tất cả điều này nghe có vẻ tốt. Mật khẩu của bạn là gì không quan trọng vì nó bị cắt xén, phải không? Đó không phải là trường hợp nếu mật khẩu của bạn không phức tạp. Có các thuật toán băm tiêu chuẩn được sử dụng (SHA1, MD5, SHA512, v.v.) và chúng sẽ luôn băm cùng một thứ theo cùng một cách. Ví dụ: nếu bạn đang sử dụng SHA1 và mật khẩu của bạn là "password", nó sẽ luôn được lưu trữ trong cơ sở dữ liệu dưới dạng "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Việc tạo hàm băm cần nhiều thời gian và máy tính, và tính toán tất cả các hàm băm có thể có cho tất cả các mật khẩu có thể thực tế là không thể. Những gì mọi người đã làm là làm "từ điển" các mật khẩu thông dụng. Những thứ như "password" hoặc "qwerty" tất nhiên sẽ có trong đó, cũng như những thứ ít phổ biến hơn. Sẽ có hàng triệu mật khẩu trong các từ điển này và bạn sẽ chỉ mất vài giây để xem qua từng mục nhập và so sánh hàm băm đã biết với mã băm mật khẩu của bạn. Đây được gọi là "cuộc tấn công từ điển". Nếu mật khẩu của bạn là một trong những mật khẩu đã được tính toán, việc thu thập sẽ không bảo vệ mật khẩu của bạn và nó có thể được sử dụng trên các trang web khác.

Ngoài ra, việc thay đổi chữ cái thành số không làm phức tạp thêm. Thay đổi E thành 3 hoặc I thành 1 có vẻ phức tạp hơn, nhưng đó là một thực tế phổ biến nên nó không tăng thêm tính bảo mật. Các chương trình bẻ khóa có một tùy chọn sẽ tự động thử các biến thể đó.

Bước 3: Làm cho nó trở nên độc đáo

Nhớ mật khẩu thật khó. Với cuộc sống của chúng ta ngày càng trở nên trực tuyến, không có gì lạ khi mỗi người có hơn 50 tài khoản trực tuyến, mỗi tài khoản có thông tin đăng nhập riêng của họ. Điều này có thể rất khó theo dõi.

Cách phổ biến nhất mà mọi người xử lý là chọn một mật khẩu "tốt" và sử dụng nó trên một loạt các trang web khác nhau. Đây là một ý tưởng khủng khiếp. Tất cả những gì cần làm là một lần vi phạm bảo mật hoặc một trang web lừa đảo lấy tên người dùng và mật khẩu của bạn để bắt đầu trận bóng. Những kẻ tấn công có thể thử tên người dùng và mật khẩu đó trên hàng trăm trang web trong vòng vài giây. Điều này sẽ tự động đưa họ vào mọi trang web có cùng tên người dùng với tên người dùng bị xâm phạm.

Tôi biết có một mật khẩu khác nhau cho mỗi trang web có vẻ là một nhiệm vụ khó khăn, nhưng chúng tôi sẽ trình bày cách xử lý điều này sau.

Bước 4: Không có gì cá nhân

Thông tin của bạn không phải là riêng tư như bạn nghĩ. Tìm kiếm nhanh trên mạng có thể dễ dàng tìm thấy ngày sinh hoặc địa chỉ của bạn. Nếu một tài khoản khác đã bị xâm phạm, thậm chí có thể dễ dàng lấy thêm thông tin. Nếu có kẻ tấn công đang cố gắng xâm nhập vào tài khoản của bạn, đây sẽ là những mật khẩu rõ ràng để thử. Nó cũng mở cửa cho các thành viên gia đình, bạn bè, hoặc thậm chí người quen.

Bước 5: Xử lý tất cả mật khẩu với cùng một sự chăm sóc

Khi giao dịch với các trang web, bạn nên xem xét mức độ bảo mật của tất cả chúng với mức độ cẩn thận như nhau. Ví dụ: nếu bạn đăng nhập vào trang web yêu thích của mèo, bạn nên thực hiện các biện pháp phòng ngừa tương tự như đăng nhập ngân hàng của bạn. Có vẻ như không nhiều khi mất quyền truy cập vào tất cả những bộ râu đáng yêu đó, nhưng đó chỉ có thể là bước đệm cho kẻ tấn công. Việc xâm phạm trang web "không quan trọng" đó có thể cung cấp cho kẻ tấn công thêm thông tin về bạn, chẳng hạn như tên người dùng khác mà bạn đã sử dụng, email khác mà bạn đã sử dụng để đăng nhập hoặc thông tin thực tế có thể được sử dụng để mở khóa các trang web khác.

Ngoài ra, nếu đó là một trang web không quan trọng, có nhiều khả năng chúng sẽ không tuân theo các phương pháp bảo mật thích hợp, có nghĩa là nếu mật khẩu của bạn dài và phức tạp, nhưng không phải là duy nhất và mật khẩu không được băm đúng cách khi được lưu trữ, mật khẩu đó có thể được sử dụng dễ dàng trên các trang web khác. Một lần nữa, chỉ vì trang web "không quan trọng", không có nghĩa là bảo mật của bạn là như vậy.

Bước 6: Ẩn nó

Tốt - Bộ nhớ ngoại tuyến

Lưu trữ ngoại tuyến có thể là một lựa chọn tốt nếu bạn là một người hay quên. Có thẻ USB mà bạn luôn khóa với mật khẩu của mình trên đó sẽ bảo vệ khỏi hầu hết các cuộc tấn công, ngoại trừ gia đình và bạn bè. Đề phòng trường hợp bạn làm mất chiếc gậy này bằng cách nào đó, hãy đảm bảo rằng tệp mật khẩu hoặc toàn bộ ổ đĩa đã được mã hóa và chiếc gậy được sao lưu ở một nơi nào đó rất an toàn.

Phương pháp này có rất nhiều bảo mật, nhưng với chi phí thuận tiện.

Lý do mà nó phải ngoại tuyến được giải thích chi tiết hơn bên dưới. Xin lưu ý rằng hiện nay rất nhiều thiết bị được sao lưu tự động lên đám mây, ngay cả khi bạn không cố ý. Ngoài ra, nếu bạn cắm thanh này vào thiết bị có vi-rút hoặc bị xâm nhập, dữ liệu có thể dễ dàng bị sao chép.

Tốt hơn - Ghi nhớ mọi thứ

Ghi nhớ tất cả các mật khẩu của bạn. Nếu bạn có năng khiếu kinh khủng, đây có thể là một lựa chọn. Không có cách nào để ai đó tìm thấy chúng, và bạn luôn có chúng bên mình. Một số nhược điểm là hầu hết chúng ta không giỏi ghi nhớ những điều phức tạp và có xu hướng nói quá nhiều sau một hoặc hai bữa nhậu. Đặc biệt là với hàng tá mật khẩu cần ghi nhớ, điều này thậm chí không phải là một lựa chọn cho những người bình thường.

Tốt nhất - Không có bộ nhớ

Trường hợp tốt nhất là bạn không nên lưu trữ chúng. Bằng cách nào đó, hãy nhớ tất cả các mật khẩu phức tạp, dài và độc đáo của bạn hoặc có cách tạo lại chúng một cách nhanh chóng. Nếu bạn biết các thành phần cần thiết để tạo lại chúng, thì sẽ không có cách nào mà kẻ tấn công có thể "tìm thấy" chúng vì chúng không tồn tại cho đến khi cần thiết. Điều này nghe có vẻ phức tạp nhưng thực sự không phải vậy. Thêm về điều này sau.

Tầm quan trọng của ngoại tuyến

Các trang web được quản lý bởi mọi người. Đối với hầu hết các trang web, có thể an toàn khi cho rằng những người này thường có ý định tốt, nhưng ngay cả những người giỏi nhất cũng có thể mắc sai lầm. Chỉ riêng năm ngoái, đã có một số vụ vi phạm bảo mật trang web lớn của các công ty lớn, nói chung là bảo mật như Linked-In, Yahoo, Equifax, Apple và Uber, chỉ là một vài trong số đó. Đây là những công ty lớn có bộ phận bảo mật và họ đã bị vi phạm.

Lưu trữ đám mây nghe có vẻ lạ mắt và nó mang lại sự tiện lợi, nhưng thực tế "đám mây" là máy tính của người khác mà bạn đang sử dụng để lưu trữ tệp của mình. Giống như tôi đã nói ở trên, mọi người có thể mắc sai lầm. Nếu điều đó xảy ra, mật khẩu của bạn có thể được cung cấp cho cả thế giới. Các trang web đám mây là một mục tiêu khổng lồ cho những kẻ tấn công vì lượng dữ liệu mà chúng nắm giữ. Phá vỡ trang web đám mây, có quyền truy cập vào tất cả thông tin mà hàng triệu người có khả năng đã lưu trữ.

Tôi chắc chắn rằng một số điều này là hoang tưởng, nhưng với một phần lớn cuộc sống của bạn ẩn sau những mật khẩu này, hãy bảo vệ chúng như vậy.

Bước 7: Đề xuất của tôi

Đây là một phần mở đầu rất dài để giải thích các trụ cột chính của bảo mật mật khẩu. Nếu bạn tuân theo 6 nguyên tắc đó, bạn sẽ gặp phải các vấn đề bảo mật tối thiểu khi trực tuyến và nếu có bất kỳ điều gì xảy ra, nó chỉ nên dừng lại ở nguồn, không lây lan sang phần còn lại của cuộc sống trực tuyến của bạn.

Có nhiều cách khác nhau để bạn có thể giải quyết những thách thức này. Một số tốt hơn những cái khác và cung cấp những lợi ích khác nhau. Giải pháp yêu thích của tôi là SuperGenPass (SGP). Tôi không liên kết dưới bất kỳ hình thức nào, tôi chỉ là một người hâm mộ.

Đơn giản để sử dụng

SGP có một ứng dụng cho điện thoại của bạn và một nút mà bạn có thể thêm vào trình duyệt của mình. Khi bạn truy cập vào một trang web và nó yêu cầu bạn đăng nhập, hãy nhấp vào nút. Một cửa sổ nhỏ sẽ bật lên. Nhập mật khẩu chính của bạn. SGP sẽ tạo một mật khẩu cho trang web này và nhập nó vào ô mật khẩu cho bạn!

Dài

Bạn có thể chọn độ dài của mật khẩu được tạo. Điều này sẽ tạo mật khẩu tối đa 24 ký tự, khá an toàn, nhưng bạn có thể chọn ngắn hơn nếu một số trang web giới hạn độ dài mật khẩu của bạn.

Phức tạp

Chữ hoa, chữ thường và số được sử dụng, khá an toàn. Chúng không tuân theo bất kỳ mẫu dễ nhận biết nào mà không có từ hoặc cụm từ. Không có URL hoặc mật khẩu chính của bạn trong chuỗi này.

Duy nhất

Mỗi trang web sẽ có một mật khẩu hoàn toàn duy nhất. Mật khẩu cho example1.com và example2.com hoàn toàn khác nhau, mặc dù chỉ có một ký tự khác nhau trong "thành phần" ban đầu. Như bạn có thể thấy trong ví dụ bên dưới, không có mối liên hệ nào giữa "thành phần" và mật khẩu kết quả và chúng RẤT khác nhau.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Kho

Nó không lưu trữ và truyền dữ liệu. Nó có thể chạy hoàn toàn ngoại tuyến nếu bạn lo lắng và không có cách nào để ai đó tìm thấy hoặc đánh cắp chúng.

Bước 8: SGP: Thiết lập

Thiết lập SGP rất đơn giản. Trước tiên, bạn có thể sẽ muốn thêm nó vào thanh dấu trang của mình. Để làm điều này, hãy truy cập:

chriszarate.github.io/supergenpass/

Sẽ có 2 nút để bạn lựa chọn. Để thiết lập một máy tính bạn thường sử dụng, hãy kéo nút bên trái vào thanh dấu trang của bạn. Điều này sẽ cung cấp cho bạn một nút mới để sử dụng.

Nếu bạn đang sử dụng máy tính của người khác trong tương lai, bạn có thể chọn nút ở bên phải. Điều này sẽ cho phép bạn sử dụng SGP mà không cần thay đổi bất kỳ điều gì trong trình duyệt của họ. Nó cũng là một tùy chọn cho trình duyệt di động.

Khi nó đã được thêm vào thanh dấu trang của bạn, hãy nhấp vào nút. Nó sẽ mở ra một cửa sổ nhỏ ở góc trang web của bạn. Nhấp vào bánh răng nhỏ sẽ mở ra cài đặt.

Chiều dài

Con số bên trái là độ dài của mật khẩu mà nó sẽ tạo ra. Tôi khuyên bạn nên xem qua các trang web bạn sử dụng nhiều nhất và đặt nó ở số lượng cao nhất mà các trang web này sẽ cho phép. Trên 12 tuổi được khuyến khích, nhưng càng dài càng tốt, đặc biệt là vì bạn không cần phải nhớ nó.

Loại băm

Có hai tùy chọn cho loại băm được sử dụng, MD5 và SHA. Cả hai sẽ tạo mật khẩu bằng chữ hoa, chữ thường và số. Thay đổi đây là một cách đơn giản để thay đổi tất cả các mật khẩu của bạn trong khi vẫn giữ cùng một mật khẩu chính.

Mật khẩu bí mật

Phần mật khẩu bí mật là một cách bổ sung để đảm bảo rằng mọi thứ đều được bảo mật. Khi applet khởi động, nếu bạn có mật khẩu bí mật, nó sẽ hiển thị một hình ảnh nhỏ trong hộp mật khẩu. Mật khẩu này LUÔN phải giống nhau khi nó bắt đầu. Nếu nó khởi động và hình ảnh này không phải như bình thường, có khả năng ai đó đang cố lấy mật khẩu chính của bạn.

Mật khẩu cấp cao

Điều này không cần thiết trong quá trình thiết lập, nhưng nó rất quan trọng. Đảm bảo chọn một mật khẩu mạnh. Đây là một mật khẩu duy nhất mà bạn luôn nhập trên mọi trang web. Đảm bảo rằng đó là thứ bạn có thể nhớ, nhưng phức tạp, dài và không mang tính cá nhân.

Tiết kiệm

Sau khi bạn chọn tất cả các cài đặt của mình, hãy nhấp lại vào biểu tượng lưu và biểu tượng bánh răng để đóng các cài đặt

Bước 9: Sử dụng SGP

Để sử dụng SGP, hãy duyệt đến một trang web như bạn thường làm. Khi bạn cần nhập mật khẩu của mình, hãy nhấp vào nút SGP mà bạn đã thêm vào thanh dấu trang của mình. Nếu bạn đã sử dụng mật khẩu bí mật khi thiết lập SGP, hãy đảm bảo rằng hình ảnh hiển thị trong hộp mật khẩu khớp với mật khẩu khi bạn thiết lập.

Nhập Mật khẩu chính của bạn và nhấn Enter. Điều này sẽ tính toán mật khẩu duy nhất của bạn cho trang web này và điền nó cho bạn! Khi bạn nhập Mật khẩu chính, biểu tượng sẽ được cập nhật. Nếu hình ảnh không khớp với biểu tượng bạn thường có, hoặc bạn đã nhập sai Mật khẩu chính hoặc ai đó đang cố lấy mật khẩu của bạn.

Tùy thuộc vào cách trang web được viết, SGP có thể không nhập được mật khẩu cho bạn hoặc trang web có thể không nhận ra rằng nó đã được nhập. Nếu đúng như vậy, bạn có thể nhấp vào biểu tượng sao chép bên cạnh hộp mật khẩu đã tạo và dán nó theo cách thủ công.

Khi mật khẩu của bạn đã được nhập, hãy nhấp vào Đăng nhập và bạn đã ở đó!

Bước 10: Kết luận

SGP có thể không phù hợp với tất cả mọi người, và điều đó không sao cả. Nó không phải là giải pháp hoàn hảo vì không có thứ đó. Nếu bạn có một dịch vụ hoặc phương pháp khác mà bạn muốn sử dụng cho mật khẩu, hãy ghi nhớ 6 bước để có mật khẩu an toàn. Nếu phương pháp hiện tại của bạn không phù hợp với một số lĩnh vực này, có thể đã đến lúc tìm kiếm một giải pháp khác. Có, có thể mất nửa ngày để thay đổi tất cả các tài khoản của bạn, nhưng điều đó có thể sẽ đỡ đau đầu hơn việc tài khoản của bạn bị vi phạm.

Lưu ý về lưu trữ trực tuyến: Nếu dịch vụ lưu trữ mật khẩu của bạn trực tuyến / trên "đám mây", hãy kiểm tra các phương pháp bảo mật của họ để đảm bảo rằng chúng tốt. Trang web có thể sẽ cho bạn biết họ đang làm gì để bảo vệ mật khẩu của bạn nếu họ làm đúng cách. Nếu bạn không chắc chắn, hãy gửi cho họ một email và hỏi. Nếu họ không thể đưa ra câu trả lời hay / ngắn gọn / chính xác cho bạn, hãy thận trọng khi sử dụng dịch vụ đó.