Mật khẩu mạnh không phải là bất khả xâm phạm: Nó vẫn sẽ bị đánh bại trước 7 cuộc tấn công này!

Tạo mật khẩu mạnh là một trong những bài học đầu tiên chúng ta học được khi bước vào thế giới kỹ thuật số. Chúng ta thường được khuyên rằng việc kết hợp chữ hoa, số và ký tự đặc biệt có thể giữ an toàn cho tài khoản. Mặc dù đó là lời khuyên tốt, nhưng điều quan trọng là phải nhận ra rằng ngay cả mật khẩu mạnh nhất cũng không hoàn hảo.

Điều gì làm nên một mật khẩu "mạnh"?

Mật khẩu mạnh thường bao gồm sự kết hợp của chữ cái, số, ký hiệu, ký tự viết hoa và viết thường. Ý tưởng là tạo ra thứ gì đó khó đoán hoặc bẻ khóa bằng cách dùng kỹ thuật brute force (thử các kết hợp ngẫu nhiên). Thông thường, mật khẩu dài hơn (12 ký tự trở lên) được coi là mạnh, vì chúng làm tăng theo cấp số nhân số lượng kết hợp có thể mà kẻ tấn công phải thử. Tuy nhiên, bạn nên nhắm đến con số 16 ký tự, điều này làm tăng đáng kể độ khó của kẻ cố gắng đoán mật khẩu của mình.

Sử dụng trình quản lý mật khẩu là cách tốt nhất để tạo mật khẩu mạnh, duy nhất mà bạn không cần phải nhớ. Bạn nên sử dụng NordPass, Dashlane và Proton Pass, trong khi Bitwarden cũng là một lựa chọn tuyệt vời. Trong mỗi trình quản lý mật khẩu này, bạn sẽ cần nhớ một mật khẩu thực sự mạnh để bảo vệ kho mật khẩu của mình, điều này chắc chắn giúp cuộc sống dễ dàng hơn khi tạo mật khẩu mạnh.

6 cuộc tấn công mà ngay cả mật khẩu mạnh cũng không thể ngăn chặn

Tuy nhiên, cho dù mật khẩu của bạn phức tạp đến đâu, nó vẫn dễ bị tấn công nếu kẻ xấu sử dụng các phương pháp nhắm mục tiêu vượt ra ngoài nỗ lực brute force.

Tấn công Phishing

Phishing là khi kẻ tấn công lừa bạn cung cấp mật khẩu của mình. Thông thường, điều này liên quan đến email giả mạo hoặc các trang web trông giống hệt như những website hợp lệ. Ngay cả khi mật khẩu của bạn là "T8$9gH@!" và cực kỳ phức tạp, việc nhập mật khẩu đó vào một trang đăng nhập giả mạo có nghĩa là kẻ tấn công sẽ ngay lập tức có quyền truy cập.

Thật không may, các cuộc tấn công phishing rất đa dạng, vì vậy bạn thực sự phải cảnh giác và tỉnh táo khi trực tuyến hoặc mở tài khoản email của mình.

Keylogger

Keylogger âm thầm ghi lại mọi thứ bạn nhập vào thiết bị của mình. Các công cụ độc hại này có thể là phần mềm được cài đặt thông qua malware hoặc thiết bị phần cứng ẩn. Nếu thiết bị bị nhiễm, keylogger sẽ ghi lại mật khẩu mạnh của bạn khi bạn nhập, bất kể nó có phức tạp đến đâu.

Rất may, có một số cách để kiểm tra xem keylogger có được cài đặt trên thiết bị hay không. Thật không may, chúng không hoàn hảo. Phần mềm độc hại nâng cao sẽ hoạt động cực kỳ khó khăn để ẩn, vì vậy bạn có thể cần thử một số phương pháp.

Credential Stuffing

Credential Stuffing sử dụng các mật khẩu đã bị rò rỉ trước đó từ những vụ vi phạm dữ liệu. Nếu bạn sử dụng lại ngay cả một mật khẩu mạnh trên nhiều tài khoản, kẻ tấn công có thể kiểm tra mật khẩu bị rò rỉ trên các nền tảng khác nhau, có được quyền truy cập mà không cần đoán.

Bây giờ, nó đòi hỏi một số công việc. Không đơn giản như việc ngồi vào màn hình đăng nhập với danh sách mật khẩu và thử từng mật khẩu một. Nhưng nó làm nổi bật các vấn đề khi sử dụng lại mật khẩu trên nhiều tài khoản: Khi một mật khẩu bị lỗi, tất cả các mật khẩu khác đều gặp vấn đề.

Social Engineering

Những kẻ tấn công khai thác các thủ thuật Social Engineering tập trung vào việc thao túng con người hơn là hệ thống. Ví dụ, một người giả danh là nhân viên hỗ trợ kỹ thuật có thể gọi điện và yêu cầu mật khẩu của bạn một cách thuyết phục. Vì điều này dựa trên sự lừa dối nên độ phức tạp của mật khẩu không quan trọng.

Các cuộc tấn công Social Engineering có liên quan đến phishing, ở chỗ bạn có thể không nhận ra mình đang cung cấp mật khẩu cho đến khi quá muộn. Có một số cách để bảo vệ chống lại các cuộc tấn công Social Engineering, nhưng biện pháp bảo vệ chính là cảnh giác.

Phần mềm độc hại và virus đánh cắp thông tin

Phần mềm độc hại, giống như Trojan và phần mềm đánh cắp thông tin, nhắm mục tiêu cụ thể vào mật khẩu đã lưu hoặc mật khẩu đã nhập vào trình duyệt và ứng dụng. Ngay cả mật khẩu được mã hóa đôi khi cũng có thể bị xâm phạm nếu hệ thống của bạn bị nhiễm. Nếu vô tình cài đặt phần mềm độc hại vào hệ thống của mình, bạn đang tự mở ra cho mình một thế giới rắc rối.

Sự khác biệt lớn nhất giữa phần mềm độc hại "cũ" và các biến thể mới hơn là tính ẩn. Phần mềm độc hại hiện đại được thiết kế để ẩn, âm thầm thu thập dữ liệu của bạn để sử dụng ở nơi khác, chẳng hạn như thông tin đăng nhập ngân hàng, mật khẩu mạng xã hội, v.v... Đó là lý do tại sao phần mềm độc hại đánh cắp thông tin đã trở thành một trong những vấn đề lớn nhất mà Internet hiện đại phải đối mặt, vì nó đánh cắp dữ liệu của bạn nhưng cũng thiết lập cho bạn các cuộc tấn công phishing, lừa đảo và thậm chí là những cuộc tấn công bằng ransomware sau này.

Nhìn qua vai hoặc tấn công bằng camera

Đơn giản nhưng hiệu quả một cách đáng ngạc nhiên, kẻ tấn công có thể theo dõi bạn nhập mật khẩu hoặc thông qua camera ẩn. ​​Bất kể mật khẩu của bạn phức tạp đến mức nào, việc ghi lại trực quan sẽ làm mất đi sức mạnh của mật khẩu ngay lập tức. Một mật khẩu phức tạp sẽ khó nhớ hoặc ghi lại nhanh hơn, nhưng những kỹ thuật này được sử dụng rất nhiều, đặc biệt là xung quanh các máy ATM và những thiết bị tương tự khác.

Cách bảo vệ bản thân ngoài mật khẩu mạnh

Việc tạo mật khẩu mạnh rất quan trọng, nhưng chúng chỉ là một lớp phòng thủ. Sau đây là cách bạn có thể tăng cường khả năng bảo vệ của mình hơn nữa:

• Bật xác thực đa yếu tố (MFA): MFA bổ sung thêm một lớp bảo mật bằng cách yêu cầu một phương thức xác minh khác ngoài mật khẩu của bạn, chẳng hạn như mã được gửi đến điện thoại, địa chỉ email hoặc ứng dụng xác thực.
• Sử dụng rình quản lý mật khẩu: Trình quản lý mật khẩu lưu trữ và tự động điền mật khẩu của bạn một cách an toàn, giảm nguy cơ bị lừa đảo trên các trang web lừa đảo và phần mềm keylogger.
• Luôn cảnh giác với lừa đảo: Học cách nhận biết email và tin nhắn đáng ngờ. Khi nghi ngờ, đừng nhấp vào liên kết - hãy nhập địa chỉ web theo cách thủ công.
• Cập nhật phần mềm thường xuyên: Cập nhật thiết bị và ứng dụng để giảm thiểu lỗ hổng mà phần mềm độc hại khai thác.
• Bảo mật kết nối của bạn: Sử dụng VPN trên Wi-Fi công cộng và đảm bảo các trang web sử dụng HTTPS.
• Không bao giờ sử dụng lại mật khẩu: Sử dụng mật khẩu duy nhất cho mọi tài khoản để ngăn chặn tấn công credential stuffing. Nếu một mật khẩu bị rò rỉ, nó sẽ không xâm phạm các tài khoản khác của bạn.

Có mật khẩu mạnh là điều cần thiết, nhưng đó không phải là giải pháp cuối cùng. Bằng cách hiểu các mối đe dọa mà mật khẩu phải đối mặt, bạn có thể thực hiện nhiều bước để bảo vệ bản thân. Kết hợp mật khẩu mạnh với các biện pháp an ninh mạng tốt, và bạn sẽ giảm đáng kể nguy cơ trở thành nạn nhân của những cuộc tấn công này.