Khi các tài khoản trực tuyến yêu cầu bạn điền câu hỏi bảo mật hoặc gợi ý mật khẩu, có thể bạn đang không thực hiện điều đó một cách khôn ngoan. Để bảo vệ an toàn cho tài khoản của mình một cách tốt nhất, bạn không nên thành thật khi điền vào các trường thông tin này. Việc hiểu rõ cách tiếp cận đúng đắn sẽ giúp bạn tăng cường đáng kể lớp bảo vệ cho dữ liệu và thông tin cá nhân trên không gian mạng, tránh rơi vào bẫy của những kẻ có ý đồ xấu.
Phân Biệt Gợi Ý Mật Khẩu (Password Hints) Và Câu Hỏi Bảo Mật (Security Questions)
Mặc dù hai tính năng bảo mật tài khoản này nghe có vẻ tương tự, nhưng chúng không hoàn toàn giống nhau.
Gợi ý mật khẩu (Password hints) đơn thuần là một mẹo nhỏ giúp bạn nhớ lại mật khẩu đã quên. Chúng có thể hiển thị cho bất kỳ ai có thể truy cập vào màn hình nhập mật khẩu, vì vậy không nên quá tiết lộ. Tùy thuộc vào dịch vụ, gợi ý của bạn có thể chỉ xuất hiện sau khi bạn nhập sai mật khẩu nhiều lần, hoặc hiển thị khi nhấp vào một nút.
Màn hình khóa macOS hiển thị bong bóng gợi ý mật khẩu (password hint) khi người dùng nhập sai, minh họa tính năng gợi ý mật khẩu.
Mặc dù gợi ý mật khẩu không còn phổ biến như trước đây, một số dịch vụ trực tuyến vẫn sử dụng chúng. macOS cung cấp tùy chọn gợi ý mật khẩu, tương tự như Windows 11 (mặc dù chỉ khi bạn sử dụng tài khoản cục bộ).
Câu hỏi bảo mật (Security questions), trong khi đó, là một lớp bảo mật được sử dụng như một hình thức xác thực hai bước, hoặc để xác minh danh tính của bạn khi bạn bị khóa tài khoản. Khi đăng nhập trên một trình duyệt lạ hoặc khôi phục tài khoản, bạn có thể cần xác nhận câu trả lời cho một hoặc nhiều câu hỏi.
Giao diện câu hỏi bảo mật của American Airlines, minh họa các loại câu hỏi bảo mật thường gặp trên các dịch vụ trực tuyến.
Mặc dù bản năng đầu tiên của bạn với cả hai tùy chọn này có thể là trả lời thành thật, nhưng đó không phải là một ý tưởng hay từ góc độ bảo mật. Có những cách tốt hơn để sử dụng các trường này, cho dù bạn bị buộc phải sử dụng chúng hay muốn chủ động tăng cường an toàn.
Biến Câu Hỏi Bảo Mật Thành Mật Khẩu Khó Đoán
Các vấn đề với câu hỏi bảo mật đã được ghi nhận rõ ràng. Bởi vì những câu hỏi này thường hỏi về thông tin có sẵn công khai, quá dễ dàng để bất kỳ ai có ý định xấu có được câu trả lời.
Tên thời con gái của mẹ bạn, màu sắc yêu thích, tên đường phố bạn lớn lên, và những mẩu thông tin tương tự đều có thể bị truy cập dễ dàng thông qua việc tìm kiếm trên mạng xã hội và hồ sơ công khai. Tệ hơn nữa, một số câu hỏi bảo mật có giới hạn về số lượng câu trả lời; ví dụ, chỉ có một số ít màu sắc yêu thích có thể là đáp án.
Vì vậy, cách tốt nhất để sử dụng câu hỏi bảo mật là đưa ra câu trả lời giả. Nhưng bạn không nên đưa ra câu trả lời sai mà vẫn phù hợp với câu hỏi và do đó dễ đoán. Thay vào đó, bạn nên coi mỗi câu hỏi bảo mật như một trường mật khẩu khác và chọn một cụm mật khẩu ngẫu nhiên, gần như không thể đoán được.
Ví dụ, thay vì nói dối rằng tên thời con gái của mẹ bạn là “Griswold”, câu trả lời của bạn cho câu hỏi đó có thể là “Những Con Cá Hề Cười Thỏa Mãn”. Điều này không liên quan đến câu hỏi và cực kỳ khó đoán, nhưng không khó để nhớ – một trong những lợi thế chính mà cụm mật khẩu có so với mật khẩu.
Một số công ty sẽ yêu cầu bạn trả lời câu hỏi bảo mật để xác minh khi bạn gọi điện. Tránh sử dụng các ký hiệu và cụm từ bạn không thể phát âm dễ dàng để tránh tình huống khó xử trên điện thoại.
Bảo Vệ An Toàn Câu Trả Lời Câu Hỏi Bảo Mật
Lý tưởng nhất là bạn nên lưu trữ các câu trả lời tự tạo này trong một trình quản lý mật khẩu để không phải ghi nhớ chúng. Sử dụng trình quản lý mật khẩu là điều cần thiết cho an ninh trực tuyến của bạn theo nhiều cách, bao gồm cả việc này. Nếu bạn chưa bảo mật mật khẩu của mình bằng trình quản lý mật khẩu, đó là bước tốt nhất bạn có thể thực hiện.
Tùy thuộc vào trình quản lý mật khẩu của bạn, có thể có một tùy chọn cụ thể cho câu hỏi bảo mật. Nếu không, hãy sử dụng trường Ghi chú (Notes) cho trang web đó (tất cả các trình quản lý mật khẩu đều cung cấp tính năng này). Sau đó, khi bạn đăng nhập, bạn chỉ cần sao chép và dán cụm mật khẩu của mình.
Trình tạo câu trả lời câu hỏi bảo mật của 1Password, giúp người dùng tạo và lưu trữ các cụm mật khẩu ngẫu nhiên an toàn cho câu hỏi bảo mật.
Hãy đảm bảo bạn ghi chú rõ ràng câu trả lời nào đi với câu hỏi nào, vì các câu trả lời câu hỏi bảo mật mạnh sẽ không có bất kỳ ngữ cảnh nào!
Làm Cho Gợi Ý Mật Khẩu Chỉ Có Ý Nghĩa Với Riêng Bạn
Gợi ý mật khẩu không nên giúp bất kỳ ai đoán ra mật khẩu của bạn. Cách dễ nhất để đạt được điều này là sử dụng trình quản lý mật khẩu cho mọi thứ và đặt gợi ý của bạn là “trình quản lý mật khẩu”.
Bằng cách ghi nhớ một mật khẩu chính mạnh cho trình quản lý mật khẩu của bạn, bạn không phải lo lắng về gợi ý cho các mật khẩu khác. Đừng nêu tên trình quản lý mật khẩu bạn sử dụng, vì điều đó làm giảm số lượng ứng dụng mà kẻ tấn công tiềm năng sẽ cố gắng phá với địa chỉ email của bạn.
Nếu vì lý do nào đó bạn không sử dụng trình quản lý mật khẩu, gợi ý mật khẩu sẽ khó sử dụng an toàn hơn. Nói chung, nếu mật khẩu của bạn đủ đơn giản để bạn có thể mô tả nó bằng một gợi ý (chẳng hạn như “trường học thời thơ ấu cộng tên chó”), thì nó quá yếu.
Một thiết lập tốt hơn là sử dụng một mẫu cụm mật khẩu có ý nghĩa không rõ ràng. Bạn có thể chọn mỗi từ thứ hai của một bài hát, năm từ giữa của một câu trích dẫn, hoặc tương tự – càng khó hiểu càng tốt. Sau đó, gợi ý mật khẩu của bạn có thể là “câu trích dẫn hay nhất” để khơi gợi trí nhớ của bạn mà không tiết lộ mật khẩu.
Công cụ tạo cụm mật khẩu (passphrase generator) của 1Password, minh họa cách tạo mật khẩu dài, ngẫu nhiên và dễ nhớ để tăng cường bảo mật.
Đối với những mật khẩu quan trọng nhất, như mật khẩu chính của trình quản lý mật khẩu, bạn có thể cân nhắc sao lưu vật lý. Khi đó, gợi ý có thể cung cấp manh mối về nơi an toàn của nó tại nhà (ví dụ: “ở giữa cuốn sách cuối cùng bạn đã đọc”).
Nên Hay Không Nên Sử Dụng Các Tùy Chọn Này?
Lời khuyên trên rất hữu ích cho các tài khoản buộc bạn phải sử dụng câu hỏi bảo mật hoặc gợi ý mật khẩu. Nhưng khi có thể, bạn nên chọn bỏ qua các tùy chọn này hoặc tắt chúng đi. Mọi phương pháp xác thực hai yếu tố khác đều vượt trội hơn câu hỏi bảo mật; bạn nên sử dụng ứng dụng xác thực tốt hơn nhiều.
Việc kiểm tra lại các tài khoản của bạn để tắt câu hỏi bảo mật nếu có thể, hoặc điều chỉnh câu trả lời của bạn để làm cho chúng mạnh hơn là rất đáng làm. Điều này đặc biệt đúng đối với các tài khoản bạn đã sử dụng trong một thời gian dài, vì chúng có nhiều khả năng được thiết lập mặc định sử dụng câu hỏi bảo mật.
Một trường hợp đặc biệt khó chịu là câu hỏi bảo mật nơi bạn bị giới hạn trong một menu thả xuống (United Airlines là một ví dụ điển hình). Khi bạn bị mắc kẹt với những trường hợp này, bạn vẫn không nên trả lời thành thật. Hơn nữa, bạn nên chọn những câu hỏi mà chỉ mình bạn mới biết câu trả lời, thay vì những câu hỏi mà ai đó có thể trả lời bằng thông tin công khai.
Lấy ví dụ về các câu hỏi bảo mật của United: động vật biển yêu thích của bạn là một câu hỏi tốt hơn tháng sinh nhật của người bạn thân nhất của bạn, ngay cả khi bạn đang tạo ra một câu trả lời. Chỉ có 12 tháng, trong khi có nhiều loại sinh vật biển hơn – cộng thêm bạn ít có khả năng đã chia sẻ thông tin về loài vật yêu thích trực tiếp hoặc trực tuyến.
Mọi thứ liên quan đến mật khẩu đều mạnh hơn khi nó ngẫu nhiên. Điều đó mở rộng cho cả câu hỏi bảo mật và gợi ý mật khẩu. Khi bạn bị buộc phải sử dụng chúng, hãy tạo một câu trả lời ngẫu nhiên mà bạn lưu trữ trong trình quản lý mật khẩu để giữ an toàn. Và khi bạn có lựa chọn, hãy tắt chúng và sử dụng phương pháp 2FA mạnh hơn.
Hãy chia sẻ ý kiến của bạn về cách bạn bảo vệ tài khoản của mình dưới phần bình luận!
