Tạo mật khẩu để bảo vệ các tài khoản và dịch vụ trực tuyến là một chuyện, nhưng điều đó cũng không giúp ích gì nếu có người lấy được thiết bị của bạn, nhất là khi bạn đang để các tài khoản trực tuyến ở trạng thái đăng nhập. Vì vậy, nếu bạn quyết định chỉ bảo vệ bằng mật khẩu đối với một loại thiết bị nhất định, hãy bảo vệ các thiết bị di động, vì chúng dễ bị mất hoặc đánh cắp nhất. Tuy nhiên, tổ chức Consumer Reports cho hay 34% người Mỹ không bảo vệ các thiết bị di động của mình bằng bất kỳ biện pháp nào, như khóa màn hình bằng mã PIN đơn giản gồm 4 chữ số.
Năm 2014, một sĩ quan cảnh sát ở thành phố Martinez, California đã thú nhận hành vi ăn cắp các bức ảnh khỏa thân trên điện thoại di động của một người bị nghi là lái xe trong lúc say rượu – đây là sự vi phạm Tu chính án thứ tư trong Tuyên ngôn Nhân quyền của Hiến pháp. Cụ thể, Tu chính án thứ tư cấm các hành vi tìm kiếm và thu giữ không hợp lý khi không có lệnh của thẩm phán và không có lý do rõ ràng – chẳng hạn, các nhân viên thực thi pháp luật phải nêu rõ tại sao họ muốn lấy điện thoại của bạn.
Nếu bạn vẫn chưa bảo vệ thiết bị di động của mình bằng mật khẩu, hãy đặt sách xuống và làm ngay nhé. Tôi nói nghiêm túc đấy.
Có ba cách khóa điện thoại phổ biến – áp dụng với cả Android, iOS, hay bất kỳ loại nào khác. Thông dụng nhất là passcode – một dãy số được sắp xếp theo thứ tự nhất định mà bạn nhập vào để mở khóa điện thoại. Nhưng đừng chấp nhận lượng chữ số mà điện thoại đề xuất. Hãy vào mục cài đặt và tự đặt cấu hình mật khẩu để passcode được mạnh hơn – nếu thích, bạn có thể đặt bảy số (chẳng hạn, lấy một số điện thoại cũ đã lâu không dùng.) Đừng dùng passcode dưới bốn số.
Một số thiết bị di động cho phép bạn chọn passcode bằng chữ. Một lần nữa, hãy chọn ít nhất bảy ký tự. Các thiết bị di động hiện đại hiển thị cả khóa bằng chữ và số trên cùng một màn hình, giúp việc chuyển đổi qua lại giữa chúng trở nên dễ dàng hơn.
Một cách khóa khác là bằng hình ảnh. Từ năm 2008, điện thoại Android đã được trang bị các mẫu khóa gọi là ALP (Android Lock Pattern – ALP). Chín dấu chấm xuất hiện trên màn hình, và bạn kết nối chúng theo bất kỳ thứ tự nào tùy ý; chuỗi kết nối đó sẽ trở thành passcode của bạn. Có thể bạn cho rằng giải pháp này thật tài tình, và chỉ riêng số lượng các cách kết hợp khả dĩ ở đây cũng đã đủ để khiến chuỗi mà bạn chọn trở nên không thể phá vỡ nổi. Nhưng tại hội thảo PasswordsCon[16] năm 2015, theo thông tin từ các nhà nghiên cứu, trong một cuộc khảo sát, những người tham gia cho biết họ chỉ sử dụng một số rất ít trong số 140.704 mẫu có trong ALP – quả đúng là bản chất khó bỏ của con người. Và những mẫu dễ đoán đó là gì vậy? Thường là chữ cái đầu tiên của tên người dùng. Nghiên cứu này cũng phát hiện ra rằng mọi người có xu hướng sử dụng các chấm ở giữa và ít sử dụng các dấu chấm ở bốn góc xa. Lần tới khi bạn đặt ALP, hãy để ý đến điều này nhé.
[16] Hội nghị PasswordsCon: Hội nghị chuyên về mật khẩu, mã PIN, và xác thực số, ra mắt lần đầu tại Bergen, Na-uy năm 2010 và được tổ chức thường niên.
Cuối cùng là khóa sinh trắc học. Apple, Samsung, và các nhà sản xuất lớn khác hiện cho phép khách hàng sử dụng ứng dụng quét vân tay để mở khóa điện thoại. Nhưng xin lưu ý, những ứng dụng này cũng không phải là không thể phá vỡ. Sau khi Touch ID ra mắt, các nhà nghiên cứu – có lẽ đang kỳ vọng rằng Apple sẽ có nhiều cải thiện so với các ứng dụng quét vân tay đang có mặt trên thị trường – ngạc nhiên khi thấy rằng vẫn có thể áp dụng một số phương pháp tấn công ứng dụng quét vân tay cũ trên iPhone, chẳng hạn như dùng phấn rôm trẻ em và băng dính trong để lấy dấu vân tay.
Các điện thoại khác sử dụng camera tích hợp để nhận diện khuôn mặt của chủ sở hữu. Nhưng cách làm này cũng có thể bị phá giải bằng cách đặt một bức ảnh có độ phân giải cao của chủ sở hữu trước màn hình camera.
Nhìn chung, bản thân các phương pháp sinh trắc học cũng dễ bị tấn công. Lý tưởng nhất, nên sử dụng sinh trắc học làm một yếu tố xác thực. Vuốt ngón tay hoặc cười trước camera, sau đó nhập mã PIN hoặc passcode. Điều đó sẽ giữ an toàn cho thiết bị di động của bạn.
Điều gì sẽ xảy ra nếu bạn tạo được một mật khẩu mạnh nhưng không viết ra để ghi nhớ? Đặt lại mật khẩu sẽ là một tính năng hữu ích khi bạn không thể truy cập vào một tài khoản không sử dụng thường xuyên. Nhưng đó cũng có thể là một miếng mồi dễ ăn cho những kẻ tấn công. Sử dụng manh mối mà chúng ta rải khắp Internet, như thông tin hồ sơ cá nhân trên mạng xã hội, hacker có thể truy cập vào email cũng như các dịch vụ khác của chúng ta chỉ bằng cách đặt lại mật khẩu.
Trong một cuộc tấn công đã được báo chí đưa tin, hacker lấy bốn chữ số cuối cùng trong số thẻ tín dụng của mục tiêu, sau đó dùng chúng làm bằng chứng nhận dạng khi gọi điện cho một nhà cung cấp dịch vụ và yêu cầu thay đổi địa chỉ email. Bằng cách đó, kẻ tấn công có thể tự ý đặt lại mật khẩu mà chủ sở hữu hợp pháp không biết.
Quay trở lại năm 2008, David Kernell, một sinh viên tại Đại học Tennessee, đã thử tìm cách truy cập tài khoản email Yahoo cá nhân của ứng cử viên phó tổng thống Mỹ khi đó là Sarah Palin. Kernell có thể sử dụng cách đoán mật khẩu, nhưng quyền truy cập tài khoản sẽ bị khóa sau vài lần thử không thành công. Thay vào đó, sinh viên này sử dụng chức năng đặt lại mật khẩu mà theo nhận định sau này của anh là “dễ dàng.”
Tôi chắc rằng chúng ta ai cũng từng nhận được email lạ từ bạn bè và đồng nghiệp, trong đó chứa đường dẫn liên kết tới các website khiêu dâm ở nước ngoài, và về sau mới biết được rằng tài khoản email của họ đã bị chiếm đoạt. Email bị chiếm đoạt thường là do mật khẩu bảo vệ tài khoản không mạnh. Hoặc có người đã biết được mật khẩu – thông qua một cuộc xâm phạm dữ liệu – hoặc kẻ tấn công sử dụng chức năng đặt lại mật khẩu.
Khi thiết lập tài khoản lần đầu tiên, chẳng hạn tài khoản email hay tài khoản ngân hàng, có thể bạn sẽ được hỏi những thông tin gọi là câu hỏi bảo mật, thường là ba câu. Hầu hết sẽ có trình đơn (menu) liệt kê các câu hỏi gợi ý để bạn chọn. Các câu hỏi này thường rất rõ ràng.
Bạn sinh ra ở đâu? Bạn học cấp ba ở đâu? Hay đại học? Và tên thời con gái của mẹ bạn – câu này đã được dùng làm câu hỏi bảo mật từ ít nhất là năm 1882. Như tôi sẽ trình bày dưới đây, các công ty có thể và trên thực tế có thực hiện việc quét Internet để thu thập thông tin cá nhân, khiến việc trả lời những câu hỏi bảo mật cơ bản này trở nên hết sức đơn giản. Một người có thể dành ra vài phút trên Internet là đã có thể trả lời tất cả các câu hỏi bảo mật của một cá nhân.
Mãi đến gần đây, các câu hỏi bảo mật này mới được cải thiện phần nào. Ví dụ, “Anh rể của bạn sinh ra ở bang nào?” là một câu hỏi tương đối rõ ràng, song việc trả lời chính xác những câu hỏi “tốt” này cũng có những rủi ro riêng (tôi sẽ nói kỹ hơn ở ngay sau đây). Nhưng nhiều câu được gọi là câu hỏi bảo mật vẫn còn quá dễ dàng, chẳng hạn như, “Quê của bố bạn ở đâu?”
Nhìn chung, khi đặt câu hỏi bảo mật, hãy tránh sử dụng các gợi ý rõ ràng có sẵn trong trình đơn. Ngay cả khi website chỉ bao gồm các câu hỏi bảo mật cơ bản, hãy sáng tạo. Không ai bắt bạn phải trả lời đúng câu hỏi cả. Bạn có thể tha hồ phát huy sự láu lỉnh của mình. Ví dụ, với câu hỏi, “Màu sắc ưa thích của bạn là gì?” bạn có thể trả lời là kẹo trái cây. Ai mà đoán được chứ. Nội dung mà bạn đưa ra làm câu trả lời sẽ trở thành câu trả lời “chính xác” cho câu hỏi bảo mật đó.
Khi cung cấp các câu trả lời sáng tạo, hãy nhớ ghi lại cả câu hỏi và câu trả lời rồi cất chúng ở một nơi an toàn (hoặc lưu trong phần mềm quản lý mật khẩu). Sau này, biết đâu có lúc bạn lại cần đến dịch vụ hỗ trợ kỹ thuật, và họ hỏi bạn những câu hỏi bảo mật. Hãy ghi vào một cuốn sổ tay hoặc một tờ giấy rồi cất trong ví (hoặc học thuộc lòng và sử dụng nhất quán một bộ câu trả lời) để giúp bạn nhớ rằng, ví dụ, với câu “Bạn sinh ra ở đâu?” thì câu trả lời là “Trong bệnh viện.” Sự mập mờ đơn giản này phần nào có thể ngăn chặn trường hợp một ai đó tìm hiểu về bạn trên Internet và thử một câu trả lời hợp lý hơn, chẳng hạn, “Columbus, Ohio.”
Việc trả lời trung thực các câu hỏi bảo mật còn mang lại những rủi ro khác về sự riêng tư: Bạn cung cấp nhiều thông tin cá nhân hơn so với những gì đã có trên mạng. Ví dụ, câu trả lời trung thực cho câu hỏi “Anh rể của bạn sinh ra ở bang nào?” có thể sẽ bị website mà bạn cung cấp câu trả lời này bán lại cho một bên thứ ba, và có thể được dùng kết hợp với các thông tin khác hay để điền thông tin còn thiếu. Ví dụ, từ câu trả lời về người anh rể, một người có thể suy luận ra rằng bạn đã hoặc đang có gia đình, và rằng vợ/chồng (hoặc vợ/chồng cũ) của bạn có anh em trai, hoặc kết hôn với một người đàn ông sinh ra ở tiểu bang mà bạn cung cấp. Đó là một lượng lớn thông tin bổ sung rút ra từ một câu trả lời đơn giản. Ngược lại, nếu bạn không có anh rể, cứ mạnh dạn trả lời câu hỏi này một cách sáng tạo, ví dụ viết “Puerto Rico.” Điều đó sẽ khiến cho những kẻ muốn tìm hiểu về bạn phải bối rối. Càng cung cấp nhiều thông tin đánh lạc hướng, bạn càng trở nên vô hình trên mạng.
