Khi các yêu cầu về câu hỏi bảo mật và gợi ý mật khẩu xuất hiện cho các tài khoản trực tuyến, nhiều người thường có xu hướng điền thông tin một cách chân thật. Tuy nhiên, để bảo vệ tài khoản một cách tốt nhất, bạn không nên trung thực trong các trường này. Việc đưa ra những câu trả lời “không đúng sự thật” nhưng được kiểm soát chặt chẽ có thể là một chiến lược hiệu quả, giúp nâng cao đáng kể khả năng bảo mật thông tin cá nhân của bạn khỏi những kẻ tấn công tiềm năng.
Hiểu Rõ Về Gợi Ý Mật Khẩu (Password Hints) và Câu Hỏi Bảo Mật (Security Questions)
Mặc dù hai tính năng bảo mật tài khoản này nghe có vẻ tương tự, nhưng chúng thực chất không giống nhau. Việc phân biệt rõ ràng sẽ giúp bạn tối ưu hóa cách sử dụng chúng để đảm bảo an toàn tối đa.
Gợi ý mật khẩu, đúng như tên gọi, là một mẹo nhỏ giúp bạn nhớ lại mật khẩu đã quên. Những gợi ý này có thể hiển thị cho bất kỳ ai truy cập vào màn hình nhập mật khẩu, do đó chúng không nên quá dễ đoán hay tiết lộ thông tin nhạy cảm. Tùy thuộc vào dịch vụ, gợi ý của bạn có thể chỉ xuất hiện sau khi bạn nhập sai mật khẩu nhiều lần, hoặc trở nên hiển thị khi nhấp vào một nút nào đó.
Gợi ý mật khẩu xuất hiện trong bong bóng thoại trên màn hình khóa macOS, minh họa tính năng hỗ trợ người dùng nhớ mật khẩu.
Mặc dù gợi ý mật khẩu không còn phổ biến như trước đây, một số dịch vụ trực tuyến vẫn sử dụng chúng. Đơn cử, macOS vẫn bao gồm tùy chọn gợi ý mật khẩu, tương tự như Windows 11 (mặc dù chỉ khi bạn sử dụng tài khoản cục bộ).
Trong khi đó, câu hỏi bảo mật là một lớp bảo mật bổ sung, thường được dùng như một hình thức xác thực hai bước, hoặc để xác minh danh tính của bạn khi bạn bị khóa tài khoản. Khi đăng nhập trên một trình duyệt không quen thuộc hoặc khôi phục tài khoản, bạn có thể cần xác nhận câu trả lời cho một hoặc một vài câu hỏi bảo mật.
Màn hình yêu cầu trả lời câu hỏi bảo mật của American Airlines, hiển thị các tùy chọn câu hỏi để xác minh danh tính người dùng.
Dù bản năng đầu tiên của bạn đối với cả hai tùy chọn này có thể là trả lời một cách trung thực, nhưng từ góc độ bảo mật, đó không phải là một ý hay. Có nhiều cách tốt hơn để sử dụng các trường này, cho dù bạn bị buộc phải sử dụng hay muốn tận dụng chúng.
Sử Dụng Cụm Mật Khẩu Ngẫu Nhiên cho Câu Hỏi Bảo Mật
Những vấn đề liên quan đến câu hỏi bảo mật đã được ghi nhận rộng rãi. Bởi vì các câu hỏi này thường hỏi về thông tin có thể truy cập công khai, việc những kẻ có ý đồ xấu nắm được câu trả lời là quá dễ dàng.
Tên thời con gái của mẹ bạn, màu sắc yêu thích, con phố bạn lớn lên, và những thông tin tương tự có thể dễ dàng bị truy cập thông qua việc tìm kiếm trên mạng xã hội và các hồ sơ công khai. Tệ hơn nữa, một số câu hỏi bảo mật có lượng câu trả lời giới hạn; ví dụ, chỉ có một số lượng màu sắc yêu thích nhất định.
Do đó, cách tốt nhất để sử dụng câu hỏi bảo mật là đưa ra câu trả lời giả. Nhưng bạn không nên đưa ra một câu trả lời sai mà vẫn phù hợp với câu hỏi và dễ đoán. Thay vào đó, bạn nên coi mỗi câu hỏi bảo mật như một trường mật khẩu khác và chọn một cụm mật khẩu ngẫu nhiên mà gần như không thể đoán được.
Ví dụ, thay vì nói dối rằng tên thời con gái của mẹ bạn là “Griswold”, câu trả lời của bạn cho câu hỏi đó có thể là “Gratifying Lambasted Narwhals”. Câu trả lời này không liên quan đến câu hỏi và cực kỳ khó đoán, nhưng lại không khó nhớ—đây là một trong những lợi thế chính mà cụm mật khẩu mang lại so với mật khẩu thông thường.
Một số công ty sẽ yêu cầu bạn trả lời câu hỏi bảo mật để xác minh khi bạn gọi điện. Tránh sử dụng các ký hiệu và cụm từ mà bạn không thể dễ dàng phát âm để tránh tình huống khó xử khi trao đổi qua điện thoại.
Giữ An Toàn cho Câu Trả Lời Câu Hỏi Bảo Mật của Bạn
Lý tưởng nhất, bạn nên lưu trữ các câu trả lời giả này trong một trình quản lý mật khẩu để không phải ghi nhớ chúng. Sử dụng trình quản lý mật khẩu là điều cần thiết cho bảo mật trực tuyến của bạn theo nhiều cách, bao gồm cả việc này. Nếu bạn chưa thực hiện các bước để tăng cường bảo mật mật khẩu của mình bằng trình quản lý mật khẩu, thì đây là bước tốt nhất bạn có thể thực hiện.
Tùy thuộc vào trình quản lý mật khẩu của bạn, có thể có một tùy chọn cụ thể cho câu hỏi bảo mật. Nếu không, hãy sử dụng trường Ghi chú (Notes) cho trang web đó (tất cả các trình quản lý mật khẩu đều cung cấp tính năng này). Sau đó, khi đăng nhập, bạn chỉ cần sao chép và dán cụm mật khẩu của mình.
Giao diện tạo câu hỏi bảo mật ngẫu nhiên trong 1Password, giúp người dùng tạo câu trả lời phức tạp và bảo mật hơn.
Hãy đảm bảo rằng bạn ghi chú rõ câu trả lời nào tương ứng với câu hỏi nào, vì các câu trả lời câu hỏi bảo mật mạnh mẽ thường không có bất kỳ ngữ cảnh rõ ràng nào!
Tạo Gợi Ý Mật Khẩu Chỉ Có Ý Nghĩa Với Riêng Bạn
Gợi ý mật khẩu không nên giúp bất kỳ ai đoán được mật khẩu của bạn. Cách dễ nhất để đạt được điều này là sử dụng trình quản lý mật khẩu cho mọi thứ và đặt gợi ý của bạn là “trình quản lý mật khẩu”.
Bằng cách ghi nhớ một mật khẩu chính mạnh cho trình quản lý mật khẩu của bạn, bạn không cần phải lo lắng về gợi ý cho các mật khẩu khác. Đừng nêu tên trình quản lý mật khẩu bạn sử dụng, vì điều đó làm giảm số lượng ứng dụng mà kẻ tấn công tiềm năng sẽ cố gắng đột nhập bằng địa chỉ email của bạn.
Nếu vì lý do nào đó bạn không sử dụng trình quản lý mật khẩu, gợi ý mật khẩu sẽ khó sử dụng an toàn hơn. Nói chung, nếu mật khẩu của bạn đủ đơn giản để bạn có thể mô tả nó bằng một gợi ý (chẳng hạn như “trường học thời thơ ấu cộng tên chó”), thì mật khẩu đó quá yếu.
Một thiết lập tốt hơn là sử dụng một mẫu cụm mật khẩu có ý nghĩa không rõ ràng. Bạn có thể chọn mọi từ thứ hai của một bài hát, năm từ ở giữa của một câu trích dẫn, hoặc tương tự—càng khó hiểu càng tốt. Sau đó, gợi ý mật khẩu của bạn có thể là một thứ gì đó như “câu trích dẫn hay nhất” để khơi gợi trí nhớ của bạn mà không tiết lộ thông tin.
Công cụ tạo cụm mật khẩu (passphrase) trong 1Password, hiển thị cách tạo chuỗi từ ngẫu nhiên để tăng cường độ mạnh của mật khẩu.
Đối với những mật khẩu quan trọng nhất, như mật khẩu chính của trình quản lý mật khẩu, bạn có thể xem xét một bản sao lưu vật lý. Sau đó, gợi ý có thể cung cấp một manh mối về nơi an toàn của nó ở nhà (ví dụ: “ở giữa cuốn sách cuối cùng bạn đã đọc”).
Bạn Có Nên Sử Dụng Cả Hai Tùy Chọn Này Không?
Những lời khuyên trên hữu ích cho các tài khoản buộc bạn phải sử dụng câu hỏi bảo mật hoặc gợi ý mật khẩu. Nhưng khi có thể, bạn nên chọn bỏ qua các tùy chọn này hoặc tắt chúng đi. Mỗi phương pháp xác thực hai yếu tố (2FA) khác đều ưu việt hơn câu hỏi bảo mật; bạn nên sử dụng ứng dụng xác thực.
Bạn nên kiểm tra lại các tài khoản của mình để tắt câu hỏi bảo mật nếu có thể, hoặc điều chỉnh câu trả lời của bạn để làm cho chúng mạnh hơn. Điều này đặc biệt đúng đối với các tài khoản bạn đã sử dụng trong một thời gian dài, vì chúng có nhiều khả năng vẫn sử dụng câu hỏi bảo mật theo hệ thống cũ.
Một trường hợp đặc biệt khó chịu là các câu hỏi bảo mật mà bạn bị giới hạn trong một menu thả xuống (ví dụ điển hình là United Airlines). Khi gặp phải trường hợp này, bạn vẫn không nên trả lời một cách trung thực. Hơn nữa, bạn nên chọn những câu hỏi mà chỉ bạn mới biết câu trả lời, thay vì những câu hỏi mà ai đó có thể trả lời bằng thông tin công khai.
Lấy ví dụ từ các câu hỏi bảo mật của United: “động vật biển yêu thích của bạn” là một câu hỏi tốt hơn so với “tháng sinh nhật của người bạn thân nhất của bạn”, ngay cả khi bạn đang bịa ra một câu trả lời. Chỉ có 12 tháng, trong khi có nhiều loại sinh vật biển hơn—hơn nữa, bạn ít có khả năng đã chia sẻ thông tin về động vật biển yêu thích trực tiếp hoặc trực tuyến.
Mọi thứ liên quan đến mật khẩu đều trở nên mạnh mẽ hơn khi chúng ngẫu nhiên. Điều đó áp dụng cho cả câu hỏi bảo mật và gợi ý mật khẩu. Khi bạn buộc phải sử dụng chúng, hãy tạo một câu trả lời ngẫu nhiên mà bạn lưu trữ trong trình quản lý mật khẩu để giữ an toàn. Và khi bạn có lựa chọn, hãy tắt chúng đi và sử dụng phương pháp xác thực hai yếu tố mạnh mẽ hơn.
