Please log in or register to do it.

(Bài viết này được gửi riêng qua email cho các bạn subscribers trên blog Nguyễn Ngọc Long, và hôm nay đăng tải công khai trên blog).

Cứ thi thoảng, tôi lại nhận được một cú điện thoại từ bạn bè “cầu cứu” vì tài khoản facebook bị xâm nhập, mất password; email bị chiếm, thậm chí cả tài khoản ngân hàng cũng bị kẻ gian truy cập… Mỗi người có một mức độ lo lắng khác nhau, nhưng câu hỏi khi ấy thì giống nhau đến lạ, đó là “làm sao để lấy lại password bây giờ?”.

Thắc mắc của họ khiến tôi thấy thật… buồn!

Tại sao mọi người có thể “dễ dàng” để mất account như vậy? Và tại sao họ không hỏi tôi rằng “làm sao để lần sau đừng bị mất account “chớt quớt” như vậy nữa thay vì cầu cứu nhờ tôi tìm lại account đã mất (một việc không hề đơn giản). Tôi rất muốn “phổ cập” kiến thức bảo mật căn bản cho họ, nhưng chả ai muốn học. Rồi hậu quả là hết người này đến người kia bị hacker lần lượt viếng thăm. Để có thể nâng cao mức độ an toàn khi duyệt web, chỉ cần “hiểu từ gốc rễ” nguyên lý mà hacker sử dụng để “đánh chiếm” account.

Cách đặt mật khẩu cho máy tính của bạn có qua mặt được hacker?

Có 4 cách để hacker ăn cắp tài khoản bất chấp cách đặt mật khẩu cho máy tính của bạn có "an toàn" đến đâu chăng nữa!
Có 4 cách để hacker ăn cắp tài khoản bất chấp cách đặt mật khẩu cho máy tính của bạn có “an toàn” đến đâu chăng nữa!

Cách thứ nhất, cực kỳ đơn giản nhưng vô cùng hữu hiệu, đó là… đoán mật khẩu. Nghe có vẻ như tôi đang nói đùa, nhưng thực tế là như vậy. Kỹ thuật đoán password là kỹ thuật căn bản nhất mà các bạn hacker cần nắm chắc. Hãy nghĩ xem, password của bạn có thuộc vào một trong những dạng thức như sau không nhé: 111111, 123456, 888888, 000000, 999999, abcdef, abcd1234… Nếu đúng, tốt nhất bạn chẳng cần đặt password làm gì, vì đó là những password có cũng… như không. Hoàn toàn vô giá trị!

Giả như bạn tên Nguyễn Ngọc Long, sinh ngày 04/11/1983, quê quán ở Hải Phòng, sở hữu chiếc xe 54H2 4849, số điện thoại là 0903165646 thì tất cả những password dạng sau đều coi là dễ đoán: ngoclong, ngoclongnguyen, nguyenngoclong, 041183, haiphong, 54h24849, 0903165646… Thậm chí, ngay cả một password “có vẻ” rắc rối như là longhaiphong1183 vẫn được coi là “dễ đoán” vì hacker có những phần mềm chuyên dụng có thể tạo ra hàng trăm hàng ngàn tổ hợp password kết hợp từ những dữ kiện liên quan đến bạn.

Cách thứ hai cũng rất đơn giản và kinh điển, đó là ăn cắp… mật khẩu công khai! Nắm bắt tâm lý lười ghi nhớ các password khác nhau, hacker dễ dàng đoán được bạn có thể sử dụng chung một password cho nhiều dịch vụ (nhiều website). Vậy nên, để “ăn cắp” tài khoản Gmail hay Facebook, hacker chỉ việc lập ra một trang web tải phần mềm, tải phim hoặc một forum sinh hoạt cộng đồng “đánh trúng” vào sở thích hay thói quen của bạn và “dụ dỗ” bạn vào đăng ký thành viên. Khi này, ở vài trò chủ sở hữu website hay forum đã nói, hacker dễ dàng lấy được password của bạn và nhiều khả năng password đó cũng trùng khớp với tài khoản Gmail, Facebook.

Cách thứ ba hiệu quả trong đại đa số trường hợp nếu “nạn nhân” là một người sử dụng internet thông thường. Đã bao giờ bạn nhận được một tin nhắn kèm theo đường link trong Facebook, bạn click chuột vào và bị facebook bắt đăng nhập lại? Nếu có, nhiều khả năng đó là một hình thức “fake login”. Tức là hacker tạo ra một trang đăng nhập có giao diện “giống hệt” như Facebook, nhưng thực ra là trang giả mạo. Nhờ vậy, tất cả mật khẩu bạn nhập vô trang đăng nhập sẽ được hacker ghi nhận lại và chiếm giữ.

Cách thứ tư là dùng các phần mềm theo dõi hoạt động của con chuột và bàn phím. Những phần mềm độc hại này được gọi là key-logger. Nếu máy bạn có cài đặt các trình duyệt virus thông dụng như Avast, KIS, NIS, Panda, Avira, BitDefender, AVG… thậm chí là BKAV cũng được, thì khả năng cao là các phần mềm key-logger sẽ bị “tóm cổ” tức thời. Nhưng sẽ ra sao nếu “bạn trai” bạn tự cài đặt phần mềm dạng này vô máy, yêu cầu các trình duyệt virus cho phép key-logger hoạt động và đưa laptop cho bạn xài chung? Chắc chắn mật khẩu của bạn đã bị ghi lại và không còn an toàn như bạn nghĩ.

Ngoài 4 cách thông dụng nhất như đã nói, còn nhiều cách khác phức tạp hơn như là sử dụng phần mềm gián điệp để mở cổng hậu (backdoor), tấn công thẳng vào cơ sở dữ liệu của máy chủ hay sử dụng camera quay trộm (phần lớn mật khẩu ATM bị ăn cắp kiểu này) thì chúng ta không bàn tới trong nội dung bài viết vì nó quá… cao siêu.

Nguyên tắc đặt mật khẩu an toàn

Như vậy, khi đã hiểu nguyên lý của việc password bị tấn công, chúng ta rút ra rằng, để tăng cường bảo mật, chúng ta nên thực hiện những việc sau đây:

1- Không sử dụng password là những con số, cụm từ dễ đoán hoặc quá ngắn

2- Không dùng chung password cho các dịch vụ quan trọng khác nhau

3- Kiểm tra kỹ địa chỉ website trước khi nhập password

4- Hạn chế nhập mật khẩu bằng… bàn phím! (tránh key-logger gián điệp)

Ý số 4, bạn có thể khắc phục việc nhập liệu bàn phím bằng cách sử dụng phần mềm bàn phím… ảo! Windows có tích hợp sẵn phần mềm như vậy tên là “Onscreen keyboard” và sử dụng phần mềm này để nhập password mà không cần “gõ phím”. Đó là một cách để “qua mặt” các chương trình key-logger gián điệp.

[youtube http://www.youtube.com/watch?v=DxG_joB1a6Y]

Để kiểm tra kỹ địa chỉ website (lưu ý số 2) thì các bạn hoàn toàn có thể sử dụng… mắt thường. Nhưng nên nhớ, việc này nhiều khi rất khó thực hiện vì những địa chỉ website facebo0k.com (với số “không” giả dạng chữ o), hoặc nokja (chữ j giả dạng chữ i), nok1a (số một giả dạng chữ i), goog1e.com (số một giả dạng chữ l), hay facebook.com.abc.com (thực ra là trang web abc.com thay vì facebook)… đều có thể khiến bạn hoa mày chóng mặt và vô tình nhầm lẫn.

Chịu khó đặt ra các mật khẩu thật dài (tối thiểu 20 ký tự), bao gồm cả chữ hoa, chữ thường, chữ số và các ký tự đặc biệt nhưng không ghép lại thành những cụm từ có nghĩa, như thế này chẳng hạn GH55dfh^*&gh0-@#22;./”{dfDF được coi là một ký tự mạnh. Sau đó, bạn hãy cố nhớ để đặt cho mỗi trang web một mật khẩu riêng.

Thí dụ:

  • Password cho tài khoản ở Google: FD0xZoK^DZe%*6Y8Ovz81iuXg
  • Password cho tài khoản ở Facebook: &l3e33s8yt*$9hmlIr%MMsM0Q

  • Password cho tài khoản ở Yahoo: @w1sR#PBt^0MeSr!oWadmXvVK

  • Password cho tài khoản ở Instagram: Q*bF@X6T6#RkmTHhivRvpcY79

  • Password cho tài khoản ở chodientu: cdb1&ZsC^Mhy$n$&R4CXkHdg1

  • Password cho tài khoản ở vatgia: *I@#&ARXoZv8iXv7$C#gY^Ad2

  • Password cho tài khoản ở webtretho: MQ50!n^U5HLnceGjGh5qXRZD*

Vấn đề cuối cùng, là tìm cách ghi nhớ tất cả các mật khẩu này (nhưng đừng ghi ra giấy hoặc note vào một nơi nào mà bạn thấy không an toàn nhé). Đừng lo, trong trường hợp bạn thấy quá khó khăn để làm việc đó, hãy nhờ phần mềm làm giúp.

LASTPASS – PHẦN MỀM QUẢN LÝ MẬT KHẨU SỐ 1

Phần mềm này được ra đời để giúp bạn giải quyết tất cả các vấn đề mà tôi đã liệt kê ở  phân tích phía trên. Lastpass giúp bạn tự động tạo ra những mật khẩu rất “gợi đòn” (dài, hiểm, phức tạp và không thể đoán được); ghi nhớ tất cả mật khẩu này vào một cơ sở dữ liệu hợp nhất được mã hoá và bảo vệ bằng mật khẩu chính (là “mật khẩu cuối cùng” – last password) mà bạn cần phải nhớ.

Điểm cộng rất lớn tạo ra sức mạnh “thần kỳ” cho lastpass là việc nó có thể tích hợp với các trình duyệt thông dụng nhất như Internet Exporer, Chrome, Firefox, Safary… để tự động điền thông tin đăng nhập cho bạn khi phát hiện ra một địa chỉ website trùng khớp và hợp lệ. Việc này ngăn chặn hoàn toàn các trang web giả mạo (lưu ý số 3 ở phía trên) và cũng chặn luôn cả nguy cơ lọt mật khẩu vào tay các chương trình key-logger khi bạn tự nhập password bằng bàn phím.

Sau khi cài đặt, Lastpass tích hợp vào trình duyệt web, và cho phép bạn tự động chọn một account bất kì để tự động đăng nhập mà không cần nhập lại username/password
Sau khi cài đặt, Lastpass tích hợp vào trình duyệt web, và cho phép bạn tự động chọn một account bất kì để tự động đăng nhập mà không cần nhập lại username/password

Tóm lại, Lastpass giải quyết tuyệt vời cả 4 nguyên nhân “gốc rễ” khiến bạn có thể bị mất password vào tay kẻ xấu. Không chỉ giúp ghi nhớ password, Lastpass còn có thể ghi nhớ hầu như mọi thông tin mà bạn có thể nhập vào các biểu mẫu trên Internet. Và sau đó tự đồng điền lại nhanh chóng chỉ với 1 click chuột.

Nhờ vậy, bạn có thể nhanh chóng lập ra hàng tá account Yahoo/Facebook/Gmail mà không phải điền đi điền lại các thông tin. Nhập thông tin 1 lần, ghi nhớ lại và lần tiếp theo chỉ cần thay đổi username/password là xong.

Phần mềm quản lý mật khẩu Lastpass còn giúp bạn mua máy bay giá rẻ thật dễ dàng và tiện lợi
Phần mềm quản lý mật khẩu Lastpass còn giúp bạn mua máy bay giá rẻ thật dễ dàng và tiện lợi

Không chỉ có khả năng ghi nhớ thông tin ở các ô text nhập liệu, Lastpass còn ghi nhớ cả các lựa chọn trong mọi trường biểu mẫu như ô xổ xuống ở mục ngày tháng năm sinh, hay giới tính. Và tôi cũng tiết lộ cho các bạn biết, tôi thường xuyên săn vé giá rẻ 1000đ của Jetstar hay VietjetAir với sự trợ giúp của Lastpass.

Nhờ có Lastpass, tôi có thể nhanh chóng “điền thông tin” để đặt vé chỉ với vài click chuột. Trong khi người khác mất tới 10-15 phút để hoàn thành, tôi chỉ mất có chưa tới 3 phút, và thế là lần nào có khuyến mãi, tôi cùng lấy được vé thật dễ dàng. Thú vị hơn nữa, phần mềm tiện dụng này HOÀN TOÀN MIỄN PHÍ khi bạn sử dụng trên máy tính để bàn hay laptop. Chỉ cần truy cập vào địa chỉ https://lastpass.com để tải về bộ cài đặt hoặc phần mở rộng (add-on) cho trình duyệt mà bạn đang sử dụng.

Việc sử dụng Lastpass thì quá đơn giản nên tôi cho rằng các bạn có thể tự mày mò làm thử. Nhưng nếu có ý định sử dụng Lastpass trên điện thoại iPhone hay Android thì rất tiếc là bạn phải trả tiền. Dù giá thuê bao chỉ có 1$/tháng (12$/năm) nhưng cũng làm nhiều người có chút đắn đo.

[youtube http://www.youtube.com/watch?v=RM0fzHxMASQ]

Tôi đã sử dụng được Lastpass 2 hay 3 năm gì đó và bị thuyết phục hoàn toàn bởi sự tiện dụng, sự an toàn và việc tiết kiệm thời gian (là vàng bạc) mà phần mềm này mang lại. Tôi cũng đã liên tục đóng tiền cho Lastpass trong từng đó thời gian, và đó là những khoản tiền tôi thấy hài lòng nhất với giá trị tôi thu lại được. Có nhiều khi tôi nghĩ, thậm chí họ có thu gấp đôi gấp ba số tiền đấy, tôi vẫn sẵn sàng!

MÃ COUPON MIỄN PHÍ TRÌNH QUẢN LÝ MẬT KHẨU LASTPASS MỘT NĂM

Và cuối cùng, món quà tôi dành tặng cho các bạn, những subscribers yêu quý, đó là thông tin Lastpass đang cùng với đối tác của họ là Appsumo thực hiện chương trình khuyến mại MIỄN PHÍ HOÀN TOÀN thời hạn 1 năm thuê bao cho cả những khách hàng mới và khách hàng cũ đang dùng Lastpass (tương đương với 12$).

Các bạn chỉ cần bấm chuột vào đây http://goo.gl/XXzgpW và điền email mà bạn dùng để đăng ký account Lastpass là được nâng cấp lên phiên bản Premium miễn phí 1 năm. Tôi đã làm rồi, và bây giờ đến phần các bạn.

2014-08-27_000010

CẬP NHẬT: Vì lý do quá nhiều người truy cập vào website để nhận phần quà miễn phí này nên Ban tổ chức vừa thông báo họ sẽ chỉ dành quà tặng cho thành viên đăng ký mới

Tôi thực sự vui sướng khi chia sẻ thông tin này cùng các bạn. Vì đây không chỉ là món quà trị giá 12$, đây là món quà của sự an toàn, tiện dụng và sự yên tâm rằng những người bạn yêu quý của tôi sẽ được an toàn hơn khi duyệt web. Cảm ơn các bạn đã đọc và hy vọng các bạn cảm thấy thú vị với bài viết này của tôi. Hẹn mọi người vào những email “riêng tư” khác trong thời gian tới.

From Nguyễn Ngọc Long Blackmoon with love.

 

Kỹ năng sống - Hạnh phúc do mình lựa chọn
ĐÀI TRUYỀN HÌNH QUỐC GIA CHỈ CỦA "NGƯỜI HÀ NỘI"?

Your email address will not be published. Required fields are marked *

  1. Sorry, this promotion is for new LastPass users, your account was created 2 years ago, send it to a friend! Thanks for using LastPass!

    • CẬP NHẬT: Vì lý do quá nhiều người truy cập vào website để nhận phần quà miễn phí này nên Ban tổ chức vừa thông báo họ sẽ chỉ dành quà tặng cho thành viên đăng ký mới

  2. Nếu cài pm này rồi phải cài lại máy thì sao anh ?

  3. Cảm ơn Long nhé. Rất hữu ích và ngay cả dân CNTT, nhiều người cũng không biết đến.
    Có vẻ ý của bạn ở trên là:
    1. Cài lastpass
    2. Cài lại máy (vì một lý do nào đó khác)
    3. Lúc này cài lại lastpass có được miễn phí nữa không hay có 1 key nào đó lưu lại từ trước để dùng lại?

    • Cảm ơn giải thích kĩ hơn của bạn.

      Mình trả lời chung: Lastpass mã hoá mật khẩu tại máy tính, sau đó đẩy nó lên trên cloud nên khi các bạn setup lại windows mới hoàn toàn thì cũng chỉ cần tải lại Lastpass, đăng nhập vào tài khoản của bạn thì mọi thứ lại được lôi từ cloud xuống.

      Key bản quyền thì tính theo account đăng ký với Lastpass nên không có key, không bị mất key. Các bạn cứ yên tâm sử dụng.

      Mai mốt hết thời gian premium và trở lại làm user bình thường thì chỉ có bất tiện là không sử dụng app trên iPhone và Android được nữa thôi. Máy tính vẫn xài ngon :D

  4. Cảm ơn anh Long. Nhưng mà nếu đăng nhập ở một máy khác thì vẫn cần nhập password phải không ạ? :x

    • Nếu qua một máy khác thì chỉ cần cài addon lastpass vô trình duyệt, đăng nhập vô là xong.

      Hoặc thậm chí chẳng cần cài gì hết, chỉ ần login vô lastpass.com cũng được :-)

  5. <3 khoái cái vụ free lastpass của anh Long. Em xài nó cũng hơn 1 năm rồi. Nhưng mà cái appsumo đó bắt phải nhập mật khẩu Lastpass thì mới cho free. Vậy lỡ bé appsumo này chơi chiêu thì đi đứt hàng trăm cái pass ^^. Cho nên quyết định là xài bản free của Lastpass vậy. :D

  6. Cái này chủ yếu dùng để nhớ thông tin, chứ pass dài quá xong đăng nhập thiết bị khác không nhớ thì vỡ mồm :3

    • Thì đang cần 1 pass không thể nhớ mà Trần Thắng? Chứ lại còn nhớ được thì nói làm gì.

      Cần đăng nhập vào đâu chỉ cần lên lastpass.com, login vô account và copy password tương ứng là được chớ gì?

  7. Thì đang cần 1 pass không thể nhớ mà Trần Thắng? Chứ lại còn nhớ được thì nói làm gì.

    Cần đăng nhập vào đâu chỉ cần lên lastpass.com, login vô account và copy password tương ứng là được chớ gì?

  8. Bài viết có sức dẫn dắt để khi đọc xong thì khó ai mà ko click vào link để xem điều anh giới thiệu là ntn! anh Long mà lấn sân sang lĩnh vực affiliate chắc là bà con bên đó giải nghệ hết quá ^_^

  9. Ngọc Long Blackmoon Nguyễn vậy nếu mất pass của lastpass xem như mất tất cả hả a Long :D