Mật khẩu dễ đoán khiến chúng ta bị tổn thường trước tấn công của tin tặc, nhưng có những cách để tạo mật khẩu dễ nhớ mà lại rất khó dò được. Đước phát hiện cách nay đã 2 tháng nhưng lỗ hổng Heartbleed vẫn đáng để nhắc tới. Một điều mà chúng ta cần bàn là các vấn đề trong lỗ hổng Heartbleed là có phần của chính người sử dụng. Nhưng vẫn có vài cách thông thường có thể bảo vệ chúng ta trước kẻ xấu khi sử dụng máy tính. Để thực sự hiểu được Heartbleed, đầu tiên cần biết lỗ hổng bảo mật là gì. Theo tổ chức giám sát thông tin ISACA định nghĩa, lỗ hổng đó là một điểm yếu về thiết kế, thiết lập, vận hành hoặc điều khiển nội tại của một quy trình, khiến hệ thống bị khai phá. Nói theo ngôn ngữ thông thường, lỗ hổng là một điểm yếu trong một quy trình mà từ đó có thể dẫn tới nhiều điều tồi tệ, có hại cho hệ thống. Tiếp đến, Heartbleed là gì? Vào ngày 7/4 vừa qua, một lỗ hổng được nhận diện trong quá trình thiết lập giao thức bảo mật SSL (Secure Sockets Layer), cụ thể là chuẩn OpenSSL. Một giao thức SSL thiết lập một liên kết mã hoá giữa một máy chủ web và trình duyệt Web của người dùng. Giao thức SSL không chỉ mã hoá dữ liệu truyền trực tuyến, bảo vệ tên và mật khẩu của bạn nhưng nó còn giúp đảm bảo bạn kết nối đến đúng trang web bạn muốn ghé thăm. Vì vậy tại sao chúng ta quan tâm đến Heartbleed? Đầu tiên và trên hết, chính cái tên của nó cũng đủ khiến ta e ngại, mà tạm dịch sang tiếng Việt là “trái tim rỉ máu”. Đối với người dùng Internet mỗi ngày, lỗ hổng Heartbleed có thể cho phép tin tặc kết nối đến một máy chủ web và đánh cắp thông tin nhạy cảm, đó có thể là ID và mật khẩu người dùng. Sau đó, tin tặc có thể sử dụng thông tin đó dể đăng nhập vào tài khoản khác của người dùng sử dụng cùng cặp ID và mật khẩu ấy. Nếu bạn thường xuyên dùng Internet thì liệu trên mỗi trang Web, bạn có dùng một ID và một mật khẩu riêng biệt không? Đừng để chìa khoá trước cửa nhà Trước khi chúng ta nói đến Heartbleed nguy hiểm đến mức nào, có một sự thật là chính chúng ta mới là vấn đề. Trung bình, một người thường có xu hướng sử dụng mật khẩu dễ đoán với lý do là nó luôn được người dùng nghĩ tới và hơn nữa là dễ nhớ, chẳng hạn tên người yêu, vợ hay con cái. Những mật khẩu kiểu này dễ cho kẻ tấn công quay lại bạn, tìm đến những trang có thông tin trực tuyến của bạn, mà Facebook là một ví dụ. Không chỉ dùng mật khẩu dễ, mà chúng ta còng thường sử dụng một mật khẩu cho nhiều tài khoản trực tuyến, cùng với cùng một tên ID. Nếu rơi vào trường hợp này thì Heartbleed không phải là vấn đề chính, mà chính người dùng mới là vấn đề. Chúng ta đã để sẵn chìa khoá trước cửa nhà cho kẻ trộm. Trong một nghiên cứu rò rỉ dữ liệu của Yahoo Voices và SonyPictures.com hồi tháng 6/2012, báo cáo này kết luận rằng 59% người dùng sử dụng chính xác mật khẩu cho cả 2 dịch vụ trên. Heartbleed là lổ hổng bảo mật mới nhất trong an toàn Internet gần đây, và được đánh giá là lỗ hổng cực kỳ nghiêm trọng trên Internet. Đương nhiên, trước đây cũng đã từng có những lỗ hổng khủng khiếp không kém, dẫn đến những điều vô cùng tồi tệ. Không may là tội phạm trực tuyến lại luôn đi trước các phương pháp đảm bảo an toàn mạng. Đó cũng là lời cảnh tỉnh cho người dùng, luôn cần có một ID duy nhất cho từng dịch vụ trực tuyến mà chúng ta sử dụng. Bốn bước cần biết khi tạo mật khẩu Bạn có một hoặc hai tài khoản ngân hàng có cùng tên đăng nhập với các mạng xã hội? Nếu không có, thì bạn đã là người may mắn rồi. Trước hết, bạn hãy vào trang web https://lastpass.com/heartbleed/ để kiểm tra xem những trang web bạn thường đến có bị lỗ hổng Heartbleed hay không. Tiếp theo, chúng ta cần tạo một mật khẩu mạnh, dễ nhớ. Nhiều trang web thường hỏi chúng ta để tạo mật khẩu ngẫu nhiên, phức tạp với nhiều ký tự đặc biệt và nhiều ràng buộc khó tính. Hãy bắt đầu từng bước. 1. Đối với trang web, có thể bạn sẽ cần mật khẩu tối thiểu là 4 hoặc 5 ký tự, trong đó có 1 ký tự viết hoa. Ví dụ trang Amazon.com, bạn buộc phải đặt mật khẩu như: Amaz hoặc aMaz. 2. Để tăng thêm tính bảo mật, độ khó, bạn có thể thêm ký tự @ hoặc một ký tự đặc biệt khác nào đó và một chữ số, ví dụ: Amaz@1 hoặc aMaz@2. 3. Tìm một câu nào đó mà bạn dễ nhớ mà không ai có thể đoán ra, sử dụng ký tự đầu tiên ở mỗi chữ trong câu đó, giống kiểu viết tắt. Ví dụ: “trong đầm gì đẹp bằng sen”, viết tắt sẽ là “tdgdbs” 4. Thêm đoạn viết tắt này vào chuỗi mật khẩu đang tạo phía trên của bạn, ví dụ: Amaz@1tdgdbs hoặc aMaz@2tdgdbs. Dĩ nhiên là bạn cũng có thể tự nghĩ ra cho mình câu nói nào thích hợp cho trang web để dễ nhớ. Ví dụ như trang mua bán trực tuyến Amazon, bạn chọn một câu nói về mua bán nào đó như “tôi thích mua sắm trực tuyến”, để có chữ viết tắt là “ttmstt”. Lúc này bạn sẽ dễ nhớ và không ai có thể đoán được mật khẩu của mình. Trước khi truy cập, bạn nên kiểm trang web có an toàn với Heartbleed hay không tại https://lastpass.com/heartbleed Bốn bước trên tạo ra những loại mật khẩu khó, khiến tin tặc khó có thể đoán biết được bạn dùng mật khẩu kiểu gì. Nhìn chung, một mật khẩu khó cần chứa: Ít nhất một ký tự viết hoa và một chữ viết thường. Ít nhất một số hoặc một dấu câu. Ít nhất một ký hiệu. Dài tối thiểu 8 ký tự. Bạn cũng có thể cân nhắc để sử dụng một ứng dụng quản lý mật khấu để chứa tất cả mật khẩu của mình vào nơi an toàn. Những công cụ này không chỉ đơn giản hoá cho bạn việc phải nhập mật khẩu cho từng trang web mà chúng còn có mức bảo mật cao hơn. Bạn cũng cần cẩn trọng với những kiểu tấn công lừa đảo, lợi dụng lỗ hổng Heartbleed, ví dụ như email lừa đảo dụ bạn đến những trang web không phải trang web thực mà bạn muốn đến, cho dù giao diện có y hệt, nhưng đó là những trang web đánh cắp thông tin với kỹ thuật lừa đảo phi kỹ thuật như “social engineering”. Heartbleed dù sao cũng đã được nhiều chuyên gia bảo mật dè chừng và không còn nguy hiểm như những ngày đầu nữa. Nhưng với chúng ta, cẩn thận vẫn là điều tiên quyết vì chúng ta không thể nói trước điều gì, và không biết tiếp theo Heartbleed là lỗ hổng gì khác. PC World VN, 07/2015 Nguồn PC World VN