02/04/2014 - 20:18

Câu hỏi bảo mật không an toàn: Làm sao bảo vệ tài khoản?

Nếu trả lời chính xác hai câu hỏi bảo mật bạn sẽ đăng nhập được tài khoản Yahoo!

Chúng ta đều biết nên tạo mật khẩu an toàn cho các tài khoản, nhưng có một điều chúng ta ít nghĩ đến, đó là câu hỏi bảo mật. Câu hỏi bảo mật dễ đoán sẽ tạo điều kiện thuận lợi cho tin tặc xâm nhập tài khoản, nhất là hộp thư điện tử.

Khái niệm cơ bản về câu hỏi bảo mật

Khi tạo một tài khoản (ví dụ hộp thư điện tử), ngoài việc tạo mật khẩu, bạn còn phải trả lời 1-2 câu hỏi bảo mật trước khi hoàn thành. Nếu chúng ta xem hộp thư như một "căn nhà" thì mật khẩu là "chìa khóa" của cửa trước, còn câu hỏi bảo mật là "chìa khóa" cửa sau.

Nếu bạn chưa bao giờ đặt lại mật khẩu của một tài khoản, bạn có thể không bao giờ phải đối phó với câu hỏi bảo mật của riêng bạn và có thể quên chúng đi. Bạn có thể bấm vào một liên kết, ở đó bạn xác nhận là quên mật khẩu, và nếu trả lời các câu hỏi bảo mật một cách chính xác, bạn sẽ được quyền truy cập vào tài khoản đó. Bằng cách này, câu hỏi bảo mật cho phép bạn bỏ qua mật khẩu. Như vậy, bạn có thể thấy tài khoản của bạn không còn an toàn bởi mật khẩu mạnh mẽ của bạn, nó chỉ an toàn khi câu hỏi bảo mật thật sự khó đoán.

Tuy nhiên, không phải tất cả dịch vụ đều yêu cầu trả lời câu hỏi nhằm bảo mật tài khoản. Một số dịch vụ sử dụng câu hỏi bảo mật chỉ như một phần của quá trình xác thực thông tin cá nhân.

Vấn đề đối với câu hỏi bảo mật

Có lẽ chúng ta đều biết, bà Sarah Palin (ứng cử viên Phó Tổng thống Mỹ trong liên danh tranh cử với Thượng nghị sĩ John McCain hồi tháng 8-2008) bị lộ hơn 24.000 thư điện tử. Các tin tặc đã mở hộp thư Yahoo! của bà bằng cách bỏ qua mật khẩu và trả lời chính xác câu hỏi bảo mật. Theo đó, câu hỏi là "Bạn gặp người bạn đời của bạn ở đâu? và tin tặc đã có được câu trả lời nhanh chóng nhờ Google Search, đó là "Wasilla High".

Đây không chỉ là vấn đề đối với riêng bà Sarah Palin. Khi chúng ta thiết lập tài khoản - từ tài khoản ngân hàng đến các tài khoản email - chúng ta thường được yêu cầu thiết lập câu hỏi bảo mật. Hầu hết chúng ta được cung cấp một danh sách các câu hỏi gợi ý, ví dụ "Bạn đã học đại học ở đâu?", "Tên thời con gái của mẹ bạn là gì?"… Một số trang web cho phép bạn tạo câu hỏi riêng, nhưng đa số lựa chọn từ danh sách các câu hỏi gợi ý. Một số dịch vụ buộc bạn phải thiết lập nhiều câu hỏi bảo mật và câu trả lời, có nghĩa là bạn không thể chỉ chọn một câu hỏi và câu trả lời duy nhất cho dễ nhớ - bạn phải chọn nhiều câu hỏi khác nhau và ghi nhớ tất cả các câu trả lời.

Vấn đề thật sự đối với câu hỏi bảo mật là những câu trả lời rất rõ ràng. Câu trả lời cho nhiều câu hỏi bảo mật là những thông tin công cộng, dễ phán đoán. Chúng thậm chí có thể tìm kiếm trên Google, ngay cả khi câu trả lời là không phổ biến. Hầu hết mọi người thấy bình thường khi chia sẻ các thông tin như nơi họ quen vợ/chồng hoặc nơi họ đi học, ít ai nghĩ rằng đó lại là những chi tiết bảo mật quan trọng.

Chọn và trả lời câu hỏi bảo mật như thế nào?

Hãy ghi nhớ điều này khi lựa chọn câu hỏi bảo mật và câu trả lời. Chọn cái gì đó khó khăn cho người khác tìm hiểu hoặc suy đoán. Không chọn câu hỏi có liên quan đến nơi bạn đi học, tên thầy giáo, người thân hay con vật yêu thích...

Nếu dịch vụ cho phép viết câu hỏi bảo mật của riêng bạn, bạn có thể đặt các dạng câu hỏi như "Câu trả lời là gì?", hoặc tên một trò đùa mà chỉ có bạn biết. Sau đó cung cấp câu trả lời cho các câu hỏi, ví dụ "45D% po # Yih8d0Y $ FGP i34t". Cần ghi câu trả lời ở một nơi nào đó an toàn hay lưu trữ nó trong các chương trình quản lý mật khẩu, ví dụ LastPass hay KeePass để có thể xem lại khi cần. Như vậy, về cơ bản bạn đã có một mật khẩu thứ hai cho tài khoản của bạn.

Trường hợp phải chọn câu hỏi gợi ý, đừng bao giờ trả lời chính xác câu hỏi. Ví dụ được yêu cầu trả lời câu hỏi "Bạn hôn người yêu đầu tiên của bạn ở đâu? Nếu thành thật trả lời là ở Đà Lạt hoặc địa danh nơi bạn sống thì quá dễ đoán, nhưng nếu bạn ghi "Ở miệng núi lửa trên mặt trăng" thì sẽ khó suy đoán hơn nhiều. Tuy nhiên, tốt nhất là nên chọn câu trả lời bằng các ký tự vô nghĩa và ghi nhớ chúng bằng các chương trình quản lý mật khẩu.

Hoàng Thy

Chia sẻ bài viết