Làm sao biết mật khẩu của bạn đã bị lộ?

Các lỗ hổng bảo mật và các “vụ án” liên quan đến mật khẩu xảy ra như cơm bữa. Ngay cả các trang web lớn như LinkedIn, Yahoo, Last.fm, eHarmony hay điển hình là Sony và Twitter gần đây đều dính phải các vụ “bê bối” liên quan đến việc tài khoản người dùng bị tiết lộ.

Thiệt hại của các trường hợp lộ mật khẩu cũng có thể được giảm bớt nếu bạn chịu khó dùng một mật khẩu cho mỗi tài khoản. Nhưng dù sao thì lộ cũng là lộ, dù ít hay nhiều. Nếu bạn muốn biết tài khoản và mật khẩu của mình hiện đã bị lộ trên mạng hay chưa, dưới đây là vài công cụ bạn có thể “nhờ vả”.

Liệu “nhà” bạn có an toàn?

Những mối nguy từ việc lộ mật khẩu

Mật khẩu bị lộ là rất nguy hiểm vì nhiều người dùng chung mật khẩu cho rất nhiều tài khoản ở nhiều website khác nhau. Nếu bạn đăng kí tài khoản ở một website, dùng chung mật khẩu tài khoản với địa chỉ email, email/mật khẩu này sẽ được ghi ở đâu đó (cơ sở dữ liệu của trang web).

“Kẻ trộm” một khi có được những thông tin này sẽ dễ dàng truy cập thẳng vào tài khoản email của bạn. Dù bạn có dùng mật khẩu khác, họ vẫn có thể thử những tên tài khoản và mật khẩu đến từ các website khác vốn được đăng kí bởi cùng 1 địa chỉ email.

Ví dụ, khi kẻ trộm có được danh sách các tài khoản người dùng từ Sony, họ chỉ cần thử đăng nhập bằng cách vào các trang web khác bằng cách kết hợp địa chỉ email và mật khẩu trong dữ liệu của Sony. Những khách hàng của Sony nếu dùng chung mật khẩu cho nhiều website khác nhau cả phổ biến và không phổ biến đều có thể trở thành nạn nhân của chiêu “dò mật khẩu” đơn giản này.

Những cách tự bảo vệ

Cách chắc ăn nhất là dùng càng nhiều mật khẩu càng tốt, tốt nhất là mỗi trang web cần một mật khẩu riêng và đảm bảo chúng đủ dài và khó. Dù đa số trang web đều thông báo qua email khi bạn thay đổi mật khẩu, biện pháp này cũng chẳng giúp ích gì nhiều.

Tài khoản tại mỗi trang web cần mật khẩu riêng?!

Nhớ nhiều mật khẩu cho từng trang web thật sự là “ác mộng”. Trong trường hợp này, nhiều dịch vụ và ứng dụng cho phép lưu trữ mật khẩu, tất cả những gì phải nhớ là một mật khẩu duy nhất “cực khó” nhằm bảo vệ toàn bộ những mật khẩu khác. Một số công cụ có thể tham khảo là KeePass (http://keepass.info/) và LastPass (https://lastpass.com/).

Kiểm tra xem mật khẩu có bị lộ hay không

Nếu bạn tò mò không biết mật khẩu của mình có nằm trong danh sách các mật khẩu đã được đăng tải ở đâu đó trên internet, vốn giúp “nhiều người” đỡ tốn thời gian để dò ra, dưới đây là vài cách bạn có thể dùng.

Bạn không cần dùng các công cụ tìm kiếm và mò mẫm trong từng trang kết quả chỉ để xem liệu mật khẩu của mình có bị công khai trên mạng hay không. Thay vào đó, hãy dùng công cụ PwnedList.

Công cụ theo dõi mật khẩu mạnh mẽ PwnedList

LastPass giờ đây cũng sử dụng PwnedList để theo dõi liệu các tài khoản của chính khách hàng của họ (người dùng) có bị lộ hay không. Ví dụ, nếu tài khoản LastPass của bạn là tenban@thegioididong.com, bạn sẽ nhận được thông báo từ LastPass khi địa chỉ email tenban@thegioididong.com xuất hiện trên bất kì danh sách “đen” nào. Dĩ nhiên LastPass chỉ áp dụng tính năng này cho địa chỉ email được đăng kí dịch vụ của họ, không phải mọi tài khoản mà họ đang giúp lưu trữ.

Cách thủ công là truy cập luôn vào PwnedList tại địa chỉ https://pwnedlist.com/, nhập một địa chỉ email bất kì và chờ kết quả.

Kết quả thông báo nhiều người mong đợi

Nếu email của bạn xuất hiện, cũng đừng quá lo lắng. Việc có email của bạn trên mạng không có nghĩa là nó “đã gặp” nguy hiểm. Nhưng một vài biện pháp an toàn như thay đổi mật khẩu của email và các trang web đã đăng kí bằng email này sẽ giúp bạn yên tâm hơn.

LastPass cũng cung cấp miễn phí dịch vụ kiểm tra mật khẩu cho 2 trang web lớn đã bị kẻ xấu “gõ cửa” là LinkedIn và Last.fm. Nếu bạn có tài khoản ở 2 trang này mà gần đây chưa thay đổi mật khẩu, hãy dùng LastPass để xem liệu mật khẩu có an toàn.

Một mật khẩu tại trang LinkedIn đã không còn an toàn

Địa chỉ email chính là “trung tâm” lưu trữ mọi tài khoản và mật khẩu của mỗi “công dân mạng”. Nếu ai đó vô tình vào được hộp mail của bạn, đó có thể là dấu chấm hết cho những tài khoản còn lại.

Một mẹo nhỏ từ người viết: hãy thử dịch vụ email nhanh dùng 1 lần, vừa chống được nạn thư rác vừa đảm bảo an toàn cho địa chỉ email thật (http://mailinator.com/, https://www.guerrillamail.com/, http://www.dispostable.com/). Nếu trang web không chấp nhận email dùng 1 lần, hãy tạo vài địa chỉ email riêng tại Yahoo, Gmail, Live… chỉ để đăng kí những tài khoản “vớ vẩn”.

Thái Bình