Tại sao chiếc chìa khóa mật khẩu đang dần bị bẻ gãy
Mọi người đều ưa chuộng sự đơn giản. Việc ghi nhớ một dãy dài các chữ cái, số và ký hiệu rất phiền phức, vì vậy hầu hết mọi người đều chọn cách nào đó nhanh chóng và dễ dàng. Nhưng ngay cả khi bạn đã tạo một mật khẩu phức tạp, nó vẫn được lưu trữ trong cơ sở dữ liệu của công ty.
Và cơ sở dữ liệu bị tấn công.
Thường xuyên.
Rò rỉ mật khẩu: Một vài câu chuyện dẫn chứng
- McDonald’s, 2025: Một chatbot tuyển dụng vận hành bằng AI đã chạy với tên đăng nhập Admin và mật khẩu 123456. Kết quả? Hơn 64 triệu đơn xin việc bị rò rỉ, bao gồm số điện thoại, địa chỉ email, trình độ học vấn và lịch sử làm việc. [1]
- Yahoo, 2013: Vi phạm lớn nhất trong lịch sử: hơn 3 tỷ tài khoản bị xâm phạm, bao gồm mật khẩu và câu hỏi bảo mật. [2]
Những câu chuyện này có một điểm chung lớn: ngay cả các tập đoàn có ngân sách an ninh mạng hàng triệu đô la cũng không tránh khỏi nguy cơ bị tấn công.
Thực hành tốt nhất để lưu trữ mật khẩu
Mặc dù bảo mật bằng mật khẩu đang suy yếu, nhưng chúng vẫn được sử dụng rộng rãi. Vì vậy, việc lưu trữ chúng đúng cách là rất quan trọng — đặc biệt nếu bạn đang vận hành một nền tảng hoặc ứng dụng.
Không bao giờ lưu mật khẩu dưới dạng văn bản thuần túy
Mật khẩu luôn phải được băm bằng các thuật toán mạnh như bcrypt hoặc argon2. Điều này làm cho việc phân tích ngược trở nên tốn kém về mặt tính toán.
Thêm salt
Salting đảm bảo rằng ngay cả khi hai người dùng chọn cùng một mật khẩu, giá trị băm của họ cũng sẽ khác nhau. Đây là một biện pháp bảo vệ quan trọng chống lại các cuộc tấn công bảng cầu vồng.
Sử dụng key stretching
Kỹ thuật này gây khó khăn cho các nỗ lực tấn công brute force, giúp bạn tiết kiệm thời gian và giảm thiểu rủi ro nếu xảy ra vi phạm.
Tuy nhiên, ngay cả với những biện pháp này, việc thông tin đăng nhập người dùng được lưu trữ trên máy chủ cũng khiến chúng trở thành mục tiêu tiềm ẩn. Đó là lý do tại sao mục tiêu nên là loại bỏ hoàn toàn việc lưu trữ mật khẩu.
Thực hành tốt nhất để xây dựng và tái sử dụng mật khẩu
Nếu bạn phải sử dụng mật khẩu, đây là cách thực hiện an toàn:
Sử dụng mật khẩu dài, ngẫu nhiên
Độ dài > độ phức tạp. Mật khẩu ngẫu nhiên dài 20 ký tự an toàn hơn nhiều so với mật khẩu ngắn có ký hiệu.
Ví dụ: qH7T#sY9!GmK3*vBxZlP
Tránh sử dụng lại mật khẩu
Sử dụng lại một mật khẩu = quyền truy cập tất cả các tài khoản của bạn. Rò rỉ dữ liệu khiến kẻ tấn công dễ dàng thử sử dụng cùng một thông tin đăng nhập trên nhiều trang web (gọi là nhồi thông tin đăng nhập).
Sử dụng một trình quản lý mật khẩu
Tính năng này giúp bạn tạo và lưu trữ mật khẩu mạnh, duy nhất cho mọi trang web, giảm bớt gánh nặng về tinh thần và tăng cường bảo mật.
Nhưng ngay cả mật khẩu tốt nhất cũng chỉ là... một mật khẩu. Nó có thể bị đoán ra, bị đánh cắp, bị rò rỉ hoặc bị bẻ khóa bằng phương pháp brute-force.
Xác thực đa yếu tố là gì và tại sao nó quan trọng?
Xác thực đa yếu tố (MFA) thêm một lớp bảo vệ thứ hai (hoặc thứ ba), kết hợp giữa điều bạn biết (mật khẩu), điều bạn có (thiết bị), hoặc điều bạn là (sinh trắc học).
Ví dụ:
- Mật khẩu + mã SMS
- Mật khẩu + ứng dụng xác thực trên di động (TOTP)
- Mật khẩu + quét dấu vân tay
MFA giảm đáng kể nguy cơ chiếm đoạt tài khoản, đặc biệt trong những trường hợp mật khẩu bị rò rỉ hoặc đánh cắp.
Nhưng nó không hoàn hảo:
- Mã SMS có thể bị chặn thông qua tấn công hoán đổi SIM
- Các ứng dụng xác thực chỉ an toàn bằng thiết bị mà chúng được cài đặt
Tuy nhiên, MFA là tính năng bắt buộc khi sử dụng các hệ thống dựa trên mật khẩu. Nó tương đương với việc lắp một chốt cửa thay vì chỉ dựa vào một cái chốt đơn giản.
Lỗi cốt lõi của mô hình mật khẩu cũ
Mật khẩu là một chìa khóa duy nhất. Bạn đưa nó cho người khác và hy vọng họ giữ nó an toàn. Nhưng nếu họ phạm sai lầm, một người lạ sẽ có thể truy cập vào "nhà" của bạn.
Vậy câu hỏi ở đây là: bạn có thực sự nên tin tưởng bất kỳ ai khác giữ chìa khóa duy nhất của mình không?
Khi tài khoản biến mất: Phương pháp của NymVPN
Hãy tưởng tượng một dịch vụ với:
- Không có đăng nhập
- Không có mật khẩu
- Không có cơ sở dữ liệu xác thực hàng loạt để hack
Thay vì tài khoản truyền thống, NymVPN sử dụng cụm từ hạt giống — một tổ hợp độc nhất các từ đóng vai trò làm khóa riêng tư của bạn. Điều này có nghĩa là bạn không cần đăng ký, không cần tạo tên người dùng hoặc mật khẩu, và không phụ thuộc vào bất kỳ cơ quan quản lý tập trung nào để quản lý danh tính của mình.
Cụm từ hạt giống là gì?
Một cụm từ hạt giống (còn gọi là cụm từ phục hồi hoặc cụm từ bí mật) là một chuỗi thường gồm 12 hoặc 24 từ được tạo ngẫu nhiên. Nó đại diện cho danh tính được mã hóa của bạn và được sử dụng để tạo khóa riêng một cách an toàn.
Ví dụ (không sử dụng ví dụ này):
acoustic banana fluid melt virus black turtle flavor cement famous onion swim
Cụm từ này chỉ hiển thị với bạn trong quá trình thiết lập. Nó không bao giờ được lưu trữ trên máy chủ NymVPN hoặc truyền qua internet. Bạn là chủ sở hữu và người lưu giữ duy nhất của cụm từ này.
Tại sao cụm từ hạt giống an toàn hơn
Bởi vì không có gì được lưu trữ trên máy chủ, ngay cả khi NymVPN bị tin tặc tấn công, cũng không có gì để kẻ tấn công đánh cắp:
- Không có cơ sở dữ liệu thông tin xác thực người dùng
- Không có nhật ký phiên nào được liên kết với danh tính
- Không có email khôi phục nào có thể bị giả mạo
Cụm từ hạt giống chỉ tồn tại chỉ trên thiết bị của bạn, và lý tưởng nhất là bạn lưu trữ nó ngoại tuyến — viết trên giấy hoặc lưu trong trình quản lý mật khẩu an toàn hoặc ví phần cứng.
Zero-knowledge proof là gì — và tại sao chúng lại quan trọng?
Zero-knowledge proof (ZKP) là một công cụ bảo mật mạnh mẽ giúp bạn chứng minh điều gì đó là đúng mà không tiết lộ thông tin thực tế đằng sau nó.
Hãy tưởng tượng bạn có thể chứng minh mình trên 18 tuổi mà không cần cho biết ngày sinh, hoặc chứng minh bạn đã thanh toán dịch vụ mà không tiết lộ danh tính hoặc chi tiết giao dịch.
Đó là sự kỳ diệu của ZKP: chúng tách biệt xác minh khỏi tiết lộ dữ liệu.
Trong trường hợp của Nym, các zero-knowledge proof dưới dạng zk-nyms giúp người dùng xác minh quyền truy cập hoặc sự tham gia vào NymVPN mà không gắn liền với tài khoản cụ thể hoặc tiết lộ dữ liệu cá nhân. Chúng là một phần tạo nên cơ sở hạ tầng bảo vệ quyền riêng tư như Nym: một hệ thống nơi bạn có thể tương tác một cách an toàn mà không để lại dấu vết định danh.
ZKP chuyển web từ mô hình "hiển thị mọi thứ để chứng minh một thứ" sang một tiêu chuẩn thông minh hơn, chỉ cần biết thôi — một tiêu chuẩn tôn trọng quyền riêng tư theo mặc định.