Kết thúc kỷ nguyên mật khẩu, nhưng bảo mật dữ liệu thì chưa

Tại sao chiếc chìa khóa mật khẩu đang dần bị bẻ gãy

Mọi người đều ưa chuộng sự đơn giản. Việc ghi nhớ một dãy dài các chữ cái, số và ký hiệu rất phiền phức, vì vậy hầu hết mọi người đều chọn cách nào đó nhanh chóng và dễ dàng. Nhưng ngay cả khi bạn đã tạo một mật khẩu phức tạp, nó vẫn được lưu trữ trong cơ sở dữ liệu của công ty.

Và cơ sở dữ liệu bị tấn công.

Thường xuyên.

Rò rỉ mật khẩu: Một vài câu chuyện dẫn chứng

• McDonald’s, 2025: Một chatbot tuyển dụng vận hành bằng AI đã chạy với tên đăng nhập Admin và mật khẩu 123456. Kết quả? Hơn 64 triệu đơn xin việc bị rò rỉ, bao gồm số điện thoại, địa chỉ email, trình độ học vấn và lịch sử làm việc. [1]
• Yahoo, 2013: Vi phạm lớn nhất trong lịch sử: hơn 3 tỷ tài khoản bị xâm phạm, bao gồm mật khẩu và câu hỏi bảo mật. [2]

Những câu chuyện này có một điểm chung lớn: ngay cả các tập đoàn có ngân sách an ninh mạng hàng triệu đô la cũng không tránh khỏi nguy cơ bị tấn công.

Thực hành tốt nhất để lưu trữ mật khẩu

Mặc dù bảo mật bằng mật khẩu đang suy yếu, nhưng chúng vẫn được sử dụng rộng rãi. Vì vậy, việc lưu trữ chúng đúng cách là rất quan trọng — đặc biệt nếu bạn đang vận hành một nền tảng hoặc ứng dụng.

Không bao giờ lưu mật khẩu dưới dạng văn bản thuần túy

Mật khẩu luôn phải được băm bằng các thuật toán mạnh như bcrypt hoặc argon2. Điều này làm cho việc phân tích ngược trở nên tốn kém về mặt tính toán.

Thêm salt

Salting đảm bảo rằng ngay cả khi hai người dùng chọn cùng một mật khẩu, giá trị băm của họ cũng sẽ khác nhau. Đây là một biện pháp bảo vệ quan trọng chống lại các cuộc tấn công bảng cầu vồng.

Sử dụng key stretching

Kỹ thuật này gây khó khăn cho các nỗ lực tấn công brute force, giúp bạn tiết kiệm thời gian và giảm thiểu rủi ro nếu xảy ra vi phạm.

Tuy nhiên, ngay cả với những biện pháp này, việc thông tin đăng nhập người dùng được lưu trữ trên máy chủ cũng khiến chúng trở thành mục tiêu tiềm ẩn. Đó là lý do tại sao mục tiêu nên là loại bỏ hoàn toàn việc lưu trữ mật khẩu.

Thực hành tốt nhất để xây dựng và tái sử dụng mật khẩu

Nếu bạn phải sử dụng mật khẩu, đây là cách thực hiện an toàn:

Sử dụng mật khẩu dài, ngẫu nhiên

Độ dài > độ phức tạp. Mật khẩu ngẫu nhiên dài 20 ký tự an toàn hơn nhiều so với mật khẩu ngắn có ký hiệu. Ví dụ: qH7T#sY9!GmK3*vBxZlP

Tránh sử dụng lại mật khẩu

Sử dụng lại một mật khẩu = quyền truy cập tất cả các tài khoản của bạn. Rò rỉ dữ liệu khiến kẻ tấn công dễ dàng thử sử dụng cùng một thông tin đăng nhập trên nhiều trang web (gọi là nhồi thông tin đăng nhập).

Sử dụng một trình quản lý mật khẩu

Tính năng này giúp bạn tạo và lưu trữ mật khẩu mạnh, duy nhất cho mọi trang web, giảm bớt gánh nặng về tinh thần và tăng cường bảo mật.

Nhưng ngay cả mật khẩu tốt nhất cũng chỉ là... một mật khẩu. Nó có thể bị đoán ra, bị đánh cắp, bị rò rỉ hoặc bị bẻ khóa bằng phương pháp brute-force.

Xác thực đa yếu tố là gì và tại sao nó quan trọng?

Xác thực đa yếu tố (MFA) thêm một lớp bảo vệ thứ hai (hoặc thứ ba), kết hợp giữa điều bạn biết (mật khẩu), điều bạn có (thiết bị), hoặc điều bạn là (sinh trắc học). Ví dụ:

• Mật khẩu + mã SMS
• Mật khẩu + ứng dụng xác thực trên di động (TOTP)
• Mật khẩu + quét dấu vân tay

MFA giảm đáng kể nguy cơ chiếm đoạt tài khoản, đặc biệt trong những trường hợp mật khẩu bị rò rỉ hoặc đánh cắp. Nhưng nó không hoàn hảo:

• Mã SMS có thể bị chặn thông qua tấn công hoán đổi SIM
• Các ứng dụng xác thực chỉ an toàn bằng thiết bị mà chúng được cài đặt Tuy nhiên, MFA là tính năng bắt buộc khi sử dụng các hệ thống dựa trên mật khẩu. Nó tương đương với việc lắp một chốt cửa thay vì chỉ dựa vào một cái chốt đơn giản.

Lỗi cốt lõi của mô hình mật khẩu cũ

Mật khẩu là một chìa khóa duy nhất. Bạn đưa nó cho người khác và hy vọng họ giữ nó an toàn. Nhưng nếu họ phạm sai lầm, một người lạ sẽ có thể truy cập vào "nhà" của bạn. Vậy câu hỏi ở đây là: bạn có thực sự nên tin tưởng bất kỳ ai khác giữ chìa khóa duy nhất của mình không?

Khi tài khoản biến mất: Phương pháp của NymVPN

Hãy tưởng tượng một dịch vụ với:

• Không có đăng nhập
• Không có mật khẩu
• Không có cơ sở dữ liệu xác thực hàng loạt để hack

Thay vì tài khoản truyền thống, NymVPN sử dụng cụm từ hạt giống — một tổ hợp độc nhất các từ đóng vai trò làm khóa riêng tư của bạn. Điều này có nghĩa là bạn không cần đăng ký, không cần tạo tên người dùng hoặc mật khẩu, và không phụ thuộc vào bất kỳ cơ quan quản lý tập trung nào để quản lý danh tính của mình.

Cụm từ hạt giống là gì?

Một cụm từ hạt giống (còn gọi là cụm từ phục hồi hoặc cụm từ bí mật) là một chuỗi thường gồm 12 hoặc 24 từ được tạo ngẫu nhiên. Nó đại diện cho danh tính được mã hóa của bạn và được sử dụng để tạo khóa riêng một cách an toàn.

Ví dụ (không sử dụng ví dụ này):

acoustic banana fluid melt virus black turtle flavor cement famous onion swim

Cụm từ này chỉ hiển thị với bạn trong quá trình thiết lập. Nó không bao giờ được lưu trữ trên máy chủ NymVPN hoặc truyền qua internet. Bạn là chủ sở hữu và người lưu giữ duy nhất của cụm từ này.

Tại sao cụm từ hạt giống an toàn hơn

Bởi vì không có gì được lưu trữ trên máy chủ, ngay cả khi NymVPN bị tin tặc tấn công, cũng không có gì để kẻ tấn công đánh cắp:

• Không có cơ sở dữ liệu thông tin xác thực người dùng
• Không có nhật ký phiên nào được liên kết với danh tính
• Không có email khôi phục nào có thể bị giả mạo

Cụm từ hạt giống chỉ tồn tại chỉ trên thiết bị của bạn, và lý tưởng nhất là bạn lưu trữ nó ngoại tuyến — viết trên giấy hoặc lưu trong trình quản lý mật khẩu an toàn hoặc ví phần cứng.

Zero-knowledge proof là gì — và tại sao chúng lại quan trọng?

Zero-knowledge proof (ZKP) là một công cụ bảo mật mạnh mẽ giúp bạn chứng minh điều gì đó là đúng mà không tiết lộ thông tin thực tế đằng sau nó.

Hãy tưởng tượng bạn có thể chứng minh mình trên 18 tuổi mà không cần cho biết ngày sinh, hoặc chứng minh bạn đã thanh toán dịch vụ mà không tiết lộ danh tính hoặc chi tiết giao dịch. Đó là sự kỳ diệu của ZKP: chúng tách biệt xác minh khỏi tiết lộ dữ liệu.

Trong trường hợp của Nym, các zero-knowledge proof dưới dạng zk-nyms giúp người dùng xác minh quyền truy cập hoặc sự tham gia vào NymVPN mà không gắn liền với tài khoản cụ thể hoặc tiết lộ dữ liệu cá nhân. Chúng là một phần tạo nên cơ sở hạ tầng bảo vệ quyền riêng tư như Nym: một hệ thống nơi bạn có thể tương tác một cách an toàn mà không để lại dấu vết định danh.

ZKP chuyển web từ mô hình "hiển thị mọi thứ để chứng minh một thứ" sang một tiêu chuẩn thông minh hơn, chỉ cần biết thôi — một tiêu chuẩn tôn trọng quyền riêng tư theo mặc định.

Cách thức cấp quyền truy cập

Mỗi lần bạn mở NymVPN, bạn có thể:

• Nhập cụm từ hạt giống của bạn để tạo lại thông tin xác thực truy cập của bạn
• Hoặc lưu nó cục bộ (được mã hóa) để bạn không phải nhập lại mỗi lần

Hạt giống được sử dụng để tạo ra một danh tính mã hóa chứng minh bạn là ai — mà không cần phải "đăng nhập" hay xác minh địa chỉ email với bất kỳ ai.

Phương pháp này đảm bảo rằng:

• Chỉ bạn mới có thể truy cập danh tính VPN của mình
• Bạn có thể khôi phục quyền truy cập trên bất kỳ thiết bị nào bằng cách sử dụng cụm từ hạt giống của mình
• Danh tính kỹ thuật số của bạn có tính di động, phi tập trung và chống kiểm duyệt

Cách tiếp cận này không chỉ là một phương pháp đăng nhập thông minh — nó là một bước chuyển mình trong cách thức hoạt động của danh tính và quyền riêng tư trực tuyến.

Tiếp theo là gì

Mật khẩu đang dần mất đi chỗ đứng. Ngày nay, chúng là mục tiêu chính của những kẻ tấn công. Ngày mai, có lẽ chúng sẽ chỉ còn được ghi nhớ qua các tài liệu lịch sử an ninh mạng.

Tương lai nằm ở mô hình mà khóa truy cập chỉ thuộc về bạn — và bạn không còn phải phụ thuộc vào máy chủ của người khác để bảo vệ khóa nữa.

Tài liệu tham khảo

[1] Wired

[2] Reuters