Bất chấp hàng loạt các vụ hack, vi phạm dữ liệu và tấn công phần mềm độc hại, hàng triệu người dùng internet vẫn từ chối thực hiện một số biện pháp phòng ngừa bảo mật cơ bản có thể khiến tài khoản của họ gần như không bị ảnh hưởng - và không phải lo lắng.

Hãy xem xét tình hình hiện tại với iCloud. Một nhóm tin tặc tự gọi mình là "Gia đình tội phạm Thổ Nhĩ Kỳ" cho biết họ có quyền truy cập vào hàng trăm triệu tài khoản và mật khẩu của Apple và sẽ bắt đầu đặt lại chúng cũng như xóa iPhone từ xa trừ khi Apple trả khoản tiền chuộc ít nhất 75.000 USD vào ngày 7 tháng Tư.

Apple đã bị hack? Chắc là không. "Danh sách bị cáo buộc về địa chỉ email và mật khẩu dường như được lấy từ các dịch vụ của bên thứ ba bị xâm phạm trước đây", công ty cho biết trong một tuyên bố. Apple cũng cho biết họ đang làm việc với các quan chức thực thi pháp luật để xác định tin tặc.

Nếu bạn đã sử dụng "qwerty1234" trên năm trang web khác, có lẽ bạn cũng đã sử dụng nó làm mật khẩu iCloud của mình.

Nói cách khác, câu chuyện có nhiều khả năng là tin tặc có tài khoản và mật khẩu được tham chiếu chéo từ các vi phạm dữ liệu khác, vốn có sẵn rộng rãi trong cộng đồng hacker. (Nếu [email protected] đã sử dụng "qwerty1234" trên năm trang web khác, có lẽ bạn cũng đã sử dụng nó làm mật khẩu iCloud của mình.)

Nhưng điều đó không có nghĩa là mối đe dọa không có thật. ZDNet, trang web chị em của CNET, đã xác minh rằng nhóm tin tặc có ít nhất 54 tài khoản và mật khẩu hợp lệ. Thậm chí còn rắc rối hơn: Ba trong số những người dùng đó nhấn mạnh rằng mật khẩu của họ là duy nhất đối với iCloud. (Đọc chi tiết đầy đủ tại ZDNet.)

Có tin tặc tấn công vàng? Có phải ba người dùng đó chỉ đơn giản là đã đánh giá sai rằng họ đã tái chế mật khẩu vài năm trước? Có lẽ họ đã từng đăng nhập vào iCloud từ một máy tính bị nhiễm phần mềm độc hại. Có thể ai đó đang nhìn trộm qua vai họ tại Starbucks vào một ngày họ đăng nhập vào iTunes.

Cuối cùng, các chi tiết về "cách" các tài khoản này đã bị đánh cắp, thu thập hoặc tổng hợp có thể không bao giờ được biết đầy đủ. Điều duy nhất quan trọng là mật khẩu hợp lệ của một số người dùng chắc chắn đã bị loại bỏ - và bạn cũng có thể như vậy.

Nhưng đây là những gì bạn có thể làm để có được sự an tâm với tài khoản iCloud của mình. Hoặc bất kỳ tài khoản trực tuyến khác, cho vấn đề đó.

Thay đổi mật khẩu của bạn thành một cái gì đó mới và độc đáo

Đây là cách hành động dễ nhất, nhanh nhất và đơn giản nhất. (Trên thực tế, Apple đã chủ động khuyến nghị người dùng thay đổi mật khẩu iCloud vào năm 2014 khi xảy ra sự cố tương tự.) Nhưng bạn cần tuân theo một số thực tiễn tốt nhất về bảo mật cơ bản:

• Sử dụng ít nhất 16 ký tự có chứa tổ hợp số, ký hiệu, chữ in hoa, chữ thường và dấu cách.
• Mật khẩu sẽ không có sự lặp lại, từ trong từ điển, tên người dùng, đại từ, ID và bất kỳ chuỗi số hoặc chữ cái được xác định trước nào khác.
• KHÔNG tái chế hoặc tái sử dụng bất kỳ mật khẩu nào bạn đã sử dụng trong quá khứ.

Đang phát: Xem này: Mẹo bảo mật mật khẩu cơ bản 1:10

Nếu tất cả điều đó có vẻ quá phức tạp, hãy xem xét sử dụng trình quản lý mật khẩu thay vào đó (xem tùy chọn thứ ba, bên dưới), sẽ tự động tạo mật khẩu duy nhất tốt cho tất cả các dịch vụ bạn sử dụng.

Đọc thêm:

• Hướng dẫn bảo mật mật khẩu (và tại sao bạn nên quan tâm)
• Nắm vững nghệ thuật mật khẩu
• 10 điều răn mật khẩu
• Cách kiểm tra độ mạnh của mật khẩu

Bật xác thực hai yếu tố

Đây là chìa khóa. Bật xác thực hai yếu tố - còn được gọi là xác minh 2FA hoặc 2 bước - gần như bị khóa hoàn toàn như bạn có thể nhận được. Nếu và khi tài khoản của bạn được truy cập từ bất cứ đâu, dịch vụ được đề cập sẽ gửi mã xác nhận đến thiết bị bạn ủy quyền trước trong khi thiết lập - điện thoại, máy tính bảng, máy tính hoặc thậm chí cả smartwatch của bạn.

Nếu không có mã thứ hai, được tạo ngẫu nhiên trong thời gian thực, người cố truy cập vào tài khoản sẽ không thể truy cập - ngay cả khi họ có tên người dùng và mật khẩu của bạn. Vì vậy, không chỉ những kẻ xấu bị khóa, bạn sẽ nhận được một thông báo bật lên hoặc tin nhắn văn bản thông báo cho bạn nếu và khi chúng đang cố gắng xâm nhập.

ICloud của Apple hỗ trợ 2FA, cũng như Google (Gmail), Facebook, Twitter, Instagram và hầu như bất kỳ dịch vụ nào khác đều coi trọng bảo mật. Không, 2FA không "hoàn hảo" hoặc không thể đánh lừa: Các mã dựa trên ứng dụng như Google Authenticator cũng như Authy an toàn hơn các mã dựa trên SMS và giả định rằng thiết bị được ủy quyền không bị xâm phạm cũng không thuộc sở hữu của kẻ xấu, cho người mới bắt đầu.

Nhưng đối với người bình thường, 2FA gần với bảo mật trực tuyến không lo lắng như bạn có thể nhận được.

Sử dụng trình quản lý mật khẩu

Vấn đề với việc tạo mật khẩu mạnh bằng cách sử dụng các hướng dẫn được mô tả ở trên là về cơ bản chúng không thể nhớ được. Và khoảnh khắc bạn viết chúng xuống một ghi chú Post-It, ứng dụng điện thoại hoặc mặt sau của danh thiếp - vâng, vâng, bạn đã phá hủy bất kỳ "bảo mật" nào bạn có được với chuỗi bán ngẫu nhiên 16 chữ số đó nhân vật.

Đó là nơi có trình quản lý mật khẩu. Trình quản lý mật khẩu tạo thông tin đăng nhập được mã hóa cho tất cả các trang web bạn sử dụng. Chúng được thiết kế để không thể nhớ - đó là lý do tại sao bạn chỉ cần nhớ mật khẩu chính duy nhất cho toàn bộ tài khoản.

Điểm khởi đầu tốt nhất của bạn là LastPass, hiện miễn phí cho các tính năng cơ bản. Các tùy chọn phổ biến khác bao gồm 1Password, Dashlane và KeePass.

Tất nhiên, cảnh báo rõ ràng được áp dụng: Một mật khẩu duy nhất có nghĩa là một điểm thất bại duy nhất. Thật vậy, LastPass đã bị vi phạm dữ liệu vào năm 2015. Nhưng trong sự cố đó, tin tặc đã không truy cập được vào mật khẩu chính, điều mà LastPass thậm chí không lưu trữ. (Công ty khuyên người dùng thay đổi mật khẩu chính của họ như một biện pháp an toàn.)

Nhưng đó là một lời nhắc tốt rằng mật khẩu chính của bạn cho trình quản lý mật khẩu cần phải mạnh nhất có thể và hoàn toàn độc đáo. Thực hiện theo tất cả các thực tiễn tốt nhất được trích dẫn trong mục đầu tiên, ở trên.

Đọc thêm:

• Cách lưu và đồng bộ hóa mật khẩu của bạn miễn phí với LastPass