Hôm nọ, Đệ viết một bài về Quên - Cập Nhật I mà mọi người thấy hữu ích. Hôm nay xin "thừa thắng xông lên" mà viết bài thứ hai với một đề tài mà mọi người ai cũng trải qua trong thời đại ngày nay: chìa khóa vào các trương mục điện tử (electronic account password).
Dạ, dạ Đệ xin vào đề...
Trước hết là xin sơ lược về hai khái niệm khác nhau nhưng thường dùng cùng một danh hiệu/mã khóa (Identify/password hay ID/pwd): Authentication và Authorization.
- Authentication (tạm dịch là xác định danh tánh) là một thủ tục khi người dùng máy tính hoặc điện thoại để đăng nhập (login) vào một trương mục điện tử (electronic account). Thủ tục này dùng danh hiệu (identity) mà người dùng đã ghi danh (đăng ký) với cơ sở quản lý trương mục. Thí dụ như tài khoản của mình với một ngân hàng mà mình đã ghi danh dưới một cái "tên" (cái tên này có thể đặt định bởi chính mình; miễn là cái tên này chưa có người nào khác dùng và tên này phải tuân theo một số luật lệ của cơ sở có trương mục. Có rất nhiều người gọi trương mục là "tài khoản" hay "ngân khoản"; nhưng không được chỉnh vì có nhiều trương mục không liên quan gì tới tiền (tài) bạc (ngân). Trong bài này xin gọi account là trương mục.
- Authorization (tạm dịch là trao quyền/có quyền) là quyền hạn mà người đăng nhập có quyền làm gì sau khi đăng nhập. Thí dụ như khi đăng nhập là chủ trương mục thì mình có thể thay đổi địa chỉ chẳng hạn; trong khi nếu đăng nhập vào cùng một trương mục nhưng dưới danh hiệu là người quản lý (admin) các trương mục cho một hãng thì admin có thêm quyền khóa trương mục, chẳng hạn.
Trong những cách để chứng minh danh hiệu (Identification; ID) là của mình như ID có mật mã (password), hoặc vân tay (fingerprint), hoặc mống mắt (eye iris), hoặc giọng nói (voice), hoặc khuôn mặt (face recognition) thì có lẽ password là khó giả nhât còn vân tay, mống mắt, giọng nói, khuôn mặt có thể giả được (thí dụ như song sinh có thể có khuôn mặt mà máy có face recognition có thể nhầm lẫn). Password chỉ khó đoán trong những điều kiện sau:
- Tối thiểu phải có 12 ký tự trong mật mã. Dĩ nhiên là mật mã dài hơn sẽ tốt hơn.
- Mật mã phải bao gồm số [0-9], ký hiệu [!@#$%^&*()], chữ cái viết hoa [A-Z] và chữ thường [a-z]: Sử dụng kết hợp các loại ký tự khác nhau để làm cho mật mã khó "mở" (cracked) hơn.
- Mật mã không phải là một chữ trong từ điển hoặc sự kết hợp của các chữ trong từ điển: thí dụ, "nhà" là một mật mã yếu. “Ngôi nhà màu đỏ” cũng rất tệ.
- Không dựa vào các thay thế rõ ràng: Không sử dụng các thay thế phổ biến - ví dụ: “H0use” (thay chữ "o" bằng số không).
- Không dùng chung mật mã cho nhiều trương mục khác nhau. Chí ít thì không dùng chung mật mã cho trương mục trong sở và ở nhà. Vợ chồng cũng không dùng chung mật mã.
- Không xử dụng lại các mật mã đã dùng trong quá khứ.
- Không để máy tính/điện thoại tự lưu trữ mật mã.
- Nên "trộn"/"xáo" các ký tự theo một thứ tự bất thường. Thí dụ "BigHouse$123" mặc dầu có hội đủ các điều kiện: 12 ký tự, có chữ hoa, chữ thường, ký hiệu, và số; nhưng vẫn là mật mã yếu vì: dùng chữ trong tự điển, số liên tục (và ở phía cuối), vân vân...
- Một chuỗi trên 12 ký tự không theo một luật nhất định nào và được thay đổi mỗi 90 ngày là mật mã lý tưởng thí dụ: "lkhad7ng3cb^Gp". Có ứng dụng điện tử (app) có thể tạo mật mã mạnh (strong password generator) cho Bê.
Nhưng Làm Sao Nhớ!!!
Cách đơn giản là dùng một ứng dụng để chứa tất cả các mật mã (password manager). Cái hay là Bê không cần phải nhớ các mật mã đã ghi danh với password manager. Cái không hay lắm là Bê vẫn phải nhớ cái "master password" để truy cập vào password manager. Bê nên xử dụng thử vài cái password managers (thường thì dùng phiên bản miễn phí một thời gian xem mình có thích không trước khi đóng tiền tháng hoặc năm).- Cách nhớ strong password theo ý Đệ thì mình dùng một câu văn mà mình chắc chắn nhớ. Thí dụ: "Đầu lòng hai ả tố nga" là câu mình có thể "fortify" nó thành: "Đầu ngõ hai ả tố nga". Rồi lấy ký hiệu thứ nhất và thứ ba (nếu có) của mỗi chữ và tận cùng bằng ký hiệu đặc biệt: "DuNo2iatnA!$" (để ý là chữ "hai" thành "2i"). Mật mã này là strong password. Sẽ mạnh thêm nếu "!" và "$" được chia ra hai nơi thay vì ở cuối. Strong password có thể dùng làm master password nếu dùng câu tiếng... Ý như "Non tutte le ciambelle riescono col buco" --> "Notele6leriol^bU" (Bê thử đoán xem làm sao mà "Non tutte le ciambelle riescono col buco" lại trở thành "Notele6leriol^bU"
- Cách thứ hai là cũng dùng câu văn "Đầu ngõ hai ả tố nga" mà dùng bàn phím đánh "daungohaiatonga" nhưng dời ngón tay sang phải thành "fsi" "mhp" "jso" "s" "yp" "mhs" rồi thêm số và ký hiệu đặc biệt vào thành "fsi7mhp$jsosypmhS"
- Bê nên dùng một câu nào mà Bê có thể nhớ và dùng một thứ tiếng mà người khác không ngờ. Việc dịch các ngón tay qua phải hay lên xuống là do Bê định. Các ký hiệu đặc biệt thì Bê có thể gán cho nói một ý nghĩa mới thí dụ "#" là "acclamation sign" của Bê thay vì "!".
- Không dùng số điện thoại, ngày sinh làm mật mã trừ khi mình mã hóa chúng. Thí dụ sinh ngày 19 tháng 2 năm 1999 thì nhớ câu: "trễ thêm ba tháng; sớm năm ngày; đổi thiên kỷ" nên mật mã thành "n14T5^^1899$".
Chúc các Bê một cuối tuần vui vẻ bên gia đình và người thân.
Thân,
Chú thích:
(*) Bê là Bê 60: Từ chữ tắt B60 (Beyond 60 years young) để chỉ các bác trên 60 tuổi trẻ. Ở tuổi Bê mà còn phải luôn cảnh giác chống tội phạm mạng thì có cực thật nhưng còn sống, còn giao tiếp với xã hội thì còn phải luôn cảnh giác, phải không?
Phụ chú:
A. Blogs Đã Viết--Theo Đề Tài
B. S&T: Khóa Đôi - Two Step Authentication
C. How to Create a Strong Password (and Remember It)
D. 10 Best Password Manager of 2018
Không có nhận xét nào:
Đăng nhận xét