Blog

Các bài viết về mật khẩu, bảo mật và vì sao gần như mọi điều chúng ta được dạy đều sai.

Mật khẩu là gì, và vì sao suốt sáu mươi năm chúng ta đã sai

Mật khẩu máy tính ra đời tại MIT năm 1961. Vụ rò rỉ đầu tiên đến một năm sau, và thủ phạm không phải tội phạm: đó là một sinh viên muốn có thêm thời gian máy. Đây là câu chuyện vì sao những quy tắc tất cả chúng ta học được đều tệ — và chúng đến từ đâu.

Vì sao password.es không gửi mật khẩu của bạn đi bất cứ đâu

Trang web nào cũng có thể viết “chúng tôi không lưu mật khẩu của bạn” lên trang của mình. Miễn phí, không ràng buộc gì, và không kiểm chứng được. Lối thoát trung thực duy nhất là không cần đến dữ liệu đó: mọi thứ diễn ra trong trình duyệt của bạn, và đây là cách mở công cụ kiểm tra để tự xác minh mà không cần tin lời chúng tôi.

Trình quản lý mật khẩu đối đầu trí nhớ: quy tắc duy nhất còn sống sót

Trong tất cả những gì người ta dạy chúng ta về mật khẩu, chỉ một quy tắc sống sót: mỗi nơi một mật khẩu khác nhau. Và đó đúng là quy tắc không ai tuân thủ, vì trí nhớ của bạn không gánh nổi. Trình quản lý mật khẩu không phải là tiện nghi: nó là thứ biến quy tắc đó thành chuyện có thể làm được.

Passkey: mật khẩu không tồn tại

Suốt mấy chục năm, chúng ta chỉ loay hoay làm cho mật khẩu khó đoán hơn. Passkey chọn hướng khác: dẹp bỏ cái bí mật mà máy chủ buộc phải cất giữ. Trang web chỉ còn giữ một khóa công khai, có bị lấy trộm cũng chẳng đáng gì, và phishing hết đường sống. Nhưng nó không sửa được mọi thứ.

Câu hỏi bảo mật là một mật khẩu mà bạn không hề chọn

Câu hỏi bảo mật là một mật khẩu với ba khuyết tật: bạn không chọn nó, người ta đoán được nó, và nó thường đã được ghi sẵn ở một chỗ công khai nào đó. Năm 2015 Google đo nó bằng dữ liệu thật, và kết quả tệ hại theo cả hai hướng: vừa bị đoán trúng, vừa bị quên. Ai nói dối để tự bảo vệ thì cuối cùng không vào nổi tài khoản của mình.

2FA: vì sao SMS là cái tệ nhất trong những cái tốt

Bật 2FA qua SMS là một trong những quyết định đúng đắn nhất bạn có thể làm hôm nay, và cũng là quyết định đầu tiên bạn sẽ phải xem lại. Điểm yếu của nó không nằm ở mã hóa hay ở chiếc điện thoại: nó nằm ở người trực tổng đài của nhà mạng. Đây là toàn bộ cái thang, từ SMS lên tới khóa vật lý.