Trong bối cảnh công nghệ số phát triển không ngừng, việc đánh cắp tài khoản trực tuyến vẫn là một mối lo ngại hàng đầu đối với người dùng internet toàn cầu, kể cả vào năm 2025. Mặc dù các công cụ quản lý mật khẩu và tính năng passkeys ngày càng tiên tiến, kẻ gian vẫn luôn tìm cách khai thác những lỗ hổng nhỏ nhất. Một trong những phương pháp tôi đã áp dụng để tự bảo vệ mình khỏi các cuộc tấn công này là thông qua một truyền thống lâu đời: “nói dối” trong các câu hỏi bảo mật. Phương pháp này nghe có vẻ lạ, nhưng lại mang đến hiệu quả bất ngờ trong việc tăng cường an toàn cho thông tin cá nhân của bạn.
Câu Hỏi Bảo Mật Là Gì?
Các câu hỏi bảo mật là một dạng của Xác thực Đa yếu tố (MFA). Sau khi bạn nhập mật khẩu, hệ thống sẽ yêu cầu bạn trả lời một câu hỏi mà “chỉ mình bạn biết”. Đó có thể là những thông tin cá nhân như tên con vật nuôi đầu tiên hay thị trấn nơi bạn sinh ra. Chúng là một trong những hình thức MFA lâu đời nhất trên internet nhờ vào sự đơn giản của mình.
Mặc dù đã tồn tại từ lâu và có nhiều phương pháp MFA tốt hơn đã trở nên phổ biến, các câu hỏi bảo mật vẫn được sử dụng rộng rãi trên internet. Chỉ tuần trước, tôi đã phải tạo một tài khoản quan trọng yêu cầu thiết lập ba câu hỏi bảo mật khác nhau. Vì lý do an toàn cá nhân, tôi đã không trả lời chúng một cách trung thực.
Một người dùng đang giữ điện thoại, phía trên màn hình là một trường nhập mật khẩu mạnh, tượng trưng cho việc bảo vệ tài khoản online.
Vì Sao Câu Hỏi Bảo Mật Lại Kém An Toàn?
Tuy là một phương pháp MFA đơn giản, nhưng các câu hỏi bảo mật lại quá dễ đoán. Chúng phụ thuộc quá nhiều vào một tiền đề sai lầm: rằng những câu hỏi này chỉ có mình tôi mới có thể trả lời. Rất nhiều người biết tên khai sinh của bà tôi, chẳng hạn. Thông tin này có thể nằm trong hồ sơ tòa án, tài liệu gia phả, cáo phó đã được công bố, và vô số nơi khác.
Tôi nhận thấy rằng nhiều câu hỏi bảo mật dường như giả định rằng bạn không lớn lên cùng với internet. Nếu bạn đã có internet từ khi còn nhỏ, đặc biệt là blog và mạng xã hội, rất có thể những bài đăng về con vật nuôi đầu tiên của bạn vẫn còn tồn tại ở đâu đó. Trên thực tế, tôi biết chính xác nơi bạn có thể tìm kiếm trên internet để trả lời những câu hỏi như vậy về bản thân tôi.
Bạn có thể gọi đây là “Tình báo Nguồn Mở”, thường được viết tắt là OSINT (Open Source Intelligence). Nếu bạn có kiến thức về OSINT, bạn sẽ biết việc tìm kiếm những thông tin cá nhân sâu kín của một người trên internet dễ dàng đến mức nào chỉ với những công cụ đơn giản.
Một bàn tay đang cầm điện thoại với biểu tượng xác thực 2 yếu tố (2FA) nổi lên, minh họa tầm quan trọng của MFA trong bảo mật tài khoản.
Ngoài việc tìm kiếm trên internet, việc phá vỡ các câu hỏi bảo mật còn dễ dàng đến mức chỉ cần một cuộc trò chuyện với tôi hoặc với những người thân cận của tôi. Đây được gọi là Kỹ thuật Xã hội (Social Engineering). Ví dụ, ai đó có thể mạo danh một nhân vật có thẩm quyền, như một cán bộ thuế, và yêu cầu tôi “xác nhận danh tính” bằng cách trả lời một câu hỏi như tên khai sinh của bà tôi. Để tránh làm tổn hại đến các câu hỏi bảo mật của bạn, bạn phải liên tục cảnh giác trước những kiểu tấn công lén lút này.
Chúng ta có thể đi xa hơn nữa. Giả sử rằng bạn và tất cả những người quen biết bạn đều cảnh giác với kỹ thuật xã hội. Bạn vẫn phải đối mặt với thực tế rằng những người quen biết bạn có thể lợi dụng điều đó. Hãy hỏi bất kỳ nạn nhân bị lạm dụng nào: chỉ vì ai đó thân thiết với bạn không có nghĩa là họ đáng tin cậy. Giả định rằng chỉ những người đủ thân để biết câu trả lời cho các câu hỏi bảo mật của bạn mới có thể được tin tưởng với quyền truy cập tài khoản, đó là một tiền đề sai lầm khác của các câu hỏi bảo mật.
“Nói Dối”: Giải Pháp Tối Ưu Cho Câu Hỏi Bảo Mật
Với tất cả những điều trên, tôi đã ngừng trả lời trung thực các câu hỏi bảo mật. Nếu tôi buộc phải sử dụng một câu hỏi bảo mật để tránh tài khoản của mình bị xâm phạm, tôi sẽ trả lời câu hỏi đó bằng một câu trả lời bịa đặt và kỳ quặc. “Bạn sinh ra ở đâu?” Narnia. “Con vật nuôi đầu tiên của bạn là gì?” Một con tuần lộc tên là Bob. Tất nhiên, đây không phải là những câu trả lời tôi thực sự sử dụng, nhưng bạn có thể hình dung được ý tưởng.
Một số người còn đi xa hơn và không đặt bất cứ thứ gì có thể nhận dạng là một từ vào câu trả lời câu hỏi bảo mật. “Tên khai sinh của bà bạn là gì?” Có lẽ là H41%hg67Vc0s5^jQ. Điều này sẽ giống như có một mật khẩu mạnh thứ cấp, và nó làm cho câu hỏi bảo mật của bạn kháng lại các cuộc tấn công từ điển. Tuy nhiên, tôi không chắc điều đó hoàn toàn cần thiết, vì nhà cung cấp tài khoản trực tuyến của tôi có thể sẽ khóa tài khoản nếu bất kỳ ai cố gắng đoán quá vài lần trên một câu hỏi bảo mật.
Tuy nhiên, bạn không nên làm bất kỳ điều nào trong số này nếu bạn không hoàn toàn tin tưởng vào khả năng ghi nhớ các câu trả lời của mình. Các câu hỏi bảo mật truyền thống có một lợi ích lớn: chúng dễ nhớ. Việc “nói dối” trong các câu hỏi bảo mật sẽ loại bỏ lợi ích đó, vì giờ đây bạn phải ghi nhớ những sự thật không chính xác về bản thân.
Giao diện ứng dụng quản lý mật khẩu 1Password trên iPhone 14 Pro, cho thấy cách quản lý mật khẩu mạnh và thông tin bảo mật hiệu quả.
Nó có thể hữu ích nếu bạn viết các câu trả lời này ra, có thể dưới dạng một cây gia phả hoặc một câu chuyện ngắn mô tả một cuộc đời hư cấu. Nếu bạn giống tôi, việc vẽ hình ảnh những người, địa điểm và vật nuôi hư cấu đó cũng sẽ giúp ích.
Tất nhiên, bạn sẽ muốn đảm bảo mọi thứ bạn viết ra được lưu trữ ở một nơi an toàn. Bạn có thể lưu trữ chúng trong trình quản lý mật khẩu của mình hoặc, để tăng cường bảo mật, một trình quản lý mật khẩu riêng biệt. Điều quan trọng là bạn không bao giờ mất quyền truy cập vào tài khoản của mình trong khi vẫn duy trì được tính bảo mật của nó.
Trong thời đại số, việc tự bảo vệ thông tin cá nhân là vô cùng quan trọng. Bằng cách tiếp cận sáng tạo và có chiến lược với các câu hỏi bảo mật, chúng ta có thể thêm một lớp lá chắn vững chắc cho tài khoản của mình. Hãy cân nhắc áp dụng phương pháp này để biến những điểm yếu tiềm tàng thành lợi thế bảo mật cá nhân, và đừng quên sử dụng các công cụ quản lý mật khẩu để cuộc sống số của bạn được an toàn và dễ dàng hơn.
