Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Cách Kiểm Tra Mật Khẩu Có Bị Rò Rỉ Không

Tìm hiểu cách phản ứng an toàn trước các rò rỉ mật khẩu mà không cần dán mật khẩu thật vào các trang web không đáng tin cậy.

Tóm tắt

Nếu bạn nghi ngờ mật khẩu đã bị rò rỉ, phản ứng an toàn nhất thường là thay thế nó thay vì dán vào các trang web không rõ nguồn gốc. Việc kiểm tra rò rỉ chỉ hữu ích khi dịch vụ có thiết kế bảo mật đáng tin cậy và bạn hiểu rõ dữ liệu nào đang được gửi đi.

Sử dụng trình kiểm tra độ mạnh mật khẩu để phân tích mẫu cục bộ, nhưng đừng coi nó như cơ sở dữ liệu rò rỉ.

Việc cần làm trước tiên

Thay đổi mật khẩu từ một thiết bị đáng tin cậy. Nếu cùng một mật khẩu được sử dụng lại, hãy thay đổi tất cả các tài khoản bị ảnh hưởng. Bắt đầu với email, ngân hàng, công việc, lưu trữ đám mây và tài khoản khôi phục trình quản lý mật khẩu.

Kiểm tra trạng thái tài khoản

Thu hồi các phiên hoạt động, kiểm tra cài đặt email và số điện thoại khôi phục, xem xét quy tắc chuyển tiếp, xóa quyền truy cập ứng dụng đáng ngờ, và bật MFA hoặc passkey.

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc kiểm tra xem mật khẩu có thể đã xuất hiện trong các vụ rò rỉ hay không mà không để lộ nó một cách bất cẩn. Nó được viết cho những người dùng nghe về một vụ rò rỉ và muốn phản ứng an toàn, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và các dịch vụ thỉnh thoảng có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hay câu trích dẫn yêu thích. Tính duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng được sử dụng lại có thể thất bại nhanh chóng sau một vụ rò rỉ không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại trong một tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một thiết lập thực tế là phân tích mẫu cục bộ trước, sau đó sử dụng các dịch vụ cảnh báo rò rỉ đáng tin cậy khi cần. Bạn có thể áp dụng thiết lập đó với trình kiểm tra độ mạnh mật khẩu và sau đó lưu trữ giá trị cuối cùng trong một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu được tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là gõ mật khẩu thật vào các trang web không rõ nguồn gốc, tìm kiếm chính xác mật khẩu trong nhật ký và cho rằng không có kết quả có nghĩa là không có rủi ro. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn một cuộc tấn công toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và kiểm tra thường xuyên cài đặt email hoặc số điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối thiết lập lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký tự đặc biệt bị từ chối, hãy giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc gõ trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự dễ gây nhầm lẫn và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin xác thực kém. Thói quen hữu ích là nhàm chán nhưng bền vững: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Một bước tiếp theo an toàn

Sau khi đọc hướng dẫn này, hãy thực hiện một cuộc kiểm tra tài khoản nhỏ thay vì cố gắng sửa mọi thứ cùng một lúc. Chọn tài khoản sẽ gây rắc rối nhất nếu bị chiếm quyền, xác nhận mật khẩu của nó là duy nhất và kiểm tra email khôi phục, số điện thoại khôi phục, phương thức MFA và lưu trữ mã dự phòng. Nếu bất kỳ phần nào của chuỗi đó yếu, hãy cải thiện phần đó trước khi chuyển sang các tài khoản rủi ro thấp hơn. Thứ tự này giữ cho công việc có thể quản lý được và bảo vệ các tài khoản mà kẻ tấn công có nhiều khả năng sử dụng làm bước đệm. Đối với cách kiểm tra xem mật khẩu có bị rò rỉ không, kết quả tốt nhất là một thói quen có thể lặp lại: tạo cục bộ, lưu trữ cẩn thận và tránh sử dụng lại.

Câu hỏi thường gặp

Tôi có nên dán mật khẩu của mình vào các trang kiểm tra rò rỉ ngẫu nhiên không?

Không. Chỉ sử dụng các dịch vụ kiểm tra rò rỉ đáng tin cậy với thiết kế bảo mật rõ ràng, hoặc thay đổi mật khẩu thay vì kiểm tra nó.

Tôi nên làm gì sau khi bị rò rỉ?

Thay đổi mật khẩu bị ảnh hưởng, thay đổi mật khẩu bị sử dụng lại, thu hồi phiên, kiểm tra cài đặt khôi phục và bật MFA.

PwdGen có thể kiểm tra cơ sở dữ liệu rò rỉ không?

Không. PwdGen cung cấp ước tính độ mạnh và thời gian bẻ khóa cục bộ, không phải tra cứu mật khẩu bị rò rỉ từ xa.

Nguồn