Năm 2025, bất chấp sự phát triển của các trình quản lý mật khẩu và khóa bảo mật, tình trạng đánh cắp tài khoản online vẫn diễn ra phổ biến. Một trong những cách tôi tự bảo vệ mình khỏi những cuộc tấn công này là thông qua một truyền thống lâu đời: nói dối. Cụ thể hơn, tôi “nói dối” trong các câu hỏi bảo mật, một phương pháp nghe có vẻ ngược đời nhưng lại vô cùng hiệu quả để tăng cường an toàn thông tin cá nhân.
Câu Hỏi Bảo Mật Là Gì Và Tại Sao Chúng Vẫn Phổ Biến?
Câu hỏi bảo mật là một hình thức Xác thực đa yếu tố (MFA – Multi-Factor Authentication), trong đó, sau khi nhập mật khẩu, bạn cần trả lời một câu hỏi mà “chỉ bạn mới biết”. Đó thường là những thông tin cá nhân như tên của thú cưng đầu tiên hoặc thị trấn nơi bạn sinh ra. Chúng là một trong những hình thức MFA lâu đời nhất trên internet nhờ vào sự đơn giản của mình.
Mặc dù đã cũ và các phương pháp MFA tốt hơn đã trở nên phổ biến, câu hỏi bảo mật vẫn xuất hiện rộng rãi trên internet. Thậm chí, chỉ tuần trước, tôi đã phải tạo một tài khoản quan trọng yêu cầu ba câu hỏi bảo mật khác nhau. Để đảm bảo an toàn cho chính mình, tôi đã không trả lời chúng một cách trung thực.
Người dùng đang giữ điện thoại, màn hình hiển thị trường nhập mật khẩu mạnh để tăng cường bảo mật tài khoản online
Vì Sao Câu Hỏi Bảo Mật Lại Kém An Toàn?
Dù là một phương pháp MFA đơn giản, câu hỏi bảo mật lại quá dễ để bị khai thác. Chúng dựa quá nhiều vào một tiền đề sai lầm: rằng những câu hỏi này chỉ có bạn mới có thể trả lời. Rất nhiều người có thể biết tên khai sinh của bà tôi, chẳng hạn. Thông tin đó có thể có trong hồ sơ tòa án, tài liệu gia phả, cáo phó được công bố và vô số nơi khác.
Tôi nhận thấy rằng nhiều câu hỏi bảo mật dường như giả định bạn không lớn lên cùng internet. Nếu bạn đã sử dụng internet từ khi còn trẻ, đặc biệt là các blog và mạng xã hội, rất có thể những bài đăng về thú cưng đầu tiên của bạn vẫn còn tồn tại đâu đó. Thực tế, tôi biết chính xác nơi bạn có thể tìm kiếm trên internet để trả lời những câu hỏi như vậy về bản thân tôi.
Bạn có thể gọi đây là tình báo nguồn mở, thường được viết tắt là OSINT (Open Source Intelligence). Nếu bạn có kiến thức về OSINT, bạn sẽ biết việc tìm kiếm thông tin cá nhân chi tiết về một ai đó trên internet dễ dàng đến mức nào bằng cách sử dụng các công cụ đơn giản.
Bàn tay giữ điện thoại hiển thị biểu tượng xác thực hai yếu tố (2FA) để bảo vệ tài khoản
Ngoài việc tìm kiếm trên internet, việc “phá vỡ” các câu hỏi bảo mật cũng dễ dàng như chỉ cần trò chuyện với tôi hoặc một người thân thiết với tôi. Điều này được gọi là kỹ thuật xã hội (social engineering). Ví dụ, ai đó có thể mạo danh một nhân vật có thẩm quyền, như cán bộ thuế, và yêu cầu tôi “xác nhận danh tính” bằng cách trả lời một câu hỏi như tên khai sinh của bà tôi. Để tránh làm lộ lọt các câu hỏi bảo mật của bạn, bạn phải liên tục cảnh giác trước những cuộc tấn công lén lút đó.
Chúng ta có thể đi xa hơn nữa. Hãy giả định rằng bạn và mọi người bạn quen đều nhận thức rõ về kỹ thuật xã hội. Bạn cũng phải đối mặt với thực tế rằng những người quen biết bạn có thể lợi dụng điều đó. Hãy hỏi bất kỳ nạn nhân bị lạm dụng nào: chỉ vì ai đó thân thiết với bạn không có nghĩa là họ là người đáng tin cậy. Giả định rằng chỉ những người đủ thân thiết để biết câu trả lời cho các câu hỏi bảo mật của bạn mới có thể được tin tưởng với quyền truy cập tài khoản là một tiền đề sai lầm khác của câu hỏi bảo mật.
Giải Pháp Tối Ưu: “Nói Dối” Trong Câu Hỏi Bảo Mật
Với tất cả những điều đã nói, tôi đã ngừng trả lời trung thực các câu hỏi bảo mật. Nếu tôi buộc phải sử dụng một câu hỏi bảo mật để giữ tài khoản của mình không bị xâm phạm, tôi sẽ trả lời câu hỏi đó bằng một câu trả lời kỳ lạ và tự bịa ra. Nơi tôi sinh ra? Narnia. Thú cưng đầu tiên của tôi là gì? Một con tuần lộc tên là Bob. Tất nhiên, đây không phải là những câu trả lời tôi thực sự sử dụng, nhưng bạn có thể hiểu ý tưởng.
Một số người còn đi xa hơn và không đặt bất cứ thứ gì có thể nhận dạng là một từ trong câu trả lời câu hỏi bảo mật. Tên khai sinh của bà bạn là gì? Có thể là H41%hg67Vc0s5^jQ. Đây sẽ giống như việc có một mật khẩu mạnh thứ cấp và nó giúp câu hỏi bảo mật của bạn chống lại các cuộc tấn công từ điển (dictionary attacks). Tuy nhiên, tôi không hoàn toàn tin rằng điều đó là cần thiết, vì nhà cung cấp tài khoản online của tôi có lẽ sẽ khóa tài khoản nếu bất kỳ ai cố gắng đoán quá vài lần trên một câu hỏi bảo mật.
Tuy nhiên, bạn không nên làm bất cứ điều gì trong số này nếu bạn không hoàn toàn tin tưởng vào khả năng ghi nhớ câu trả lời của mình. Câu hỏi bảo mật truyền thống có một lợi ích lớn: chúng dễ nhớ. Việc nói dối trong câu hỏi bảo mật sẽ loại bỏ lợi ích đó, vì bây giờ bạn phải ghi nhớ những sự thật không chính xác về bản thân.
Ứng dụng quản lý mật khẩu 1Password trên iPhone 14 Pro, công cụ thiết yếu để lưu trữ thông tin đăng nhập và câu trả lời bảo mật
Việc viết ra những câu trả lời này có thể hữu ích, có thể dưới dạng một cây gia phả hoặc một câu chuyện ngắn mô tả một cuộc sống hư cấu. Nếu bạn giống tôi, việc vẽ hình ảnh về những người, địa điểm và thú cưng hư cấu đó cũng sẽ giúp ích.
Tất nhiên, bạn sẽ muốn đảm bảo bất cứ điều gì bạn viết ra đều được lưu trữ ở một nơi an toàn. Bạn có thể lưu trữ chúng trong trình quản lý mật khẩu của mình hoặc, để tăng cường bảo mật, trong một trình quản lý mật khẩu riêng biệt. Điều quan trọng là bạn không bao giờ mất quyền truy cập vào tài khoản của mình trong khi vẫn duy trì được tính bảo mật.
Trong bối cảnh an ninh mạng ngày càng phức tạp, việc thay đổi tư duy về câu hỏi bảo mật là một bước đi cần thiết để bảo vệ tài khoản online của bạn. Hãy biến những câu hỏi tưởng chừng như đơn giản này thành một lớp phòng thủ kiên cố bằng cách áp dụng chiến lược “nói dối” thông minh. Bạn đã sẵn sàng bảo vệ thông tin cá nhân của mình theo cách mới mẻ này chưa? Hãy chia sẻ suy nghĩ và kinh nghiệm của bạn về việc tăng cường an toàn tài khoản dưới phần bình luận nhé!