Thứ Hai tuần trước, tôi nhận được email từ Spotify nói rằng ai đó ở Brazil đã đăng nhập vào tài khoản của tôi.

Tôi đã kiểm tra. Chắc chắn rồi:Một người lạ đang sử dụng Spotify của tôi để nghe Michael Jackson. Tôi đã yêu cầu Spotify “đăng xuất tôi ở mọi nơi” — nhưng tôi không thay đổi mật khẩu của mình.

Vào thứ Tư, nó lại xảy ra. Lúc 2 giờ sáng, tôi nhận được một email khác từ Spotify. Lần này, người bạn Brazil lén lút của tôi đang lắng nghe Prince. Và họ dường như thích giao diện của một trong các danh sách phát của tôi (“Funk Is Its Own Reward”) vì họ cũng đã nghe danh sách đó.

Tôi lại đăng xuất ở mọi nơi và cái này lần tôi thay đổi mật khẩu của mình. Và tôi đã đưa ra quyết định.

Bạn thấy đấy, tôi đã làm rất tệ trong việc triển khai các biện pháp bảo mật trực tuyến hiện đại. Có, tôi đã khóa các tài khoản tài chính quan trọng của mình bằng xác thực hai yếu tố, v.v., nhưng chủ yếu là tôi rất cẩu thả khi nói đến an ninh mạng.

Ví dụ:tôi sử dụng lại mật khẩu. Tôi vẫn sử dụng mật khẩu từ ba mươi năm trước đối với các tình huống có mức độ bảo mật thấp (chẳng hạn như đăng ký câu lạc bộ rượu vang hoặc chương trình khách hàng thân thiết trong doanh nghiệp). Và mặc dù tôi đã bắt đầu tạo mật khẩu mạnh (nhưng dễ nhớ) cho các tài khoản quan trọng hơn, nhưng tất cả các mật khẩu này đều tuân theo một mẫu và không ngẫu nhiên. Tệ nhất là tôi duy trì một tài liệu văn bản thuần túy 20 năm tuổi trong đó tôi lưu trữ tất cả về thông tin cá nhân nhạy cảm của tôi.

Điều này thật ngu ngốc. Ngốc câm câm câm câm.

Tôi biết điều đó thật ngu ngốc, nhưng tôi chưa bao giờ bận tâm đến việc thay đổi - cho đến tận bây giờ. Bây giờ, vì nhiều lý do, tôi cảm thấy đã đến lúc tôi phải làm cho cuộc sống số của mình an toàn hơn một chút. Tôi đã dành vài giờ cuối tuần để khóa mọi thứ lại. Đây là cách thực hiện.

Hướng dẫn ngắn gọn về an ninh mạng

Tình cờ thay, vào đúng ngày tài khoản Spotify của tôi được sử dụng để phát trực tuyến các bản hit hay nhất của Prince ở Brazil, một người dùng Reddit có tên /u/ACheetoBandito đã đăng hướng dẫn về an ninh mạng trong /r/fatFIRE. Thật tiện lợi!

“An ninh mạng là một thành phần quan trọng của an ninh tài chính, nhưng hiếm khi được thảo luận trong giới tài chính cá nhân,” /u/ACheetoBandito viết. "Xin lưu ý rằng những người thực hành an ninh mạng không đồng tình với các phương pháp thực hành tốt nhất cho an ninh mạng cá nhân. Đây là của tôi vì tôi có một số kiến thức chuyên môn trong lĩnh vực này.”

Tôi sẽ không sao chép toàn bộ bài đăng ở đây - bạn chắc chắn nên đọc nó, nếu chủ đề này quan trọng với bạn - nhưng tôi sẽ liệt kê phần tóm tắt bằng dấu đầu dòng cùng với một số suy nghĩ của riêng tôi. Người bạn có ngón tay cam của chúng tôi khuyến nghị bất kỳ ai quan tâm đến an ninh mạng nên thực hiện các bước sau:

1. Nhận ít nhất hai khóa bảo mật dựa trên phần cứng. Bạn tôi Robert Farrington (từ The College Investor) sử dụng YubiKey. Google cung cấp Khóa bảo mật Titan. (Tôi đã đặt hàng YubiKey 5c nano vì kiểu dáng tối thiểu của nó.)
2. Thiết lập tài khoản email riêng tư bí mật. Địa chỉ email riêng tư của bạn không được liên kết trong bất kỳ nào tới email công khai của bạn và không được cung cấp địa chỉ cho bất kỳ ai. (Tôi đã có nhiều tài khoản email công khai nhưng tôi không có địa chỉ riêng. Bây giờ tôi có.)
3. Bật Bảo vệ nâng cao cho cả tài khoản gmail công khai và riêng tư của bạn. Chương trình Bảo vệ nâng cao là một tiện ích bảo mật bổ sung miễn phí của Google. Liên kết điều này với các khóa bảo mật bạn có được ở bước một. (Tôi chưa thiết lập tính năng này vì phải đến chiều nay khóa bảo mật của tôi mới được chuyển đến.)
4. Thiết lập trình quản lý mật khẩu. Trình quản lý mật khẩu nào bạn chọn là tùy thuộc vào bạn. Điều quan trọng là chọn một cái mà bạn sẽ sử dụng . Sẽ tốt nhất nếu ứng dụng này hỗ trợ khóa bảo mật mới của bạn để xác thực. (Tôi sẽ đề cập đến một số tùy chọn trong phần tiếp theo của bài viết này.)
5. Tạo mật khẩu mới cho tất cả tài khoản. Tạo thủ công các mật khẩu dễ nhớ cho địa chỉ email, máy tính của bạn (và thiết bị di động) cũng như cho chính trình quản lý mật khẩu. Tất cả các mật khẩu khác phải là mật khẩu mạnh được tạo ngẫu nhiên bởi trình quản lý mật khẩu.
6. Liên kết các tài khoản quan trọng với địa chỉ email riêng mới của bạn. Điều này sẽ bao gồm các tài khoản tài chính, chẳng hạn như ngân hàng, công ty môi giới và thẻ tín dụng của bạn. Nhưng nó cũng có thể bao gồm các tài khoản khác. (Ví dụ:tôi sẽ sử dụng địa chỉ email riêng của mình cho các dịch vụ cốt lõi liên quan đến trang web này.)
7. Bật các biện pháp bảo mật bổ sung cho tất cả tài khoản. Các tính năng khả dụng sẽ khác nhau tùy theo nhà cung cấp, nhưng nói chung, bạn sẽ có thể kích hoạt xác thực hai yếu tố (bằng khóa bảo mật, bất cứ khi nào có thể) và cảnh báo đăng nhập.
8. Bật thông báo bằng văn bản/email cho tài khoản tài chính. Bạn cũng có thể muốn bật cảnh báo về những thay đổi đối với điểm tín dụng và/hoặc báo cáo tín dụng của mình.
9. Kích hoạt các biện pháp bảo mật trên thiết bị di động của bạn. Điện thoại của bạn phải bị khóa bằng biện pháp ủy quyền mạnh mẽ. Và mỗi ứng dụng tài chính cá nhân của bạn phải được khóa bằng mật khẩu và mọi biện pháp bảo mật có thể có khác.

/u/ACheetoBandito đề xuất một số biện pháp bảo mật bổ sung, tùy chọn. (Và toàn bộ chuỗi thảo luận Reddit đó chứa đầy các mẹo bảo mật tuyệt vời.)

Bạn có thể muốn đóng băng tín dụng của mình (mặc dù, nếu làm vậy, hãy nhớ rằng đôi khi bạn sẽ cần hủy -đóng băng tín dụng của bạn để thực hiện các giao dịch tài chính). Một số người sẽ muốn mã hóa điện thoại và ổ cứng của họ. Và nếu bạn rất lo lắng về vấn đề bảo mật, hãy mua một chiếc Chromebook giá rẻ và sử dụng nó như duy nhất thiết bị mà bạn thực hiện các giao dịch tài chính. (Bạn có tin hay không thì tùy, tôi đang thực hiện bước tùy chọn cuối cùng này. Đối với tôi, điều đó có ý nghĩa — và đó có thể là cơ hội để tôi vượt qua Quicken.)

Khám phá những trình quản lý mật khẩu tốt nhất

Được rồi, tuyệt vời! Tôi đã đặt mua một chiếc Chromebook mới trị giá $150 và hai khóa bảo mật dựa trên phần cứng. Tôi đã thiết lập một địa chỉ email hoàn toàn mới, tối mật mà tôi sẽ kết nối với bất kỳ tài khoản nào cần tăng cường bảo mật. Nhưng tôi vẫn chưa giải quyết được điểm yếu nhất trong quá trình này:tài liệu văn bản của tôi chứa đầy mật khẩu.

Một phần của vấn đề là sự tự mãn. Hệ thống của tôi rất đơn giản và tôi thích nó. Nhưng một phần khác của vấn đề là sự tê liệt trong phân tích. Có rất nhiều rất nhiều trong số các trình quản lý mật khẩu hiện có và tôi không biết cách phân biệt giữa chúng để tìm ra cái nào phù hợp với tôi và nhu cầu của tôi.

Để được trợ giúp, tôi đã nhờ bạn bè trên Facebook liệt kê những trình quản lý mật khẩu tốt nhất. Tôi đã tải xuống và cài đặt từng đề xuất của họ, sau đó tôi ghi lại một số ấn tượng ban đầu.

• LastPass:16 phiếu bầu (2 từ những người đam mê công nghệ) — LastPass cho đến nay là trình quản lý mật khẩu phổ biến nhất trong số bạn bè trên Facebook của tôi. Mọi người yêu thích nó. Tôi đã cài đặt nó và tìm kiếm xung quanh, và có vẻ như…ổn. Giao diện hơi rắc rối và bộ tính năng có vẻ đầy đủ (nhưng không mạnh mẽ). Ứng dụng này sử dụng phép ẩn dụ “vault” dễ hiểu mà tôi thích. LastPass miễn phí (có sẵn các tùy chọn cao cấp với chi phí bổ sung).
• 1Password:7 phiếu bầu (4 từ những người đam mê công nghệ) — Ứng dụng này có các tính năng tương tự như Bitwarden hoặc LastPass. Giao diện đủ đẹp và dường như nó cung cấp các cảnh báo bảo mật. 1Mật khẩu có giá $36/năm.
• Bitwarden:4 phiếu bầu (2 từ những người đam mê công nghệ) — Bitwarden có giao diện đơn giản, dễ hiểu. Nó sử dụng phép ẩn dụ “kho tiền” tương tự mà các sản phẩm như LastPass và 1Password sử dụng. Đó là một ứng cử viên nặng ký để trở thành công cụ tôi sử dụng. Bitwarden miễn phí. Với 10 USD mỗi năm, bạn có thể thêm các tính năng bảo mật cao cấp.
• KeePass:2 phiếu bầu — KeePass là trình quản lý mật khẩu Nguồn mở miễn phí. Có sẵn các bản cài đặt KeePass cho tất cả các hệ điều hành máy tính và di động lớn. Nếu bạn là người yêu thích Linux (hoặc người ủng hộ Nguồn mở), đây có thể là một lựa chọn tốt. Tôi không thích chức năng hạn chế và giao diện khủng khiếp của nó. KeePass miễn phí.
• Dashlane:2 phiếu bầu — Trong số tất cả các trình quản lý mật khẩu mà tôi đã xem, Dashlane có giao diện đẹp nhất và nhiều tính năng nhất. Giống như nhiều công cụ trong số này, nó sử dụng phép ẩn dụ “kho tiền”, nhưng nó cho phép bạn lưu trữ nhiều thứ trong kho tiền này hơn các công cụ khác. (Ví dụ:bạn có thể lưu trữ thông tin ID — giấy phép lái xe, hộ chiếu —. Ngoài ra còn có một nơi để lưu trữ biên lai.) Dashlane có tùy chọn cơ bản miễn phí nhưng hầu hết mọi người sẽ muốn tùy chọn trả phí $60/năm. (Ngoài ra còn có tùy chọn trị giá 120 USD/năm bao gồm bảo hiểm giám sát tín dụng và bảo hiểm chống trộm giấy tờ tùy thân.)
• Blur:1 phiếu bầu — Blur khác với hầu hết các trình quản lý mật khẩu. Nó thực sự cố gắng làm mờ danh tính trực tuyến của bạn. Nó ngăn các trình duyệt web theo dõi bạn, che giấu địa chỉ email, thẻ tín dụng và số điện thoại và (hoặc tất nhiên) quản lý mật khẩu. Tôi muốn một số tính năng mà Blur không có — và không muốn một số tính năng mà nó có có. Chi phí làm mờ tối thiểu là $39/năm nhưng mức giá đó có thể cao hơn nhiều.
• Chuỗi khóa Apple:1 phiếu bầu — Chuỗi khóa là trình quản lý mật khẩu tích hợp của Apple từ năm 1999. Do đó, chuỗi khóa này được cung cấp miễn phí trên các thiết bị Apple. Hầu hết người dùng Mac và iOS đều sử dụng Chuỗi khóa mà không hề nhận ra. Nó không thực sự đủ mạnh để làm bất cứ điều gì khác ngoài việc lưu trữ mật khẩu, vì vậy tôi đã không cân nhắc nghiêm túc về nó. Keychain miễn phí và được cài đặt trên các sản phẩm của Apple.

Hãy để tôi nói rõ:Tôi chỉ kiểm tra sơ qua những trình quản lý mật khẩu này. Tôi đã không lặn sâu. Nếu tôi cố gắng so sánh mọi tính năng của mọi trình quản lý mật khẩu, tôi sẽ không bao giờ chọn. Tôi sẽ lại rơi vào tình trạng tê liệt phân tích. Vì vậy, tôi đã xem xét nhanh từng vấn đề một lần và đưa ra quyết định dựa trên trực giác và trực giác.

Trong số các công cụ này, có hai công cụ nổi bật:Bitwarden và Dashlane. Cả hai đều có giao diện đẹp mắt và nhiều tính năng. Cả hai công cụ đều cung cấp phiên bản miễn phí, nhưng tôi muốn nâng cấp lên gói trả phí cao cấp để có quyền truy cập vào xác thực hai yếu tố (sử dụng khóa bảo mật phần cứng mới của tôi) và giám sát bảo mật. Đây là lúc Bitwarden có lợi thế lớn. Nó chỉ có $ 10 mỗi năm. Để có được các tính năng tương tự, Dashlane phải trả $60/năm.

Nhưng vấn đề là ở đây.

Thực ra tôi đã bắt đầu sử dụng cả hai công cụ này cùng lúc, nhập từng mật khẩu trang web của tôi. Tôi dừng lại sau khi nhập mười trang vào mỗi trang. Rõ ràng là tôi cực kỳ thích sử dụng Dashlane hơn Bitwarden. Nó chỉ hoạt động theo cách có ý nghĩa với tôi. (Trải nghiệm của bạn có thể khác.) Vì vậy, ít nhất trong một thời gian ngắn, Tôi sẽ sử dụng Dashlane làm trình quản lý mật khẩu của mình.

Vấn đề về mật khẩu

Động cơ chính của tôi khi sử dụng trình quản lý mật khẩu là lấy thông tin nhạy cảm của tôi từ một tài liệu văn bản thuần túy và chuyển vào một thứ gì đó an toàn hơn. Nhưng tôi có động cơ thứ yếu:Tôi muốn cải thiện độ mạnh của mật khẩu của mình.

Khi tôi bắt đầu sử dụng Internet - vào những năm 1980, trước khi World Wide Web ra đời - tôi không hề nghĩ đến độ mạnh của mật khẩu. Mật khẩu đầu tiên tôi tạo (năm 1989) chỉ đơn giản là tên của một người bạn đã cho tôi sử dụng máy tính của anh ấy để truy cập Hệ thống Bảng tin địa phương. Tôi đã sử dụng mật khẩu đó trong năm trên mọi thứ từ tài khoản email đến trang web ngân hàng. Tôi vẫn coi đó là mật khẩu “bảo mật thấp” cho những thứ không quan trọng.

Tôi có thể có tám hoặc mười mật khẩu như thế này:mật khẩu ngắn, đơn giản mà tôi đã sử dụng ở hàng chục địa điểm. Trong 5 năm qua, tôi đã cố gắng chuyển sang sử dụng mật khẩu duy nhất cho từng trang web, mật khẩu tuân theo một khuôn mẫu. Mặc dù đây là những cải tiến nhưng chúng vẫn chưa tuyệt vời. Như tôi nói, họ làm theo một khuôn mẫu. Và mặc dù chúng chứa các chữ cái, số và ký hiệu nhưng chúng đều tương đối ngắn.

Như bạn có thể mong đợi, giao thức mật khẩu cẩu thả của tôi đã tạo ra một cơn ác mộng về bảo mật. Đây là ảnh chụp màn hình từ công cụ Kiểm tra mật khẩu của Google cho một trong các tài khoản của tôi.

Tôi nhận được kết quả tương tự cho all tài khoản Google của tôi. Rất tiếc.

Ngoài ra còn có vấn đề về chia sẻ tài khoản.

Kim và tôi dùng chung tài khoản Netflix. Và một tài khoản Amazon. Và một tài khoản Hulu. Và một tài khoản iTunes. Trên thực tế, chúng tôi có thể chia sẻ hai mươi hoặc ba mươi tài khoản. Cô ấy và tôi sử dụng cùng một mật khẩu dễ nhớ cho tất cả những lần đăng nhập này. Mặc dù không có tài khoản nào trong số này cực kỳ nhạy cảm nhưng những gì chúng tôi đang làm vẫn là một ý tưởng tồi.

Vì vậy, tôi muốn bắt đầu hướng tới những mật khẩu an toàn hơn — ngay cả đối với những tài khoản tôi chia sẻ với Kim.

Tin vui là hầu hết các trình quản lý mật khẩu — bao gồm cả Dashlane — sẽ tự động tạo mật khẩu ngẫu nhiên cho bạn. Hoặc tôi có thể thử điều gì đó tương tự như ý tưởng được gợi ý trong truyện tranh XKCD này:

Tất nhiên, vấn đề là mỗi nơi lại có những yêu cầu khác nhau về mật khẩu. Một số yêu cầu số. Một số yêu cầu biểu tượng. Một số người nói không biểu tượng. Và vân vân. Tôi không biết có trang web nào cho phép tôi sử dụng bốn từ phổ biến ngẫu nhiên làm mật khẩu!

Hiện tại, tôi sẽ áp dụng cách tiếp cận theo ba hướng:

• Tôi sẽ tạo mật khẩu dài (nhưng dễ nhớ) theo cách thủ công cho các tài khoản quan trọng nhất của mình. Đây là phương pháp XKCD.
• Đối với các tài khoản tôi chia sẻ với Kim — Netflix, vân vân — tôi sẽ tạo mật khẩu mới, dễ nhớ theo một mẫu.
• Đối với mọi thứ khác, tôi sẽ để trình quản lý mật khẩu của mình tạo mật khẩu ngẫu nhiên.

Điều này có vẻ giống như một sự cân bằng tốt giữa khả năng sử dụng và bảo mật. Mỗi mật khẩu sẽ khác nhau. Chỉ những cái tôi chia sẻ với Kim mới ngắn; tất cả những thứ khác sẽ dài. Và hầu hết mật khẩu mới của tôi sẽ là những mật khẩu ngẫu nhiên vô nghĩa.

Suy nghĩ cuối cùng về an ninh mạng

Trong video ngắn này của Tech Insider, cựu chuyên gia bảo mật của Cơ quan An ninh Quốc gia chia sẻ 5 mẹo hàng đầu để bảo vệ bạn trực tuyến.

Bạn sẽ lưu ý rằng những điều này tương tự như hướng dẫn an ninh mạng Reddit mà tôi đã đăng trước đó trong bài viết này. Dưới đây là các bước anh ấy khuyên bạn nên thực hiện để giữ an toàn cho bản thân:

• Bật xác thực hai yếu tố bất cứ khi nào có thể.
• Đừng sử dụng cùng một mật khẩu ở mọi nơi.
• Luôn cập nhật hệ điều hành (và phần mềm) của bạn.
• Hãy cẩn thận với những gì bạn đăng lên mạng xã hội.
• Làm không chia sẻ thông tin cá nhân trừ khi bạn chắc chắn bạn đang giao dịch với một công ty hoặc cá nhân đáng tin cậy.

Tôi sẽ không giả vờ rằng những bước tôi đang thực hiện sẽ bảo vệ tôi hoàn toàn. Nhưng hệ thống mới của tôi chắc chắn là một bản nâng cấp so với những gì tôi đã làm trong hơn 20 năm qua - như tôi đã đề cập, đó là một điều ngu ngốc, ngu ngốc.

Và tôi phải thú nhận:tôi thích ý tưởng giới hạn đời sống tài chính trực tuyến của tôi trong một máy tính - chiếc Chromebook mới trị giá 150 đô la. Tôi không chắc liệu điều này có thực sự khả thi hay không, nhưng tôi sẽ thử. Nếu điều này hiệu quả thì tôi có thể xem liệu tôi có thể tìm được công cụ quản lý tiền mà tôi thích cho máy hay không. Có lẽ sau đó tôi cuối cùng cũng có thể bỏ lại Quicken 2007 cho Mac!

Tôi đã bỏ lỡ điều gì? bạn có những bước nào được thực hiện để bảo vệ tài khoản trực tuyến của bạn? Bạn cảm thấy trình quản lý mật khẩu nào tốt nhất? Làm thế nào để bạn tạo mật khẩu an toàn, dễ nhớ? Bạn xử lý các tài khoản được chia sẻ như thế nào? Hãy giúp đỡ những độc giả GRS khác — và cả tôi nữa! — phát triển các biện pháp bảo mật trực tuyến tốt hơn.