Cách đơn giản phát hiện tài khoản bị rò rỉ
Nhà nghiên cứu về an ninh Troy Hunt đã tìm ra cách để khắc phục điều này.
Troy Hunt, nhà nghiên cứu về an ninh của Australia và là người thành lập nên I Have Pwned (HIBP) - trang web cho phép mọi người kiểm tra xem địa chỉ email và tên người dùng của mình có liên quan đến những sự cố vi phạm dữ liệu lớn nhất của các công ty như Myspace, LinkedIn, Adobe, Dropbox… hay không.
Hunt tiếp cận vấn đề này từ góc độ đối lập. Ông xây dựng một công cụ mới có tên Pwned Passwords. Ngoài việc thực hiện các chức năng như cũ, chúng còn cho phép người dùng nhập mật khẩu của mình để xem chúng có bị rò rỉ trong bất kỳ vụ lộ thông tin nào trước đây không.
Bảo mật thông tin là một vấn đề đau đầu đối với người dùng (Ảnh: Wesson Wang).
Có khoảng 320 triệu mật khẩu bị rò rỉ được lưu trữ trong cơ sở dữ liệu này và nếu bạn đang tự hỏi việc thu thập thông tin để tập trung ở một nơi như vậy có phạm pháp không thì bạn có một vài điều cần ghi nhớ.
Thứ nhất, không có mật khẩu nào ở đây được lưu trữ cùng với địa chỉ email hoặc tên người dùng mà họ kết nối. Vì vậy nếu có người vẫn sử dụng mật khẩu bị rò rỉ, danh sách ẩn danh của họ ở đây không hề tạo điều kiện thuận lợi để hacker ăn cắp nó.
Thứ hai, vấn đề chính ở đây là Hunt với Pwned Passwords đặt sự quan tâm đến việc có bao nhiêu mật khẩu bị tấn công bởi các hacker cho đến thời điểm hiện tại? Nó cho phép mọi người kiểm tra xem một trong những mật khẩu của họ có trên mạng internet bị rò rỉ này không.
Một lần nữa, tất cả các mật khẩu đã được lên danh sách một cách tự nhiên - một số chúng đã có từ rất lâu - do đó, hy vọng hầu hết người dùng đã thay đổi chúng.
Có hai cách sử dụng Pwned Passwords: Sử dụng một công cụ tìm kiếm trực tuyến trên trang web và tải xuống toàn bộ danh sách 320 triệu mật khẩu bị rò rỉ. Chúng được lưu trữ trên ba tệp văn bản riêng biệt.
Trước khi thực hiện bước tiếp theo, bạn lưu ý không nên gõ mật khẩu đang hoạt động mà bạn đang sử dụng vào công cụ tìm kiếm trực tuyến. Bởi nó đi ngược lại toàn bộ nguyên tắc không bao giờ chia sẻ hoặc phân phối mật khẩu của bạn, ngay cả khi nó có trong một trang web được thiết lập bởi một nhà nghiên cứu bảo mật chuyên nghiệp.
Như Hunt giải thích: "Không có câu trả lời nào nhưng đừng nhập mật khẩu mà bạn đang sử dụng vào bất kỳ dịch vụ của bên thứ ba nào như thế này! Tôi không làm rò rỉ chúng và tôi là một người đáng tin cậy nhưng bạn vẫn không nên làm".
“Vấn đề của dịch vụ dựa trên web này là để những người đã lỡ sử dụng mật khẩu cẩu thả có một phương tiện xác minh độc lập rằng họ có nên sử dụng chúng nữa hay không”.
Điều này có nghĩa là, nếu bạn muốn xem mật khẩu hiện tại của mình bị lộ hay không bạn nên tải toàn bộ danh sách và tìm kiếm thông tin đó từ sự riêng tư và bảo mật trong thiết bị của bạn.
Để tăng cường an ninh và để bảo vệ bất cứ ai vẫn còn sử dụng các mật khẩu bị rò rỉ này - mật khẩu trong danh sách các tập tin đã được mã hoá bằng bảng SHA-1. Vì vậy, bạn cần phải tạo mật mã trước khi tìm kiếm trong danh sách (hướng dẫn tạo bảng SHA-1 dễ dàng tìm thấy trên mạng).
Hy vọng rằng, dù bạn chọn sử dụng dịch vụ nào, bạn sẽ thấy rằng không có mật khẩu nào của bạn bị rò rỉ. Nhưng nếu có, tốt nhất bây giờ bạn nên thay đổi chúng - và nếu bạn chưa làm vậy, bạn nên xem xét việc sử dụng một trình quản lý mật khẩu để lưu trữ và tạo mật khẩu cho bạn.
Để biết thêm về cách sử dụng mật khẩu, hãy xem các hướng dẫn trên trang web và đọc bài đăng trên blog của Hunt về phần giới thiệu dịch vụ.
Một điều cuối cùng, nếu bạn tìm kiếm mà không thấy mật khẩu của mình trong danh sách thì đó là một tin tốt, nhưng bạn vẫn nên cẩn thận trong việc bảo mật tài khoản của mình để tránh bị lộ thông tin.
Theo khampha.vn