1. Sử dụng mật khẩu mạnh, duy nhất và ưu tiên dùng passphrase (cụm mật khẩu)

Theo hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa kỳ (NIST), một mật khẩu mạnh nên có tối thiểu từ 12-16 ký tự, bao gồm chữ hoa, chữ thường, chữ số và ký tự đặc biệt, đồng thời tránh các từ ngữ thông dụng. NIST khuyến nghị sử dụng trình quản lý mật khẩu để tạo và lưu trữ thông tin đăng nhập một cách an toàn, và không dùng cùng một mật khẩu cho nhiều tài khoản khác nhau.

Trong lĩnh vực an ninh mạng, việc sử dụng passphrase (cụm mật khẩu) được đặc biệt khuyến khích. Khác với mật khẩu truyền thống, passphrase là một chuỗi các từ có ý nghĩa, giúp tăng mức độ bảo vệ trong quá trình xác thực.

Trong khi mật khẩu thông thường thường bị giới hạn khoảng 16 ký tự, passphrase có thể chứa 100 ký tự hoặc hơn. Cấu trúc của passphrase dựa trên sự kết hợp của các từ, dấu câu, chữ hoa và chữ thường, khiến chúng rất khó bị tấn công, đồng thời dễ ghi nhớ đối với người dùng.

Passphrase tăng cường khả năng bảo mật trước các truy cập trái phép và cải thiện trải nghiệm sử dụng. Không giống như các chuỗi ký tự và con số phức tạp của mật khẩu truyền thống, passphrase được xây dựng từ những câu có ý nghĩa, trực quan hơn và ít bị quên hơn.

Hình thức xác thực này hiện nay được sử dụng rộng rãi trong những bối cảnh đòi hỏi tiêu chuẩn bảo mật cao, như mã hóa dữ liệu, bảo vệ hệ điều hành và các ứng dụng tiên tiến. Việc nhiều nền tảng kỹ thuật số khuyến nghị sử dụng passphrase cho thấy sự cần thiết phải thay đổi các chính sách bảo vệ liên quan đến việc truy cập kỹ thuật số, đồng thời nhấn mạnh tầm quan trọng của việc cân bằng giữa an ninh và tính dễ sử dụng.

2. Kích hoạt xác thực đa yếu tố (Multifactor Authentication – MFA)

Xác thực đa yếu tố (MFA) bổ sung một tầng bảo mật nâng cao bằng cách yêu cầu nhiều phương thức xác thực để truy cập vào các tài khoản số. Bên cạnh mật khẩu (yếu tố tri thức – knowledge factor), MFA có thể bao gồm mã OTP (One-Time Password) được gửi qua SMS hoặc ứng dụng xác thực (authentication apps), xác thực sinh trắc học (biometric authentication), cũng như khóa bảo mật phần cứng (hardware security keys). Việc kết hợp nhiều yếu tố xác thực giúp giảm đáng kể nguy cơ truy cập trái phép, ngay cả trong các kịch bản tấn công sử dụng AI và kỹ thuật tự động hóa.

Theo khuyến nghị của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), nên ưu tiên sử dụng ứng dụng xác thực hoặc khóa bảo mật vật lý, thay vì tin nhắn SMS, do SMS có thể bị chặn, giả mạo hoặc khai thác thông qua các hình thức tấn công trung gian (man-in-the-middle attacks) và kỹ thuật xâm nhập dựa trên AI.

3. Thận trọng với các email và lừa đảo trực tuyến (Phishing)

Phishing là hình thức tấn công lừa đảo nhằm đánh cắp thông tin nhạy cảm bằng cách giả mạo các thông điệp chính thức. Vì vậy, không nên nhấp vào các liên kết đáng ngờ và luôn xác minh nguồn gốc của thông điệp trước khi cung cấp dữ liệu cá nhân hoặc thông tin ngân hàng. Theo Trung tâm An ninh mạng Quốc gia (National Centre for Cybersecurity – NSCS), hơn 90% các cuộc tấn công mạng bắt đầu từ một email giả mạo.

4. Thường xuyên cập nhật thiết bị và phần mềm

Các bản cập nhật hệ điều hành và ứng dụng thường bao gồm các biện pháp khắc phục nhằm bảo vệ thiết bị khỏi những lỗ hổng đã được phát hiện (known vulnerabilities). Việc kích hoạt cập nhật tự động được xem là một thực hành an ninh hiệu quả. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) và các tổ chức an ninh mạng khác khuyến nghị triển khai ngay các bản vá bảo mật, nhằm tránh các cuộc tấn công khai thác những lỗ hổng đã được tìm thấy (known exploits).

5. Bảo vệ thông tin nhạy cảm và quyền riêng tư

Cần tránh chia sẻ thông tin cá nhân hoặc tài chính trên các trang web không an toàn, đồng thời giới hạn dữ liệu công khai trên mạng xã hội. Người dùng nên rà soát các cài đặt quyền riêng tư để kiểm soát xem ai có thể truy cập nội dung của mình. Quy định Chung về Bảo vệ Dữ liệu (GDPR) nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu cá nhân nhằm ngăn ngừa mọi hành vi sử dụng sai mục đích.

 6. Xác minh mức độ an toàn của website

Trước khi nhập dữ liệu nhạy cảm vào một trang web, hãy bảo đảm rằng trang đó sử dụng giao thức HTTPS và chứng chỉ SSL hợp lệ. Các website đáng tin cậy thường hiển thị biểu tượng ổ khóa bên cạnh địa chỉ trên trình duyệt. Theo Báo cáo Minh bạch của Google (Google Transparency Report), những trang web không sử dụng HTTPS dễ bị nghe lén và tấn công trung gian (man-in-the-middle) hơn.

7. Tránh sử dụng các mạng Wi-Fi công cộng không được bảo vệ

Các kết nối Wi-Fi công cộng thường dễ bị tấn công mạng. Trong trường hợp buộc phải sử dụng, chỉ nên truy cập các website an toàn và sử dụng VPN (Virtual Private Network – mạng riêng ảo) để bảo vệ dữ liệu đang được truyền tải. Cục Điều tra Liên bang Hoa Kỳ (FBI) khuyến cáo không truy cập tài khoản ngân hàng hoặc dữ liệu nhạy cảm khi sử dụng các mạng Wi-Fi công cộng không được bảo mật.

8. Thận trọng với các tệp đính kèm và nội dung tải xuống

Các tệp tin và chương trình tải lên từ những nguồn không đáng tin cậy có thể chứa mã độc (malware). Vì thế, cần xác minh nguồn gốc của tệp trước khi mở và sử dụng phần mềm chống virus luôn được cập nhật. Theo Cơ quan An ninh mạng và An ninh Hạ tầng Hoa Kỳ (Cybersecurity and Infrastructure Security Agency – CISA), các tệp đính kèm có định dạng .exe, .zip và .js là những phương tiện phổ biến nhất để phát tán mã độc.

9. Thường xuyên kiểm tra các tài khoản của bạn

Hãy theo dõi hoạt động của các tài khoản trực tuyến để kịp thời phát hiện những truy cập đáng ngờ. Các dịch vụ như “Have I Been Pwned” (Tôi có bị xâm phạm dữ liệu không) cho phép người dùng kiểm tra xem thông tin đăng nhập của mình có bị xâm phạm hoặc dữ liệu cá nhân có bị rò rỉ hay không. Trung tâm An ninh mạng Quốc gia (National Cyber Security Centre – NCSC) khuyến nghị kích hoạt thông báo khi phát hiện dấu hiệu truy cập bất thường, cần thay đổi mật khẩu ngay để phòng ngừa nguy cơ vi phạm an ninh.

10. Sử dụng các công cụ bảo mật đáng tin cậy

Việc sử dụng phần mềm chống virus được cập nhật, tường lửa đang hoạt động và VPN (mạng riêng ảo) sẽ giúp bảo vệ dữ liệu khỏi mã độc và truy cập trái phép. Điều quan trọng là lựa chọn các công cụ bảo mật đáng tin cậy, được phát triển bởi những nhà cung cấp uy tín. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) khuyến nghị người dùng luôn kích hoạt các chức năng bảo mật tích hợp sẵn trong hệ điều hành như tường lửa và cơ chế kiểm soát truy cập.

Kết luận

Việc tuân thủ 10 nguyên tắc này giúp giảm thiểu nguy cơ các cuộc tấn công mạng và bảo vệ an toàn danh tính trong môi trường kĩ thuật số. Nhận thức đúng về các nguy cơ và hành xử thận trọng là cách tốt nhất để tự bảo vệ mình khỏi các mối đe dọa trực tuyến. Việc áp dụng các thực hành này sẽ mang lại sự bảo vệ hiệu quả khỏi các nguy cơ kỹ thuật số.

Hoài Ân

Chuyển ngữ từ: vaticanstate.va